Мы в Brave сильно обеспокоены планами Google по внедрению Privacy Sandbox. Регуляторы могут рассматривать Privacy Sandbox как независимый набор технологий, но это фундаментальная ошибка: Privacy Sandbox необходимо рассматривать вместе с другими гугловскими идеями, и совершенно точно необходимо учитывать, насколько радикально зловредным Privacy Sandbox может оказаться на практике.
Google продвигает Privacy Sandbox как систему защиты конфиденциальности и открытости в сети. Мы же думаем, что в реальности эта затея навредит конфиденциальности и лишь укрепит контроль Google над сетью (как обычно). Сегодня мы поговорим о проблемах Privacy Sandbox, которые не обсуждались ранее.
Мы обеспокоены этой функциональностью не только как разработчики альтернативного браузера, но и как обычные пользователи, которые опасаются того, что Privacy Sandbox угрожает фундаментальным основам свободной сети, а именно принципу, согласно которому пользователи могут настраивать своё взаимодействие с сетью под свои нужды и желания, а сетевые технологии разрабатываются в первую очередь для пользователей, а не для корпораций.
Privacy Sandbox повредит возможности выбора
Логично сомневаться в честности продавца противоядия, который разбогател, отравив колодцы. Поэтому веб-сообщество должно сомневаться в обещаниях и намерениях гугла в том, что касается конфиденциальности, ведь именно они годами извлекают выгоду из наиболее лицемерных нарушений в этой сфере, которые они и пытаются укоренить.
Privacy Sandbox от Google «улучшает» конфиденциальность в сети, только если вы сравниваете его с Google Chrome, безусловно худшим в этой сфере популярным браузером.
Но хоть Chrome и неприемлем с точки зрения защиты ваших данных, по крайней мере, он не мешает жизни сети, в которой другие браузеры и инструменты конфиденциальности обеспечивают правильный уровень приватности. Privacy Sandbox улучшает (и то не сильно) защиту конфиденциальности, ограничивая, ломая или ослабляя другие инструменты. Privacy Sandbox убивает для пользователя возможность выбора.
Взглянем на несколько примеров непотребств Privacy Sandbox, которые ухудшат приватность пользователей.
Manifest v3
Manifest v3 описывает запланированные гуглом изменения в браузерных расширениях. Как разработчики, так и организации, защищающие конфиденциальность, серьёзно критиковали эти планы. Помимо всего прочего, Manifest v3 ослабляет возможности расширений блокировать трекеры, включая (сюрприз) последнее поколение трекающих скриптов гугла. Гугл продвигает технологию server-side tagging в своих трекающих библиотеках; она позволяет обходить инструменты защиты конфиденциальности. Грамотно созданные расширения могут пользоваться функциями Manifest v2 для блокировки таких трекеров (например, анализируя паттерны и параметры запросов, контекстуальную информацию на странице и т.д.). Manifest v3 убивает эти возможности, а значит, и возможность заблокировать трекинг на сервере.
First-Party Sets
Идея First-Party Sets преднамеренно ослабит конфиденциальность границ между сайтами, что облегчает трекерам слежку за пользователями в сети. Больше того, пользователям будет крайне сложно, если не невозможно, предсказать, какие их личные данные будут провязаны между разными сайтами.
Signed Exchange
Идея Signed Exchange (SXG) позволит одной организации обслуживать сайты от лица другой. Сейчас, загружая страницы, к примеру, news.example, вы знаете, что взаимодействуете и получаете контент именно с news.example. SXG задумана таким образом, что у вас будет лишь видимость взаимодействия с news.example, а по факту вы будете взаимодействовать с гуглом, который сможет воспользоваться этой информацией, чтобы ещё тщательнее следить за вами.
WebBundles
Идея WebBundles, часть предложения FLEDGE, позволит сайту получить множество веб-ресурсов (картинки, скрипты и т.д.) с одного адреса, примерно как zip-архив, содержащий в себе множество файлов. Как мы уже говорили больше года назад, технология WebBundles чрезвычайно вредна с точки зрения конфиденциальности. Точно так же, как злоумышленники доставляют зловредный код на ваш компьютер, запаковывая его в безобидно выглядящие вложения (получали когда-нибудь письма с вложениями типа «семейные фотки.zip»?), сайты смогут использовать WebBundles, чтобы протащить трекеры в ваш браузер, вызывая site-resources из WebBundle и заполнив его зловредными скриптами.
Естественно, Manifest v3 не даёт расширениям осмысленно блокировать ресурсы внутри такого пакета. Мы и раньше предупреждали, что трекеры будут использовать WebBundles для удаления значимой информации (например, адресов) из ресурсов в таком пакете, а теперь мы видим, что гугл предлагает именно это. Подход, предложенный большим братом, также не даёт клиентам выбирать, какие именно ресурсы из пакета они хотели бы загрузить, что приведёт к загрузкам ненужных байтов, а это существенно для пользователей, чей интернет дорог или труднодоступен.
Что имеем с точки зрения пользовательского выбора?
