Firefox ngừng hỗ trợ tính năng "Do Not Track"
(windowsreport.com)- Thiết lập Do Not Track (DNT), vốn gửi tín hiệu từ chối bị theo dõi đến các trang web, sẽ biến mất từ Firefox 135, và việc tùy chọn này bị gỡ bỏ đã được xác nhận trên bản dựng Nightly
- DNT hoạt động bằng cách thông báo lựa chọn của người dùng qua HTTP header, nhưng hiệu quả thấp vì nhiều trang web không tuân theo tín hiệu này
- Mozilla cho rằng trong một số trường hợp, tín hiệu DNT có thể làm giảm quyền riêng tư, và đã xác nhận việc loại bỏ trong mục Bugzilla cùng tài liệu hỗ trợ
- Giải pháp thay thế là thiết lập “Thông báo cho trang web không bán hoặc chia sẻ dữ liệu của tôi”, dựa trên Global Privacy Control (GPC)
- Hiện vẫn chưa rõ Firefox sẽ xử lý thế nào khi người dùng đã bật DNT nâng cấp lên Firefox 135, trong khi Chrome và Microsoft Edge vẫn tiếp tục cung cấp thiết lập DNT
Firefox 135 gỡ bỏ thiết lập DNT
- Mozilla đã gỡ bỏ thiết lập Do Not Track (DNT) khỏi Firefox
- Phiên bản áp dụng là Firefox 135 trở lên
- Thay đổi này đã có thể xác nhận trên bản dựng Nightly
- Trong mục “Website Privacy Preferences” của Nightly, tùy chọn “Send websites a ‘Do Not Track’ request” đã biến mất
- Mục Bugzilla Remove DNT control from about:preferences#privacy cũng xác nhận thay đổi tương tự
Giới hạn của DNT và phương án thay thế GPC
- DNT là thiết lập trình duyệt cho phép người dùng gửi ý định từ chối bị theo dõi đến các trang web
- Khi bật, nó sẽ gửi đến trang web một HTTP header đặc biệt thể hiện lựa chọn không muốn bị theo dõi của người dùng
- DNT được Christopher Soghoian và Sid Stamm giới thiệu vào năm 2009, và Firefox là trình duyệt đầu tiên triển khai tính năng này
- Lý do bị loại bỏ là vì nhiều trang web không tôn trọng tín hiệu DNT, và trong một số trường hợp, nó có thể làm giảm quyền riêng tư
- Tài liệu hỗ trợ của Firefox cho biết hộp chọn DNT sẽ bị gỡ bỏ từ Firefox 135
- Tài liệu hỗ trợ cũng nêu rằng nhiều trang web không tôn trọng chỉ báo tùy chọn quyền riêng tư này
- Phương án thay thế mà Firefox khuyến nghị là Global Privacy Control
- Thiết lập liên quan là “Tell websites not to sell or share my data”
- Tùy chọn này được xây dựng trên GPC
- GPC đang ngày càng được nhiều trang web tôn trọng hơn, và tại một số khu vực còn được thực thi bằng luật
- Hiện vẫn chưa rõ điều gì sẽ xảy ra khi người dùng đã bật DNT nâng cấp lên phiên bản Firefox bị ảnh hưởng
- Có thể sẽ hiển thị thông báo “Firefox no longer supports Do Not Track”
- Hoặc cũng vẫn còn khả năng tín hiệu này sẽ tiếp tục được gửi tới các trang web
- Các trình duyệt khác như Google Chrome và Microsoft Edge vẫn đang cung cấp thiết lập DNT
- Chrome: Settings > Privacy and Security > Send a “Do Not Track” request with your browsing traffic
- Microsoft Edge: Settings > Privacy, Search, and Services > bật “Send Do Not Track requests”
1 bình luận
Các ý kiến trên Hacker News
Tôi từng làm ở Mozilla khi tính năng này được triển khai
Việc website có hỗ trợ hay không hoàn toàn là tùy chọn, và ban đầu chỉ có một vài trang hỗ trợ
Trong nội bộ có nhiều ý kiến cho rằng nên bật mặc định, nhưng lập luận phản đối là nếu làm vậy thì sẽ chẳng ai tôn trọng nó. Ý là có nền tảng theo dõi nào lại chịu không theo dõi chỉ 0,1% số người tự vào phần cài đặt để bật lên cơ chứ
Cuối cùng Internet Explorer đã bật mặc định và nhận được phản ứng truyền thông tốt, nhưng khi mọi người đều phớt lờ nó thì chính tính năng này cũng bị giết chết
Nhìn chung, tôi mừng vì tính năng này biến mất. Thực tế nó chẳng làm gì cả, ngược lại còn tạo ra cảm giác an toàn giả tạo vì trông như thể nó làm được rất nhiều thứ
Tuy vậy, tôi mong modal cookie của từng trang được đưa lên cấp trình duyệt. Có lẽ có nhiều lý do khiến điều đó chưa xảy ra, nhưng một lý do lớn chắc bắt đầu bằng G và kết thúc bằng Oogle
Nếu bật các bộ lọc Cookie Banners và Annoyances trong cài đặt uBlock Origin, modal sẽ bị âm thầm loại bỏ trong nền và bạn có thể tiếp tục duyệt web. Vì bạn chưa từng đồng ý, về mặt chức năng thì nó phải tương đương với việc từ chối trên banner
Trên những trình duyệt tệ không hỗ trợ uBlock Origin, chẳng hạn Chrome cho iOS hoặc Android, bookmarklet Kill Sticky cũng hoạt động tương tự: https://www.smokingonabike.com/2024/01/20/take-back-your-web...
