1 điểm bởi GN⁺ 2024-11-26 | 1 bình luận | Chia sẻ qua WhatsApp
  • Thông qua bối cảnh châm biếm rằng website có thể đâm người dùng, Do-Not-Stab cho phép người dùng gửi qua HTTP header tùy chọn rằng họ không muốn bị đâm
  • Cú pháp header chỉ có một dạng là Do-Not-Stab: 1, và nếu không có header thì được hiểu là người dùng muốn bị đâm
  • User agent không được bật giá trị này theo mặc định; nếu đây là tín hiệu được đặt mặc định thì dịch vụ web có thể bỏ qua và vẫn đâm người dùng theo quy tắc
  • Microsoft cam kết hỗ trợ Do-Not-Stab chỉ trong EEA, và ngoài EEA thì ngay cả khi đặt header người dùng vẫn có thể bị đâm
  • Thông qua việc các ngoại lệ như lợi ích thương mại, yêu cầu của chính phủ, xử lý đồng ý và yêu cầu của cổ đông có thể được ưu tiên hơn lo ngại an toàn, bài viết chỉ trích cách các công ty đề cao quyền lựa chọn của doanh nghiệp

Quy tắc của header Do-Not-Stab

  • Do-Not-Stab là một HTTP header cho phép người dùng thông báo cho website về tùy chọn của mình đối với việc bị đâm
  • Trong bối cảnh châm biếm, 50 năm phát triển thiết bị ngoại vi đã khiến website có thể đâm người dùng, thậm chí còn hình thành cả ngành Stabbings as a Service
  • Các tác nhân độc hại có thể phớt lờ tùy chọn của người dùng, nhưng bài viết cho rằng phần lớn các vụ đâm không phải do tác nhân độc hại mà do các doanh nghiệp hợp pháp thực hiện
  • Tiêu chuẩn này cung cấp cho người dùng một cách dễ dàng để từ chối mọi vụ đâm, nhưng vẫn để lại ngoại lệ cho những vụ đâm do pháp luật yêu cầu và những vụ đâm mà công ty dù sao vẫn muốn làm
  • Chỉ có một cú pháp duy nhất
    • Do-Not-Stab: 1
    • Nếu không có header thì được hiểu là người dùng muốn bị đâm
  • User agent không được áp dụng header này làm tùy chọn mặc định
    • Trong trường hợp đó, dịch vụ web được khuyến nghị bỏ qua tùy chọn này và đâm người dùng
    • Lý do là việc người dùng có muốn bị đâm hay không không thể do user agent quyết định mà phải là lựa chọn rõ ràng của người dùng

Phạm vi áp dụng và ngoại lệ

  • Microsoft cam kết sẽ hỗ trợ header Do-Not-Stab trong EEA, tức Khu vực Kinh tế châu Âu
  • Ngoài EEA, việc hỗ trợ vẫn đang được triển khai nên ngay cả khi đặt header thì người dùng vẫn có thể bị đâm
  • Nếu một quốc gia rời EEA thì người dùng ở quốc gia đó có thể bị đâm
  • Ngoại lệ của Do-Not-Stab được chấp nhận khi lợi ích thương mại lớn hơn lo ngại an toàn
    • Bao gồm cả trường hợp người dùng đồng ý bị đâm, kể cả khi người dùng không biết mình đã đồng ý
    • Với các vụ đâm do chính phủ yêu cầu, website được khuyến nghị không tranh cãi về tính hợp pháp và bài viết nói rằng có lẽ người dùng cũng đáng bị như vậy
    • Những vụ đâm mà người dùng có khả năng không chết
    • Khi cổ đông muốn vậy
  • Phần bình luận của biên tập viên chỉ trích tình trạng các công ty biết rõ không nên làm nhưng chỉ dừng lại khi bị yêu cầu một cách minh thị là không được làm
    • Bài viết cho rằng Microsoft chỉ tôn trọng lựa chọn của người dùng trong EEA vì chỉ ở đó họ mới có nghĩa vụ phải làm vậy
    • Bài viết cũng chỉ trích việc IE từng đặt Do-Not-Track làm mặc định khiến mọi người đều phớt lờ tín hiệu từ IE
    • Kèm theo liên kết Xem trước các thay đổi trong Windows để tuân thủ Đạo luật Thị trường Kỹ thuật số trong EEA
    • Trích dẫn cụm “We and our 756 partners process personal data” để chỉ trích mạnh mẽ thực tiễn adtech xử lý dữ liệu cá nhân cùng với 756 đối tác