К сожалению, проблемы с подходом к конфиденциальности Privacy Sandbox далеко не ограничиваются вышеперечисленным. FLoC преднамеренно делится информацией о ваших интересах с сайтами, которые вы посещаете, а Privacy Budget — это изначально провальная затея, призванная помочь гуглу в их тёмном деле напичкивания сети функциями, которые позволяют фингерпринтить пользователей, и т.д.
Давайте взглянем на сухой остаток:
Privacy Sandbox и связанные с ней технологии улучшают конфиденциальность только при циничном и узколобом подходе «ну, лучше же, чем Google Chrome»;
Эти новые технологии серьёзно усложнят работу других браузеров и инструментов конфиденциальности (таких, как блокировщики рекламы) по защите личных данных пользователей.
Privacy Sandbox способствует централизации
Privacy Sandbox продолжит цементировать позицию гугла как монополиста сети. Как уже было замечено, истинная забота о конфиденциальности улучшает конкуренцию и открытость в сети. Privacy Sandbox нужна ровно для обратного: это лишь циничное предложение, которое, прикрываясь декларируемыми напоказ целями защиты конфиденциальности, ставит своей истинной целью закрепление монополии гугла, что является большим шагом назад для сети в целом. Ниже мы рассмотрим неполный список особенностей Privacy Sandbox, которые способствуют централизации в целом и укреплению монополии гугла в частности.
FLEDGE, TURTLEDOVE и Aggregate Reporting
Пропозалы FLEDGE и TURTLEDOVE от Google предполагают обработку конфиденциальных и идентифицирующих пользователей данных на доверенных централизованных серверах (это же предлагает и PARAKEET от Microsoft). Эти системы будут использовать небольшое количество серверов для сбора конфиденциальных данных от миллионов пользователей и полагаться на то, что если будет собрано достаточно подобных конфиденциальных данных, их конечный получатель не сможет установить конкретных лиц за этими данными (в зависимости от реализации, подобный подход может использовать k-анонимность, дифференцированную конфиденциальность, или что-то иное. Aggregate Reporting API в целом описывает происходящее в браузере при внедрении Privacy Sandbox). Но, согласитесь, абсурдно полагать, что компании, которые вредят конфиденциальности в сети сегодня, завтра станут самыми честными защитниками наших личных данных.
Что ещё хуже, подобный подход с доверенными серверами предполагает централизацию, и поэтому по определению будет полезен монополистам и вреден инноваторам, защищающим приватность. Ровно по той же причине, по которой трудно создать новые социальные сети, будет сложно сделать реализацию Privacy Sandbox, которая не отдавала бы по умолчанию предпочтение гигантам бигтеха. Эти системы становятся более тем мощными и полезными, чем больше у них пользователей, и, преднамеренно или непреднамеренно, сделают появление конкурентов практически невозможным.
AppStore вместо сети: SXG, WebBundles, и AMP 2.0
Privacy Sandbox и связанные с ней технологии угрожают превратить сеть в магазин Google Play. Google агрессивно продвигает использование на сайтах AMP, технологии, позволяющей ещё больше трекать вас в сети. Пользователи настолько ненавидят эту систему, что готовы платить за то, чтобы избавиться от неё.
Так же, как и в магазине Google Play, Google сможет контролировать то, что пользователи могут найти (благодаря монополизации поиска), и узнать ещё больше о пользовательских интересах. По сути, разрабатывая технологии Signed Exchange и WebBundles, Google работает над «AMP 2.0», тоталитарной системой, где какой бы результат поиска вы ни выбрали и на какую бы новость ни нажали, вы никогда не сможете избавиться от железной хватки гугла. Privacy Sandbox и связанные технологии создадут сеть с теми же кошмарами конфиденциальности и производительности, которые не отпускают мобильные приложения.
И, как и в магазине Google Play, у пользователей пропадёт возможность осмысленно контролировать и настраивать контент, который они видят в сети. Сегодня пользователи могут экономить мобильный трафик и заряд аккумулятора (например, блокируя картинки, видео, скрипты и звук), защищать свои личные данные, и в целом настраивать сайты по своему усмотрению. Privacy Sandbox ослабит или полностью уничтожит эти принципиально важные возможности. Приложения (и на Android, и на iOS) работают по принципу «всё или ничего», и у пользователей практически нет возможностей повлиять на них. Signed Exchange и WebBundles распространят эту систему на сайты, превращая их в пакеты, работающие по принципу «всё или ничего». Теперь контроль будет находиться в руках у сайтов, а пользователи (как и инструменты конфиденциальности, которыми они пользуются) превратятся в пассивных наблюдателей. Сегодня сайты — это объединения десятков или сотен ресурсов, каждый из которых браузер может или подгрузить, или заблокировать по желанию пользователя. WebBundles убирает эту возможность и по существу превращает сайты в zip-архивы, ставя пользователей перед выбором: подгружать сайт целиком или не подгружать его вообще. Точно так же сейчас инструменты браузера могут принимать решения о блокировке на основании адреса, с которого был подгружен ресурс. WebBundles превращает адреса подресурсов в бессмысленные ярлыки, что не позволяет браузерам защищать своих пользователей.
