RFC 35140: Chính sách HTTP Do-Not-Stab (2023)
(5snb.club)- Thông qua bối cảnh châm biếm rằng website có thể đâm người dùng,
Do-Not-Stabcho phép người dùng gửi qua HTTP header tùy chọn rằng họ không muốn bị đâm - Cú pháp header chỉ có một dạng là
Do-Not-Stab: 1, và nếu không có header thì được hiểu là người dùng muốn bị đâm - User agent không được bật giá trị này theo mặc định; nếu đây là tín hiệu được đặt mặc định thì dịch vụ web có thể bỏ qua và vẫn đâm người dùng theo quy tắc
- Microsoft cam kết hỗ trợ
Do-Not-Stabchỉ trong EEA, và ngoài EEA thì ngay cả khi đặt header người dùng vẫn có thể bị đâm - Thông qua việc các ngoại lệ như lợi ích thương mại, yêu cầu của chính phủ, xử lý đồng ý và yêu cầu của cổ đông có thể được ưu tiên hơn lo ngại an toàn, bài viết chỉ trích cách các công ty đề cao quyền lựa chọn của doanh nghiệp
Quy tắc của header Do-Not-Stab
Do-Not-Stablà một HTTP header cho phép người dùng thông báo cho website về tùy chọn của mình đối với việc bị đâm- Trong bối cảnh châm biếm, 50 năm phát triển thiết bị ngoại vi đã khiến website có thể đâm người dùng, thậm chí còn hình thành cả ngành Stabbings as a Service
- Các tác nhân độc hại có thể phớt lờ tùy chọn của người dùng, nhưng bài viết cho rằng phần lớn các vụ đâm không phải do tác nhân độc hại mà do các doanh nghiệp hợp pháp thực hiện
- Tiêu chuẩn này cung cấp cho người dùng một cách dễ dàng để từ chối mọi vụ đâm, nhưng vẫn để lại ngoại lệ cho những vụ đâm do pháp luật yêu cầu và những vụ đâm mà công ty dù sao vẫn muốn làm
- Chỉ có một cú pháp duy nhất
Do-Not-Stab: 1- Nếu không có header thì được hiểu là người dùng muốn bị đâm
- User agent không được áp dụng header này làm tùy chọn mặc định
- Trong trường hợp đó, dịch vụ web được khuyến nghị bỏ qua tùy chọn này và đâm người dùng
- Lý do là việc người dùng có muốn bị đâm hay không không thể do user agent quyết định mà phải là lựa chọn rõ ràng của người dùng
Phạm vi áp dụng và ngoại lệ
- Microsoft cam kết sẽ hỗ trợ header
Do-Not-Stabtrong EEA, tức Khu vực Kinh tế châu Âu - Ngoài EEA, việc hỗ trợ vẫn đang được triển khai nên ngay cả khi đặt header thì người dùng vẫn có thể bị đâm
- Nếu một quốc gia rời EEA thì người dùng ở quốc gia đó có thể bị đâm
- Ngoại lệ của
Do-Not-Stabđược chấp nhận khi lợi ích thương mại lớn hơn lo ngại an toàn- Bao gồm cả trường hợp người dùng đồng ý bị đâm, kể cả khi người dùng không biết mình đã đồng ý
- Với các vụ đâm do chính phủ yêu cầu, website được khuyến nghị không tranh cãi về tính hợp pháp và bài viết nói rằng có lẽ người dùng cũng đáng bị như vậy
- Những vụ đâm mà người dùng có khả năng không chết
- Khi cổ đông muốn vậy
- Phần bình luận của biên tập viên chỉ trích tình trạng các công ty biết rõ không nên làm nhưng chỉ dừng lại khi bị yêu cầu một cách minh thị là không được làm
- Bài viết cho rằng Microsoft chỉ tôn trọng lựa chọn của người dùng trong EEA vì chỉ ở đó họ mới có nghĩa vụ phải làm vậy
- Bài viết cũng chỉ trích việc IE từng đặt Do-Not-Track làm mặc định khiến mọi người đều phớt lờ tín hiệu từ IE
- Kèm theo liên kết Xem trước các thay đổi trong Windows để tuân thủ Đạo luật Thị trường Kỹ thuật số trong EEA
- Trích dẫn cụm “We and our 756 partners process personal data” để chỉ trích mạnh mẽ thực tiễn adtech xử lý dữ liệu cá nhân cùng với 756 đối tác
1 bình luận
Ý kiến trên Hacker News
Sự châm biếm thì xuất sắc, nhưng điểm cốt lõi là nó phản chiếu nguyên vẹn một chuyển biến xã hội lớn hơn: gánh nặng bảo vệ quyền tự chủ cá nhân đã chuyển từ các tổ chức và cơ quan quản lý sang từng người dùng cá nhân