1 bình luận

 
GN⁺ 2024-11-26
Ý kiến trên Hacker News
  • Sự châm biếm thì xuất sắc, nhưng điểm cốt lõi là nó phản chiếu nguyên vẹn một chuyển biến xã hội lớn hơn: gánh nặng bảo vệ quyền tự chủ cá nhân đã chuyển từ các tổ chức và cơ quan quản lý sang từng người dùng cá nhân
    Dù là Do-Not-Stab hay Do-Not-Track, trước áp lực tài chính, bất kỳ hình thức tuân thủ tự nguyện nào cũng khó mà đứng vững ngay từ điểm xuất phát
    Giờ cần bình thường hóa lại thái độ đối đầu quyết liệt với những vấn đề như thế này, và phải bảo vệ một cách quyết liệt, mang tính đối kháng, quyền được dùng máy tính của mình theo cách mình muốn

    • Trên HN, hễ nhắc đến Firefox là thường có cả đống ngụy biện giải pháp hoàn hảo, nên việc một thông điệp như thế này được upvote mạnh là điều thú vị
      Ngành phần mềm biết rõ Chrome là phần mềm quảng cáo nhưng vẫn trải thảm đỏ bằng cách cài nó cho máy của mình và của người thân; trong khi chi phí chuyển sang phương án thay thế cực thấp mà vẫn không chuyển, nên tôi hoài nghi việc mọi người sẽ quyết liệt đấu tranh vì chuyện này
    • Đúng vậy. Là một người thuộc thế hệ millennial, tôi cảm thấy thời còn có bất tuân dân sự thì tốt hơn
      Không chỉ giành được một Internet tốt hơn cho người tiêu dùng, mà những công ty tốt hơn cũng được tưởng thưởng và chiến thắng. Có thể là do hoài niệm tô hồng, nhưng một lý do khác khiến bất tuân là cần thiết là vì phía bên kia cũng làm vậy vì tiền
      Cụ thể với cookie, liệu có thể làm thứ gì đó kiểu Adblock không? Tôi nghĩ dữ liệu bị làm bẩn có lẽ hiệu quả hơn việc chặn. Nếu họ đòi dữ liệu thì cứ đưa dữ liệu cho họ. Nếu họ đòi khi chưa có sự đồng ý, dữ liệu bị làm bẩn chỉ là tuân thủ ác ý mà thôi
      Cũng có thể chuẩn hóa như một phần mở rộng của DNT, kiểu “sau header DNT, nếu yêu cầu đồng ý thì user agent có thể tạo dữ liệu tổng hợp tùy ý”
    • Nói thật nghiêm ngặt thì, nó là châm biếm xuất sắc chính vì phản chiếu sự thay đổi đó. Nó chịu ảnh hưởng nhiều từ nguyên tác A Modest Proposal
    • Dù có cố bảo vệ một cách quyết liệt và đối kháng quyền dùng máy tính theo cách mình muốn, đáng buồn là cuối cùng lúc nào cũng thành cuộc chiến tiêu hao
      Các công ty dường như biết rằng chỉ cần tăng chi phí kháng cự của người dùng xét theo thời gian và mức bực bội thì về dài hạn họ sẽ thắng. Lịch sử và hướng đi của các nền tảng, từ trình duyệt đến App Store rồi đủ loại SaaS, là một bi kịch; ở mỗi bước, quyền kiểm soát của người dùng lại tiếp tục giảm
      Câu hỏi lớn giờ là AI sẽ xoay quanh doanh nghiệp hay được dân chủ hóa, và đến mức nào; tôi thấy khó mà lạc quan