Tôi nhớ thời các trình duyệt cũ ưu tiên người dùng và bật mặc định những thứ như chặn popup
https://www.5snb.club/posts/2023/do-not-stab/
Chúng tôi đã triển khai DNT trên hạ tầng biên và cũng đã sẵn sàng phát hành
Nhưng Microsoft, trong cuộc chiến với Google và sau khi tham vọng adtech riêng từ thương vụ mua aQuantive kết thúc bằng khoản ghi giảm giá trị 6 tỷ USD, đã phá vỡ thỏa thuận khi bật nó mặc định. Điều đó là đòn chí mạng với tất cả
Ngành quảng cáo sẽ không bao giờ chấp nhận phiên bản opt-out của DNT. Khi chỉ một thiểu số quan tâm tự bật thì nó còn hoạt động, nhưng nếu trình duyệt web thống trị thời đó lựa chọn thay cho tất cả người dùng thì không thể đứng vững
Tôi hoàn toàn hiểu vì sao mọi người ghét việc theo dõi và quảng cáo cá nhân hóa. Trong 10 năm qua nó đã trở nên xâm phạm hơn, nhưng ít nhất vào thời điểm đó, nó là thiết yếu đối với web thương mại
Cách duy nhất để chấm dứt theo dõi là luật pháp hoặc quy định. Giải pháp kỹ thuật là một cuộc chạy đua vũ trang bất tận, và với người dùng cuối thì có lẽ gần như là trận chiến thua
DNT là cách để người tiêu dùng thể hiện rằng họ không muốn bị theo dõi, và đặt doanh nghiệp vào vị thế phớt lờ yêu cầu rõ ràng của người tiêu dùng về quyền riêng tư
Đáng tiếc là không ai tận dụng được điểm đó một cách hiệu quả
Tôi hiểu vì sao nhiều người có ấn tượng xấu về các động thái gần đây của Mozilla. Nhưng trong trường hợp này, tệ nhất thì họ cũng chỉ đang loại bỏ một tính năng hầu như chẳng ai tôn trọng
Tính năng này dựa trên hệ thống danh dự, mà ngay cả hệ thống danh dự của Thụy Sĩ cũng còn có kiểm tra ngẫu nhiên. Trình duyệt hoàn toàn không có cách nào cưỡng chế tính năng này
Trớ trêu là nó còn từng được dùng như một điểm dữ liệu bổ sung để theo dõi những người có ý thức cao về quyền riêng tư và cố ý bật nó
Firefox đã triển khai giải pháp thay thế là Global Privacy Control, nhưng nó cũng có đúng vấn đề như vậy và số website tôn trọng GPC còn ít hơn
Đây không phải giải pháp thật sự cho thực trạng cyber-stalking đã được bình thường hóa trên website ngày nay, nhưng cũng không thể nói là hoàn toàn vô dụng
Nếu làm vậy thì nó đã có giá trị tin tức, và ít nhất ở EU có thể đã được xem xét như một đối tượng để cưỡng chế bằng quy định
Nhưng trên thực tế Do Not Track không hề có cơ hội thành công, và tôi nghĩ đó là điều có chủ ý
Nếu ai đó dựa vào mỗi thứ này để bảo vệ quyền riêng tư trực tuyến, họ cần được giáo dục lại
Nhìn từ góc độ đó, việc loại bỏ có thể khiến một số người áp dụng các biện pháp bảo vệ mạnh hơn cho trình duyệt, nên dù rất nhỏ nhưng xét tổng thể có thể lại có lợi cho quyền riêng tư
Đã đến lúc bỏ tính năng này. Nó chưa từng đạt được kết quả có ý nghĩa nào về bảo vệ quyền riêng tư; ngược lại còn tạo tác dụng ngược khi cung cấp thêm một tín hiệu để định danh duy nhất người dùng và cải thiện việc theo dõi
Tuy nhiên, nhìn chung chống theo dõi về cơ bản gần như là một cuộc chiến thất thế. Vào https://amiunique.org/ sẽ hiểu lý do
Dù dùng mọi cơ chế bảo vệ có thể có trong Firefox, chế độ chống theo dõi “strict” và uBlock Origin, vẫn không thể tránh được theo dõi bên thứ nhất
Một ví dụ ấn tượng là trình duyệt ngày nay có thể để lộ số lõi CPU của thiết bị cho website. Chỉ riêng điều này đã có thể lọc ra 80–90% người dùng, và khi kết hợp với user agent, IP, ngôn ngữ thì gần như định danh duy nhất được
https://developer.mozilla.org/en-US/docs/Web/API/Navigator/h...
