Мы в Brave против FLoC, как и против любой вредоносной функциональности. Brave работает на движке Chromium, так что мы оторвали FLoC ещё до того, как это стало модным, а недавно физически отключили код, вычисляющий идентификаторы FLoC (этот пулл-реквест даже попал на первое место в новостях HackerNews). На наших вебсайтах FLoC также не будет работать — мы не хотим, чтобы информация о пользователях, заинтересовавшихся Brave, куда-то утекала через Chrome. Таким образом, эта фича пополнила наш длинный список отрубленных от Хромиума щупалец.
Подробности и детали о вреде FLoC — в статье.
Шаг в пропасть
В кои-то веки компании становятся вынуждены уважать приватность пользователей, пусть в минимальных пределах. Люди становятся более информированными, в том числе они узнают и используют инструменты, защищающие их конфиденциальность (в том числе Brave или Signal); принимаются соответствующие законы (CCPA, GDPR). На этом фоне несколько удивляет инициатива корпорации Google, которая могла бы воспользоваться моментом и построить новый, ориентированный на пользователя, privacy-first интернет, но вместо этого предлагает и немедленно реализует изменения, которые поддерживают рекламную экосистему в её нынешнем неприглядном виде.
Как известно, вскоре Google отключит возможность использования сторонних кук в Chrome. Для того чтобы продолжать таргетировать рекламу, в корпорации придумали использовать новейший зонд под названием FLoC (Federated Learning of Cohorts) — эта технология относит пользователя браузера к какой-либо когорте или категории на основе истории посещённых страниц, и (сюрприз) раскрывает её сайтам и следящим скриптам. Проще говоря, браузер берёт недавнюю историю посещений (с некоторыми оговорками), и вычисляет из неё LSH — хэш, который должен быть одинаковым для схожих историй. Утверждается, что количество браузеров с одинаковым хэшом будет недостаточным для уникальной идентификации каждого конкретного пользователя. Этот хэш (идентификатор когорты) и будет предоставляться всем желающим его получить.
Очевидно, что для превращения сети из следящей паутины в райский сад нужно нечто большее, чем игра в напёрстки с FLoC и Privacy Sandbox. Изменения модели вознаграждения создателей контента не только возможны, но и необходимы — успех нашей приватной рекламной платформы Brave Rewards показывает, что радикальный подход работает. Мы приглашаем Google присоединиться к нашим усилиям по починке фундаментальных вещей, исправлении вреда, причинённого ad-tech индустрией, и построению веба, который служит интересам пользователей.
Ниже мы объясним, почему назвали FLoC шагом в пропасть: чем он плох для пользователей, для сайтов и для интернета в целом.
FLoC вредит приватности пользователей
Худший аспект FLoC — это лицемерие. Коллеги из EFF (и многие другие) уже высказались, так что мы упомянем только самые постыдные аспекты.
FLoC выдаёт сайтам историю вашего браузера
FLoC и приватность – вещи, несовместимые конструктивно. Прежде всего, FLoC делится информацией о вашем поведении в браузере с сайтами и рекламодателями, которые без FLoC эту информацию бы не получили. Более того, это совершенно новый способ разглашения данных, которого история ещё не знала.
Что хуже, эту информацию будут получать сайты, на которых вы уже залогинены, а также сторонние скрипты. К примеру, аптека или сайт, на которых вы обычно что-то покупаете, получат дополнительную информацию о ваших интересах, а также поделятся ей со всеми своими сторонними аналитическим скриптами (включая Фейсбук, Яндекс и остальную тусовку любителей больших данных).
Google заявляет, что FLoC лучше обеспечивает конфиденциальность, хоть и передаёт сайтам информацию о вас, и вот почему:
По словам Google, FLoC обеспечивает большую приватность, чем использование сторонних кук. Однако многие браузеры не работают со сторонними куками, в частности, Brave всегда их блокировал. Получается, сравнивать и не с чем, если не говорить о самом Chrome — таком, какой он сейчас.
Google подчёркивает, что работа ведётся с данными не конкретного пользователя, а целой группы, выбранной на условиях k-анонимности (то есть группы размером k клиентов, со сходными интересами), то есть вреда конфиденциальности конкретных пользователей нет. Однако, это подмена понятий. Многие интересы, убеждения и прочие «параметры», присуще человеку, совершенно неуникальны, но это не значит, что их можно распространять без согласия пользователя. Это личное дело условного Василия Васильевича Пупкина, хочет он носить куртку или пальто, атеист он или буддист, предпочитает ли он смотреть аниме, отрицать ГМО или поддерживать Столлмэна. Есть множество вещей, которыми мы можем делиться с кем-то, а от кого-то скрывать.