      Hoặc nếu không muốn tiếp tục bấm Do-Not-Stab thêm 60 năm nữa, bạn cũng có thể trở thành kiểu như người chăn cừu. Chừng 10 năm thì có lẽ ổn, nhưng cuối cùng sẽ đến lúc muốn dùng ô tô, máy rửa bát hay công tắc đèn thì phải bấm Do-Not-Stab, và khi đó doanh nghiệp thắng
      Rốt cuộc bạn sẽ nói “chỉ riêng việc họ hỏi trước khi đâm mình đã đáng để biết ơn rồi, thật ra là mình mắc nợ họ”, rồi mong chờ tình yêu và tiền bạc đổ về sau khi trở thành influencer chăn cừu nổi tiếng. Nhớ like và subscribe, doanh nghiệp muôn năm như mọi khi
    • Thời điểm tốt nhất để bắt đầu chuyện đó là 19 ngày trước, nhưng giờ đã đến nước này rồi. Phải thắt dây an toàn thôi
  • Điều quan trọng là header Do-Not-Stab từng được một engine trình duyệt bật mặc định, nhưng đã bị loại bỏ vì mô hình yêu cầu người dùng đồng ý rõ ràng với việc bị đâm đã làm tổn hại doanh thu của ngành công nghiệp đâm chém
    May thay, có người đã tạo ra một lựa chọn phi chuẩn tên là General Assault Control; nó cũng chỉ có một giá trị duy nhất, nên có thể đặt Sec-GAC thành 1 để yêu cầu website đừng tấn công
    Theo thiết kế, header này không thể mở rộng, nên về sau không thể dùng để phân biệt giữa chém giết tàn bạo và trò hài ném bánh vào mặt
    Do yêu cầu pháp lý, header General Assault Control không thể được bật mặc định. Ở các bang của Mỹ như Colorado, luật yêu cầu từ chối rõ ràng chứ không phải đồng ý rõ ràng
    Điều này bảo vệ ngành đâm chém và bắn súng đang phát đạt của Colorado, vì hầu hết người dùng hẳn là không muốn bị đâm
    Tính năng này phải bị tắt mặc định, nhưng tổ chức tạo ra đặc tả đang thúc mạnh khách hàng tải một trình duyệt bên lề có triển khai tính năng này. Tuy nhiên, để bật có thể vẫn cần about:config
    Do cơ sở người dùng nhỏ, các website không tuân theo chuẩn có thể tận dụng chính yêu cầu đừng tấn công để khiến việc đâm chém và bắn súng chính xác hơn
    Người dùng cuối có thể yêu cầu web server một file JSON chứa thông tin về việc có hỗ trợ header GAC hay không, nhưng server không tuân thủ có thể dùng yêu cầu tới URL này để đá rụng răng người dùng

    • Giờ để tuân thủ quy định châu Âu, thông lệ là trước khi dùng website, người dùng sẽ được hiển thị danh sách các tội phạm bạo lực nhắm vào cá nhân mà họ có thể từ chối
      Như vậy, việc không đồng ý bị đâm luôn là một lựa chọn chủ động, và những người dùng muốn bị đâm hoặc bị làm cho tàn phế sẽ không vô tình bỏ lỡ cơ hội đó
    • Tại sao phải là giá trị nhị phân? Thế còn người khổ dâm, hoặc người thua cược nên chỉ muốn bị đâm nhẹ một chút, hay người muốn bị bóp cổ thì sao?
  • Cái này quá lộ liễu là đứng về phía bộ máy quan liêu EU. Không có gì lạ khi châu Âu không có công ty SaaS lớn, vì môi trường kinh doanh không thân thiện với việc đâm chém