То, о чём мы говорим — не просто наши догадки. Это отражено в сценариях использования от Google для WebBundles and Signed Exchange, в предложенных стандартах WebBundles, и во внутренних документах Google, которые стали известны благодаря обнародованным антимонопольным документам Google.
Privacy Sandbox вредит самостоятельности пользователей
Privacy Sandbox нарушает самый важный принцип сети: сеть — в первую очередь для людей. Этот принцип, равно как и то, что сеть должна предоставлять людям возможность контроля, прямо закреплены в ключевых документах W3C.
Этично организованная система исходит из того, что люди обладают своими собственными предпочтениями и желаниями. Компании конкурируют друг с другом, разрабатывая продукты и системы, которые совместимы с этими предпочтениями и желаниями. Privacy Sandbox от Google делает ровно обратное: строит систему, целенаправленно разработанную для поддержки определённой бизнес-стратегии (конкретнее, онлайн-рекламы, основанной на поведении в реальном времени, то есть — вот так сюрприз — именно той сферы, в которой гугл уже доминирует), и пользуется собственной властью монополиста, чтобы заставить людей участвовать в этой системе.
Разница между Privacy Sandbox и браузерными функциями, ориентированными на пользователя, огромна. Заботящиеся о конфиденциальности браузеры включают в себя технологии, которые люди хотят: например, возможность играть в любимые игры, безопасно покупать необходимые товары, приватно общаться со своими близкими. Поставщики браузеров с удовольствием рекламируют подобные возможности, ведь люди хотят пользоваться ими, и могут даже сменить браузер ради них.
Возможности Privacy Sandbox не имеют с этим ничего общего. Никто и никогда не просил свой браузер фоново рассказывать всей сети о своих интересах (как это делает FLoC и его наследники), проводить рекламные аукционы ради выгоды организаций, о которых пользователь никогда не узнает (как FLEDGE), или же убрать или ограничить собственные возможности точной настройки своего опыта в сети (как WebBundles и Manifest v3), и так далее. То, что Google обсуждает технологии в своих планах с рекламодателями и разработчиками, но не особо-то распространяется про них своим пользователям, многое о нём говорит.
Сеть пока ещё остаётся одной из популярных платформ, которая ставит пользователей на первое место (во многом благодаря работе активистов, рыночной конкуренции, и участии представителей гражданского общества в работе органов стандартизации). Privacy Sandbox станет огромным и потенциально необратимым ошибочным шагом в сторону ухода от истинных ценностей сети и по направлению к её превращению в очередную систему, в которой люди — это ресурс и винтики в машине, обслуживающей интересы монополистов.
Начнётся в хроме, а навредит всем
Условный большой ценитель Privacy Sandbox мог бы возразить: «но ведь эти изменения касаются только лишь хрома, а другие браузеры могут воспользоваться ими, если посчитают нужным, или вообще ими не пользоваться». Мы уже привыкли к такого рода отговоркам: мы слышим их, взаимодействуя с Google (по вопросам стандартов) и регуляторами. Они смехотворны.
Изменение, которое, как Manifest v3, ослабит возможности расширений конфиденциальности, уменьшит пользу от такого инструмента, а, следовательно, и количество людей, участвующих в создании списков фильтрации, на которых работают эти инструменты. К тому же, изменения в поведении доминирующего браузера по отношению к конфиденциальности (как те, что описаны выше) влияют не только на этот браузер. Браузеры, защищающие личные данные пользователей, будут вынуждены как-то реагировать на эти изменения, и в этой войне с монополией гугла победить они не могут по определению, так как будут вынуждены либо внедрять компрометирующие конфиденциальность технологии от большого брата, либо довольствоваться браузером, который будет ломаться на сайтах, разработанных для работы с Chrome.
Что в итоге?
2022 год станет ключевым для развития сети, и у нас есть поводы как для надежд, так и для беспокойства. С позитивной стороны, регулятивные органы наконец-то заметили чудовищный вред обществу от слежки в сети (или, как её ещё называют, «реклама в реальном времени, основанная на поведении пользователя») и то, что именно сетевые техномонополисты наносят этот вред. Озабоченность Privacy Sandbox в Великобритании, осмысленное законодательство в Калифорнии (CCPA), а также наконец-то озвученный скептицизм относительно бизнес-стратегий Facebook и Google со стороны правительств дают повод для надежды.
Однако же, если пользователи и регуляторы не обратят внимание на все действия Google, взятые целиком, а не только на Privacy Sandbox, случится провал. Мы обеспокоены тем, что веб-сообщество, активисты и регуляторы слишком сфокусированы на том, что Google предлагает сегодня, и не замечают из-за этого гораздо более зловещую траекторию, которой Google двигается к сети завтрашнего дня.
Мы хотим видеть сеть открытой, конкурентной и заботящейся о пользователе. Мы должны и дальше защищать конфиденциальность пользователей, ни в коем случае не теряя то, что делает сеть столь ценным инструментом общества.