Dù là Do-Not-Stab hay Do-Not-Track, trước áp lực tài chính, bất kỳ hình thức tuân thủ tự nguyện nào cũng khó mà đứng vững ngay từ điểm xuất phát
Giờ cần bình thường hóa lại thái độ đối đầu quyết liệt với những vấn đề như thế này, và phải bảo vệ một cách quyết liệt, mang tính đối kháng, quyền được dùng máy tính của mình theo cách mình muốn
Ngành phần mềm biết rõ Chrome là phần mềm quảng cáo nhưng vẫn trải thảm đỏ bằng cách cài nó cho máy của mình và của người thân; trong khi chi phí chuyển sang phương án thay thế cực thấp mà vẫn không chuyển, nên tôi hoài nghi việc mọi người sẽ quyết liệt đấu tranh vì chuyện này
Không chỉ giành được một Internet tốt hơn cho người tiêu dùng, mà những công ty tốt hơn cũng được tưởng thưởng và chiến thắng. Có thể là do hoài niệm tô hồng, nhưng một lý do khác khiến bất tuân là cần thiết là vì phía bên kia cũng làm vậy vì tiền
Cụ thể với cookie, liệu có thể làm thứ gì đó kiểu Adblock không? Tôi nghĩ dữ liệu bị làm bẩn có lẽ hiệu quả hơn việc chặn. Nếu họ đòi dữ liệu thì cứ đưa dữ liệu cho họ. Nếu họ đòi khi chưa có sự đồng ý, dữ liệu bị làm bẩn chỉ là tuân thủ ác ý mà thôi
Cũng có thể chuẩn hóa như một phần mở rộng của DNT, kiểu “sau header DNT, nếu yêu cầu đồng ý thì user agent có thể tạo dữ liệu tổng hợp tùy ý”
Các công ty dường như biết rằng chỉ cần tăng chi phí kháng cự của người dùng xét theo thời gian và mức bực bội thì về dài hạn họ sẽ thắng. Lịch sử và hướng đi của các nền tảng, từ trình duyệt đến App Store rồi đủ loại SaaS, là một bi kịch; ở mỗi bước, quyền kiểm soát của người dùng lại tiếp tục giảm
Câu hỏi lớn giờ là AI sẽ xoay quanh doanh nghiệp hay được dân chủ hóa, và đến mức nào; tôi thấy khó mà lạc quan
Hoặc nếu không muốn tiếp tục bấm Do-Not-Stab thêm 60 năm nữa, bạn cũng có thể trở thành kiểu như người chăn cừu. Chừng 10 năm thì có lẽ ổn, nhưng cuối cùng sẽ đến lúc muốn dùng ô tô, máy rửa bát hay công tắc đèn thì phải bấm Do-Not-Stab, và khi đó doanh nghiệp thắng
Rốt cuộc bạn sẽ nói “chỉ riêng việc họ hỏi trước khi đâm mình đã đáng để biết ơn rồi, thật ra là mình mắc nợ họ”, rồi mong chờ tình yêu và tiền bạc đổ về sau khi trở thành influencer chăn cừu nổi tiếng. Nhớ like và subscribe, doanh nghiệp muôn năm như mọi khi
Điều quan trọng là header Do-Not-Stab từng được một engine trình duyệt bật mặc định, nhưng đã bị loại bỏ vì mô hình yêu cầu người dùng đồng ý rõ ràng với việc bị đâm đã làm tổn hại doanh thu của ngành công nghiệp đâm chém
May thay, có người đã tạo ra một lựa chọn phi chuẩn tên là General Assault Control; nó cũng chỉ có một giá trị duy nhất, nên có thể đặt Sec-GAC thành 1 để yêu cầu website đừng tấn công
Theo thiết kế, header này không thể mở rộng, nên về sau không thể dùng để phân biệt giữa chém giết tàn bạo và trò hài ném bánh vào mặt
Do yêu cầu pháp lý, header General Assault Control không thể được bật mặc định. Ở các bang của Mỹ như Colorado, luật yêu cầu từ chối rõ ràng chứ không phải đồng ý rõ ràng
Điều này bảo vệ ngành đâm chém và bắn súng đang phát đạt của Colorado, vì hầu hết người dùng hẳn là không muốn bị đâm
Tính năng này phải bị tắt mặc định, nhưng tổ chức tạo ra đặc tả đang thúc mạnh khách hàng tải một trình duyệt bên lề có triển khai tính năng này. Tuy nhiên, để bật có thể vẫn cần about:config
Do cơ sở người dùng nhỏ, các website không tuân theo chuẩn có thể tận dụng chính yêu cầu đừng tấn công để khiến việc đâm chém và bắn súng chính xác hơn
Người dùng cuối có thể yêu cầu web server một file JSON chứa thông tin về việc có hỗ trợ header GAC hay không, nhưng server không tuân thủ có thể dùng yêu cầu tới URL này để đá rụng răng người dùng