    • Đúng vậy, tại sao EU không thể để ngành stabtech yên ổn đâm người cơ chứ
    • Tôi nghĩ về mặt sự kiện thì sai. Có những công ty như Skype, Spotify, Revolut, Zendesk, Transferwise, và cũng có khá nhiều unicorn châu Âu vận hành theo mô hình SaaS
      Ít hơn các công ty Mỹ và Trung Quốc, nhưng một số đã bị mua lại hoặc chuyển cơ sở sang nước khác
  • Với mức giá rẻ 20 đô la cho mỗi 1.000 lượt nhấp, chúng tôi sẽ cung cấp banner đồng ý bị đâm tuân thủ đầy đủ các quy định sắp tới của EU và California về đâm chém trên web

    • Tôi sẽ mua. Việc phân biệt giữa các loại đâm “thiết yếu”, “nhắm mục tiêu”, “hiệu năng” và “chức năng” đúng là một bãi mìn
      Hơn nữa, tôi còn không biết phải công khai đúng cách thế nào về 846 broker đâm chém mà tôi làm việc cùng. Quan liêu cản đường thế này thì người ta sống bằng nghề đâm chém kiểu gì đây
    • Nhân tiện, theo nghiên cứu, ở banner của đối thủ, người dùng chỉ đồng ý bị đâm 95%, còn banner của chúng tôi khiến việc từ chối đúng cách mất thêm 50% thời gian, nên đạt tỷ lệ đồng ý 98%. Vì vậy dùng của chúng tôi mới là đúng
  • Website này trông như một phần của webring gồm người chuyển giới MtF, furry, những người tự nhận là robot, và các tổ hợp của những nhóm đó. Một số thậm chí chỉ dùng đại từ ngôi thứ ba
    Tất cả có vẻ đều là quản trị viên hệ thống hoặc lập trình viên dưới hình thức nào đó
    Không phải bộ lạc của tôi, nhưng tôi rất vui khi thấy một phản chiếu đẹp đẽ của Internet xưa trong webring này

  • Header Do Not Track được hai nhà nghiên cứu Christopher Soghoian và Sid Stamm đề xuất lần đầu vào năm 2009, và Mozilla Firefox là trình duyệt đầu tiên triển khai tính năng này
    https://en.wikipedia.org/wiki/Do_Not_Track#:~:text=The%20Do%...

    • Tôi tò mò thực tế có bao nhiêu nhà phát triển web tôn trọng Do Not Track
      Tất cả các site tôi làm, cả những site tôi làm cho nhà tuyển dụng, đều tuân thủ. Có điều tôi nghĩ làm được vậy là nhờ nhà tuyển dụng không biết
      Tôi đã làm để khi duyệt với Do-Not-Track bật, banner đồng ý cookie cũng bị bỏ qua, và coi như người dùng không muốn bất cứ thứ gì ngoài những thứ thật sự cần thiết như cookie phiên và cookie đăng nhập
      Tôi cũng không nhúng Google Analytics, chỉ tăng một bộ đếm lượt xem đơn lẻ của trang mà không có thông tin định danh cá nhân
    • Năm 2002 từng có một chuẩn tinh vi hơn nhiều tên là P3P do W3C khuyến nghị. Có vẻ nó định nghĩa một định dạng để mô tả doanh nghiệp có thể sử dụng dữ liệu cá nhân như thế nào
      Nhưng có lẽ nó bị xem là quá phức tạp và “thiếu khả năng thực thi”
      Nếu sống sót đến thời GDPR thì có thể nó đã có sức thực thi, nhưng Mozilla đã gỡ bỏ hỗ trợ trước đó
  • Nói rằng “vì mọi công ty đều thật sự ghét người dùng” thì không hẳn chính xác
    Thực ra không phải họ ghét người dùng, mà gần hơn là họ yêu tiền của người dùng và thể hiện sự thờ ơ tha hóa với chính người dùng

