- Cookie của bên thứ ba (third-party) được xem là công nghệ xâm phạm nghiêm trọng quyền riêng tư cá nhân, vì vậy cần bị loại bỏ khỏi nền tảng web
- Theo nguyên tắc thiết kế web lấy quyền riêng tư làm trung tâm, nhiều trình duyệt đã áp dụng chặn cookie bên thứ ba, và mọi trình duyệt đều nên cùng tham gia
- Các chức năng hữu ích hiện có dựa trên cookie như đăng nhập, xác thực, theo dõi quảng cáo cần được thay thế bằng các công nghệ mới định hướng theo mục đích
- Các công nghệ thay thế bắt buộc phải được đánh giá cả riêng lẻ lẫn trong tương tác với toàn bộ hệ sinh thái web
- Tiêu chuẩn web cần giữ tính trung lập để vừa tăng cường quyền riêng tư vừa không bị phụ thuộc vào một mô hình kinh doanh cụ thể nào
Third Party Cookies Must Be Removed
- Cookie bên thứ ba theo dõi thông tin của người dùng web trên nhiều trang khác nhau và trở thành yếu tố xâm phạm quyền riêng tư
- Tài liệu này là văn bản đồng thuận của W3C Technical Architecture Group (TAG) giải thích cơ sở cần loại bỏ cookie bên thứ ba và sự cần thiết của công nghệ thay thế
1. Introduction
- Quyền riêng tư trên web là nguyên tắc thiết kế cốt lõi, và điều này được bảo đảm thông qua nhiều tài liệu và công cụ khác nhau
- Một số trình duyệt đã chặn cookie bên thứ ba, nhưng vẫn cần phản ứng nhất quán từ mọi trình duyệt
- Việc loại bỏ không đơn giản và cần cân nhắc kỹ thuật để duy trì các chức năng hiện có
2. Why remove third party cookies?
- Cookie ban đầu được thiết kế để nhận diện người truy cập website, nhưng sau đó đã được mở rộng sang nhiều mục đích như theo dõi, quảng cáo, chống gian lận
- Cookie bên thứ ba là công nghệ cốt lõi của các mạng lưới theo dõi, thu thập và chia sẻ dữ liệu mà người dùng không hề hay biết
- Sự tập trung hóa này có thể gây ra các vấn đề cản trở đổi mới và né tránh trách nhiệm
- Xâm phạm quyền riêng tư cũng liên quan đến tự do biểu đạt, sức khỏe của cộng đồng và sự suy yếu quyền kiểm soát của người dùng
3. Use cases previously met by third-party cookies
- Đăng nhập, single sign-on, cấp quyền truy cập tài nguyên liên trang, phát hiện gian lận hiện đang phụ thuộc vào cookie bên thứ ba
- Đo lường và nhắm mục tiêu quảng cáo cũng vậy, nên công nghệ thay thế phải đáp ứng được các nhu cầu này
- Các API mới có thể tạo ra khả năng bị theo dõi khi kết hợp với nhau, nên cần thiết kế và giám sát thận trọng
4. Leaving the web better than we found it
- Các đề xuất công nghệ mới phải chứng minh rõ ràng rằng chúng không làm tổn hại đến quyền riêng tư
- Đặc biệt, với các đề xuất liên quan đến lập hồ sơ người dùng, nhận diện người dùng, chia sẻ dữ liệu giữa các ngữ cảnh, nên có đánh giá độc lập
- Trình duyệt và website không được tìm cách lách hoặc làm suy yếu các cải tiến này
- Hệ sinh thái web phải trung lập với mô hình kinh doanh, không được cấu trúc theo hướng nhúng sẵn một mô hình doanh thu cụ thể
- Kết luận lại, cần đưa vào các công nghệ thay thế một cách thận trọng để không trở thành phương tiện mới duy trì các công nghệ giám sát hiện có
1 bình luận
Ý kiến trên Hacker News
Bài viết này tạo cảm giác rất kỳ lạ và khiến người ta nghi ngờ liệu đây có phải là một phần trong quy trình làm việc của W3C hay không
"Công nghệ thay thế" đã được soạn thảo, và nó sẽ được bổ sung bên cạnh cookie bên thứ ba
Trường hợp sử dụng hợp pháp của cookie bên thứ ba là duy trì phiên trên một trang web logic duy nhất trải dài qua nhiều tên miền
Nếu cookie bên thứ ba bị loại bỏ, các bên theo dõi sẽ yêu cầu nhúng script vào website để biến cookie thành "bên thứ nhất"
Vấn đề cookie chỉ là bề ngoài; nếu bật JavaScript thì vẫn có thể theo dõi ngay cả khi không có cookie
Google sẽ không triển khai đặc tả này
Các trường hợp sử dụng cần giải pháp chuyên biệt theo mục đích gồm có danh tính liên kết, cấp quyền truy cập tài nguyên liên trang, và chống gian lận
Chừng nào Google còn kiểm soát Chrome, cuộc thảo luận này vẫn là vô nghĩa
Từ trước đến nay họ luôn chặn cookie bên thứ ba, và vấn đề duy nhất là video nhúng trên một số trang web không phát được
Nếu loại bỏ cookie bên thứ ba mà không có cách thay thế, việc lấy dấu vân tay một cách hung hăng sẽ trở nên phổ biến