Như vậy, việc không đồng ý bị đâm luôn là một lựa chọn chủ động, và những người dùng muốn bị đâm hoặc bị làm cho tàn phế sẽ không vô tình bỏ lỡ cơ hội đó
Cái này quá lộ liễu là đứng về phía bộ máy quan liêu EU. Không có gì lạ khi châu Âu không có công ty SaaS lớn, vì môi trường kinh doanh không thân thiện với việc đâm chém
Ít hơn các công ty Mỹ và Trung Quốc, nhưng một số đã bị mua lại hoặc chuyển cơ sở sang nước khác
Với mức giá rẻ 20 đô la cho mỗi 1.000 lượt nhấp, chúng tôi sẽ cung cấp banner đồng ý bị đâm tuân thủ đầy đủ các quy định sắp tới của EU và California về đâm chém trên web
Hơn nữa, tôi còn không biết phải công khai đúng cách thế nào về 846 broker đâm chém mà tôi làm việc cùng. Quan liêu cản đường thế này thì người ta sống bằng nghề đâm chém kiểu gì đây
Website này trông như một phần của webring gồm người chuyển giới MtF, furry, những người tự nhận là robot, và các tổ hợp của những nhóm đó. Một số thậm chí chỉ dùng đại từ ngôi thứ ba
Tất cả có vẻ đều là quản trị viên hệ thống hoặc lập trình viên dưới hình thức nào đó
Không phải bộ lạc của tôi, nhưng tôi rất vui khi thấy một phản chiếu đẹp đẽ của Internet xưa trong webring này
Header Do Not Track được hai nhà nghiên cứu Christopher Soghoian và Sid Stamm đề xuất lần đầu vào năm 2009, và Mozilla Firefox là trình duyệt đầu tiên triển khai tính năng này
https://en.wikipedia.org/wiki/Do_Not_Track#:~:text=The%20Do%...
Tất cả các site tôi làm, cả những site tôi làm cho nhà tuyển dụng, đều tuân thủ. Có điều tôi nghĩ làm được vậy là nhờ nhà tuyển dụng không biết
Tôi đã làm để khi duyệt với Do-Not-Track bật, banner đồng ý cookie cũng bị bỏ qua, và coi như người dùng không muốn bất cứ thứ gì ngoài những thứ thật sự cần thiết như cookie phiên và cookie đăng nhập
Tôi cũng không nhúng Google Analytics, chỉ tăng một bộ đếm lượt xem đơn lẻ của trang mà không có thông tin định danh cá nhân
Nhưng có lẽ nó bị xem là quá phức tạp và “thiếu khả năng thực thi”
Nếu sống sót đến thời GDPR thì có thể nó đã có sức thực thi, nhưng Mozilla đã gỡ bỏ hỗ trợ trước đó
Nói rằng “vì mọi công ty đều thật sự ghét người dùng” thì không hẳn chính xác
Thực ra không phải họ ghét người dùng, mà gần hơn là họ yêu tiền của người dùng và thể hiện sự thờ ơ tha hóa với chính người dùng
Cấu trúc là các công ty đáng ngờ thu thập dữ liệu rồi bán dữ liệu về người dùng cho các công ty đáng ngờ khác. Và tất cả những thứ này được cung cấp miễn phí cho người dùng
Bình tĩnh nào. Các tổ chức vẫn còn rất nhiều lựa chọn khác. Chắc vẫn sẽ không có hỗ trợ Do-Not-Shoot, Do-Not-Rape, Do-Not-Stone, nên cả gia đình vẫn có thể cùng vui
Nếu RFC là request for comment, tôi vẫn luôn thắc mắc: bình luận thì để lại thế nào, và ai là người để lại?
Ý là góp ý phải được đưa ra từ sớm hơn rất nhiều
Tôi không biết giai thoại này có đúng không, nhưng đúng là RFC thường hoạt động như phán quyết cuối cùng cho tiêu chuẩn tương ứng
Trên thực tế, một khi RFC nhận được ID thì không thể sửa hay rút lại, chỉ có thể được thay thế bằng một RFC khác
Theo thời gian, khi quy trình xuất bản trở nên chính thức hơn và cộng đồng tiêu thụ tài liệu lớn hơn, mục tiêu đã thay đổi
Ngày nay đã có hơn 8.500 RFC được xuất bản, bao gồm hướng dẫn thông lệ tốt nhất, giao thức thử nghiệm, tài liệu thông tin, và tất nhiên cả tiêu chuẩn Internet
https://www.rfc-editor.org/rfc/rfc8700.html
Ngày nay bạn phải góp ý trước khi nó đạt đến giai đoạn “tiêu chuẩn Internet”
Hồi tôi còn tham gia thì cũng có các cuộc họp trực tiếp, nhưng việc tham dự không bắt buộc
Chẳng phải cuối cùng header này cũng chỉ trở thành thêm một mẩu entropy nữa để các công ty đằng nào cũng sẽ đâm người dùng sử dụng sao?