    • Họ không ghét người dùng, nhưng đang muốn ăn thịt người dùng: https://www.lesswrong.com/posts/ENBzEkoyvdakz4w5d/out-to-get...
    • Không, họ yêu số tiền có thể kiếm được từ người dùng. Trong số những người tôi biết, không ai trực tiếp đưa tiền cho họ
      Cấu trúc là các công ty đáng ngờ thu thập dữ liệu rồi bán dữ liệu về người dùng cho các công ty đáng ngờ khác. Và tất cả những thứ này được cung cấp miễn phí cho người dùng
    • Làm tôi nhớ đến nửa sau của tiểu phẩm này: https://www.youtube.com/watch?v=uQjUh4nWwaM
    • Có vẻ bạn vừa mới phát hiện ra chủ nghĩa tư bản có hại cho con người. Ai mà biết được chứ
  • Bình tĩnh nào. Các tổ chức vẫn còn rất nhiều lựa chọn khác. Chắc vẫn sẽ không có hỗ trợ Do-Not-Shoot, Do-Not-Rape, Do-Not-Stone, nên cả gia đình vẫn có thể cùng vui

    • Cũng đừng quên robots.txt
  • Nếu RFC là request for comment, tôi vẫn luôn thắc mắc: bình luận thì để lại thế nào, và ai là người để lại?

    • Theo một giai thoại tôi nghe trong lớp mạng máy tính ở đại học, cái tên RFC được đặt hơi như một trò đùa, và khi một đề xuất đã đến giai đoạn RFC thì nghĩa là bình luận không còn được chào đón cho lắm
      Ý là góp ý phải được đưa ra từ sớm hơn rất nhiều
      Tôi không biết giai thoại này có đúng không, nhưng đúng là RFC thường hoạt động như phán quyết cuối cùng cho tiêu chuẩn tương ứng
      Trên thực tế, một khi RFC nhận được ID thì không thể sửa hay rút lại, chỉ có thể được thay thế bằng một RFC khác
    • Các RFC thời kỳ đầu thật sự là lời mời góp ý về ý tưởng và đề xuất, mục tiêu không phải tạo ra kho lưu trữ tiêu chuẩn hay thông lệ tốt nhất mà là khởi động đối thoại
      Theo thời gian, khi quy trình xuất bản trở nên chính thức hơn và cộng đồng tiêu thụ tài liệu lớn hơn, mục tiêu đã thay đổi
      Ngày nay đã có hơn 8.500 RFC được xuất bản, bao gồm hướng dẫn thông lệ tốt nhất, giao thức thử nghiệm, tài liệu thông tin, và tất nhiên cả tiêu chuẩn Internet
      https://www.rfc-editor.org/rfc/rfc8700.html
      Ngày nay bạn phải góp ý trước khi nó đạt đến giai đoạn “tiêu chuẩn Internet”
    • RFC vận hành dưới IETF. RFC được phát triển trong một nhóm cụ thể, bạn có thể tham gia nhóm đó, và công việc thường diễn ra qua email
      Hồi tôi còn tham gia thì cũng có các cuộc họp trực tiếp, nhưng việc tham dự không bắt buộc
    • Một cách diễn giải khác là “request for compliance”, tức yêu cầu tuân thủ
    • Có thể gửi bản đính chính. Có lẽ nên đổi tên thành RFE
  • Chẳng phải cuối cùng header này cũng chỉ trở thành thêm một mẩu entropy nữa để các công ty đằng nào cũng sẽ đâm người dùng sử dụng sao?

    • Nếu không có hậu thuẫn pháp lý thì đúng. Nếu có thì câu chuyện đã hoàn toàn khác
    • Nếu biến việc lạm dụng header thành bất hợp pháp, thì chỉ những kẻ bất hợp pháp mới đâm người dùng