В целом идея о том, что конфиденциальность есть исключительно отсутствие межсайтового отслеживания, в корне неверна. Любая концепция приватности должна включать в себя положение «не распространять информацию о человеке без его разрешения». Технология FLoC «улучшает приватность» путём циничной подмены понятия «приватность».
С FLoC сайтам проще за вами следить
Данные FLoC существенно обогащают цифровой отпечаток (фингерпринт) браузера, который и без FLoC достаточно трудно размыть. В Гугле предполагают, что с этим поможет подход Privacy Budget — это блокировка идентифицирующих пользователя запросов от конкретного сайта, когда их количество превышает определённый «лимит доверия».
Год назад мы объясняли, почему сомневаемся в успехе такого подхода. Гугл не развеивает никаких опасений, кроме того, до сих пор точно не специфицировано, как именно будет работать Privacy Budget — эта задача всё ещё на стадии проверки гипотез.
Выпуск функции, вредящей конфиденциальности, одновременно с изучением возможностей по предотвращению этого вреда — это и есть корень зла, из которого выросла гидра фингерпринтинга.
FLoC даёт ложное представление о приватности и её важности
Google известны все опасения, но конкретных решений не оглашает. Например, компании отмечает, что некоторые способы категорирования (сексуальная ориентация, политические убеждения, медицинские проблемы) будут исключены из FLoC, и что компания работает над тем, чтобы различные «деликатные» параметры не учитывались. Но это уловка-22 — получается, чтобы исключить подобные группы, нужно как раз таки сперва сделать по ним выборку. Система, которая определяет, какая именно когорта не проходит по «деликатному» параметру, фиксируя, сколько именно пользователей им обладает, абсурдна.
Кроме того, идея создания глобального списка «деликатных категорий» алогична и аморальна. Понятие о том, что именно является деликатным, у разных людей разное. Возьмём мужчину и женщину, которые интересуются платьями. Для женщины это считается нормой, а для мужчины? Это уж точно решать не Google. Взрослые, ожидающие ребёнка, не будут скрывать свой интерес к детским товарам, а напуганная и нервничающая девушка? Два разных человека могут искать одно и то же, но для одного это будет социально приемлемой нормой, а для другого – серьёзным выходом из зоны комфорта, и этот выход – его личное дело.
Не так важно, что «деликатные категории», по версии Google, будут какими-то неполными. Система, обеспечивающая приватность, которая основана на прибитом гвоздями списке «деликатных категорий» или единственно верном (а значит, всесильном) определении «чувствительного поведения», не имеет никакого отношения к приватности.
FLoC вредит и сайтам, и паблишерам
Хотя в основном наши опасения по поводу FLoC касаются пользователей, некоторые сайты также могут пострадать — те, которым пользователи доверяют наиболее всего.
Представьте, что вы владелец сайта по продаже, скажем, музыки для польки. У вас сложившееся комьюнити покупателей – любителей польки. Ниша очень узкая, вы себя в ней чувствуете как рыба в воде, к вам идут все, кто хочет послушать польку, соответственно, вы можете поставить цены выше, чем на менее специализированных сайтах. Однако, FLoC в Chrome сможет идентифицировать ваших клиентов как любителей польки и передать эту информацию другим сайтам, которые с удовольствием перетянут вашу аудиторию.
FLoC будет транслировать номер когорты любителей польки любым скриптам, которые запросят информацию из FLoC, и, конечно, они не преминут этим воспользоваться. Этот очевидный сценарий FLoC продолжит поддерживать даже после отмирания сторонних кук.
Мы призываем сайты отключить FLoC
Учитывая, что FLoC может быть вреден и владельцам сайтов, мы рекомендуем сайтам отказать от участия во FLoC (как это уже делают многие, например, Гитхаб). Мы считаем, что любые новые технологии, которые потенциально могут угрожать приватности, не должны включаться по умолчанию — это базовый принцип уважения к пользователям. Очевидно, Google включает FLoC по умолчанию, потому что иначе эта функциональность не соберёт нужного для рекламодателей объёма данных.
Итого
FLoC вместе со многими другими элементами Privacy Sandbox — это поворот не туда. Интернету нужны коренные изменения, чтобы покончить со слежкой за пользователями, FLoC же работает с точностью до наоборот. Вместо радикального лечения прогнившей рекламной индустрии Google предлагает нам то же самое, но в другой руке.
Главным вопросом при создании технологий должно быть: «хотят ли этого пользователи?». Вместо этого, FLoC и Privacy Sandbox интересуются «как продавать побольше рекламы, чтобы пользователи не заметили или хотя бы возмущались не очень громко». Проект Brave — живое доказательство, что радикальные действия в правильном направлении идут на пользу как интернету в целом, так и пользователям, издателям, и даже рекламодателям.