Lý tưởng là trên mọi trình duyệt, hoặc ít nhất là Firefox, khi một trang muốn dùng các tính năng nâng cao có thể cho phép theo dõi, một biểu tượng sẽ xuất hiện trên thanh địa chỉ và người dùng có thể cho phép theo từng trường hợp
Nói cách khác, không phải NoScript mà là Low script
Dù hôm nay xử lý được mọi yếu tố bằng cách nào đó, bản cập nhật trình duyệt tiếp theo vẫn có thể bật một tín hiệu mới, và cũng không thể tin rằng amiunique.org đang xem tất cả các điểm dữ liệu nhận dạng. Rốt cuộc đây là một cuộc chạy đua vũ trang chắc chắn thua
Điều mong muốn là bạn trở thành duy nhất theo một cách khác nhau trên mỗi trang mình truy cập. Sẽ càng tốt hơn nếu tắt JavaScript theo mặc định để trang web hoàn toàn không thể thu thập 90% các điểm dữ liệu mà trình duyệt phơi bày
Biện pháp bảo vệ mạnh nhất có lẽ là đổi địa chỉ IP bằng VPN, đồng thời ngẫu nhiên hóa user agent và các manh mối khác
Đồng thời, việc cần làm là biến nó thành bất hợp pháp
DNT có cảm giác như một nỗ lực “vội vàng” nhằm đạt mục tiêu thứ hai mà không có hậu thuẫn pháp lý
Tôi đã công bố một polyfill tấn công timing để suy ra thông tin này, và ban đầu navigator.hardwareConcurrency API được đề xuất như một phương án thay thế cho nó
Ngoài tính hữu ích cơ bản của API này, các nhà cung cấp trình duyệt cho rằng nó giúp tiết kiệm thời lượng pin, vì website không còn cần benchmark thiết bị của người dùng để tìm ra giá trị đó
Việc gỡ bỏ tính năng này làm tổn hại quyền tự chủ của người dùng. Người dùng Firefox sẽ phải đối mặt với nhiều hộp thoại xin đồng ý phiền phức hơn
Cấu hình mặc định của Transcend Consent Management là nếu DNT được bật, người dùng sẽ bị loại khỏi mọi mục đích theo dõi không thiết yếu và lời nhắc xin đồng ý tự động cũng bị chặn; nhưng nếu chỉ bật GPC thì chỉ từ chối “bán/chia sẻ thông tin”
Khi loại bỏ tín hiệu quyền riêng tư tập trung này, một số người dùng sẽ không thể mặc định bày tỏ lựa chọn từ chối toàn bộ với Transcend Consent Management nếu không tương tác với các banner phiền phức
Tôi cho rằng thay đổi này đã bị thúc ép mà không có sự cân nhắc và phản hồi phù hợp từ cộng đồng web. Mozilla xử lý quá nhanh nên rất ít người kịp nhận ra vấn đề trước khi issue bị đóng[1]. Tệ hơn nữa, Bugzilla được cấu hình để sau khi issue bị đóng thì những người không phải nhân viên Mozilla không thể bình luận thêm
Khi nhóm Chrome đề xuất gỡ DNT vào năm 2023, tôi cũng đã gửi phản hồi tương tự[2]. Họ đã cân nhắc phản hồi, và hiện DNT vẫn còn trong Chrome, còn việc gỡ bỏ đã bị hoãn vô thời hạn
Có những cách bảo vệ quyền riêng tư tốt hơn, không phụ thuộc vào một cờ tự nguyện gửi cho nhà quảng cáo rồi hy vọng họ chấp nhận
Đặc biệt trong quyền riêng tư và bảo mật, những tính năng tạo cảm giác hiệu quả sai lệch lại có hại
Không ai nên cảm thấy rằng mình sẽ không bị theo dõi chỉ vì đã bật Do Not Track. Điều đó là sai
Vì vậy gỡ bỏ là đúng
Về cơ bản GPC giống DNT, nhưng theo [1], “GPC cải thiện DNT ở nhiều khía cạnh”
Cơ sở pháp lý: Khác với DNT, GPC được nhiều luật hơn hậu thuẫn, chẳng hạn CCPA, yêu cầu các công ty tôn trọng những tín hiệu như vậy
Mục tiêu cụ thể hơn: DNT xử lý việc theo dõi nói chung, còn GPC tập trung vào việc dừng bán hoặc chia sẻ dữ liệu, nên phù hợp hơn với các yêu cầu về quyền riêng tư hiện nay
Khả năng được chấp nhận tốt hơn: GPC được xây dựng với ý kiến từ cơ quan quản lý, những người vận động bảo vệ quyền riêng tư và các lãnh đạo trong ngành, nhằm phù hợp với luật hiện hành và xử lý các lỗ hổng chức năng trước đây
Nhưng về bản chất thì gần như giống nhau
Vì vậy, thay vì nói “Firefox loại bỏ DNT”, có vẻ đúng hơn là “Firefox loại bỏ phiên bản kém hiệu quả ban đầu của GPC”
[1]: https://www.cookiebot.com/en/global-privacy-control/
Yêu cầu của tôi là không bị theo dõi. Việc theo dõi diễn ra trước việc bán dữ liệu. Tôi muốn từ chối bị theo dõi, không phải từ chối bán dữ liệu
Nói là “lỗ hổng chức năng”, nhưng khác biệt giữa GPC và DNT chỉ là DNT gửi
DNT: 1, còn GPC gửiSec-GPC: 1Những công ty vốn không tôn trọng DNT thì chẳng có lý do gì sẽ tôn trọng GPC. Khác biệt duy nhất ở đây là GPC không được bật mặc định trong IE, còn DNT thì được bật mặc định
Nếu tôi hiểu đúng thì DNT đang bị loại bỏ để nhường chỗ cho đề xuất mới “Global Privacy Control”: https://w3c.github.io/gpc/
Vì vậy Firefox giờ sẽ gửi tùy chọn
Sec-GPC: 1thay vì headerDNT: 1, thông qua một thiết lập khác với thiết lập từng dùng cho DNTTôi không rõ vì sao đây được xem là một thay đổi hữu ích. Với tư cách một người vận hành website trước đây đã triển khai để kích hoạt mã ẩn danh hóa khi có header DNT, tôi có thể thêm mã để kiểm tra cả Sec-GPC, nhưng việc này có cảm giác như thay đổi chỉ để thay đổi
Nếu cùng một thiết lập trình duyệt được tích chọn, Mozilla cứ gửi cả hai header là được; bắt website kiểm tra cả hai cũng thật buồn cười. Tôi hiểu rằng họ muốn có cam kết mạnh hơn cho
Sec-GPCso vớiDNT, nhưng cái sau là tập con của cái trước, nên chẳng phải chỉ cần cập nhật mô tả checkbox phía client và gửi cả hai là được saoTín hiệu “Do Not Track” hữu ích như một tín hiệu fingerprint bổ sung hơn là để ngăn việc theo dõi
Hy vọng giờ sẽ có thể thúc đẩy một thứ gì đó vững chắc hơn
Được dự kiến khai tử vào năm 2018 và bị gỡ bỏ vào năm 2024. Với một tính năng bị dùng theo cách trái ngược hoàn toàn với mục đích của nó, lịch trình này chẳng có gì khiến ai phải ngạc nhiên
Lẽ ra nên giữ lại và EU nên biến việc phớt lờ nó thành hành vi lạm dụng về mặt pháp lý. Khi đó cũng đã không cần đến mấy banner cookie chết tiệt
Vì tỷ lệ sử dụng quá thấp nên tính năng này đã bị dùng để theo dõi mọi người