IE9 и неприкосновенность частной жизни: введение в защиту от слежения
На сегодняшний день отклики и обсуждения предварительной платформы IE9 и бета-версии в разных сообществах привели к тому, что и сам процесс разработки и продукт существенно улучшились по сравнению с предыдущими выпусками. Дискуссии вокруг аппаратно-ускоренного HTML5 и аналогичной разметки с разработчиками породили множество изменений в конечном продукте. Спасибо за его использование и обратную связь.
Обычно в этом блоге мы поднимаем инженерные вопросы. В данном сообщении, по-прежнему оставаясь в рамках нашего шаблона прозрачности, давайте рассмотрим вопрос постоянно возрастающей важности – неприкосновенность частной жизни в интернете – с точки зрения слежения за деятельностью пользователя в интернете. Здесь дается краткая сводка (сразу оговоримся, что она довольно длинная) того, что мы собираемся предложить в версии-кандидате IE9.
Сегодня пользователи мало беспокоятся или контролируют тех, кто может следить за их онлайновой активностью. На эту тему было написано много. В версии-кандидате:
- IE9 предложит пользователям новый дополнительный механизм защиты от слежения «Tracking Protection» для обнаружения и блокирования многих вариантов нежелательной слежки.
- Списки защиты от слежения (Tracking Protection Lists) позволят пользователям управлять тем, какой контент третьих сторон может следить за ними в то время, когда они находятся в онлайне.
Мы полагаем, что сочетание участия пользователей, открытая платформа для публикаций списков защиты от слежения (TPL) и лежащий в основе технологический механизм защиты предлагают новые возможности и обеспечивают прекрасный баланс между предоставляемыми пользователю возможностями и потребностями отрасли. Они расширяют возможности потребителя и добавляют многие идеи для обсуждения. Как это может работать показано в следующем видео:
Немного о современной ситуации
Федеральная комиссия по торговле (FTC) выпустила 1 декабря 2010 года большой отчет, посвященный неприкосновенности частной жизни пользователей в интернете. Этот отчет можно найти здесь. Microsoft с некоторого времени начала дискуссии с FTC, комитетом Article 29 Working Party Евросоюза и другими в сфере неприкосновенности частной жизни и уже давно признала критическое значение вопроса неприкосновенности частной жизни для своих пользователей. В отличие от других сообщений, обсуждавшихся в этом блоге, неприкосновенность частной жизни включает дополнительные сложности кроме технологических, связанных с инженерными вопросами и функциональной совместимостью. В случае неприкосновенности частной жизни для продвижения вперед оказываются важными и многие другие аспекты: публичная политика, законодательные акты и их проведение в жизнь, взаимодействие с другими отраслями. Это возросшее значение касается как текущего американского отчета, так и подобных попыток, предпринятых в других местах, например Евросоюзе.
Отчет FTC рассматривает рекомендации в областях вроде «Не занимайся слежкой» и других вопросов отрасли, обсуждающих возможности решений «Не делай этого». В отчете задается серия вопросов, включая следующие:
- Как создать механизм, который был бы понятным, легко обнаруживаемым, практичным и понятным для пользователей?
- Как создать механизм, о котором пользователям было бы понятно, что они выбирают, и какие ограничения этот механизм имеет?
- Какова возможная стоимость и выгода от предложения стандартизованного механизма выбора средства управления поведенческой рекламой в интернете?
- Каковы будут последствия, если большое количество пользователей решит не смотреть рекламу? Как это повлияет на издателей, рекламных агентов, и как это повлияет на пользователей?
- Кроме возможности полного отказа от получения рекламы, должен ли универсальный механизм выбора поведенческой рекламы в интернете включать возможность, позволяющую пользователям более избирательно управлять типами рекламы, которые они хотели бы получать и типами данных, которые они готовы предоставлять о себе?
Наверное самой короткой формой вопроса, касающегося пользователей, которые хотят иметь возможность сказать «нет, спасибо» возможности слежения за ними является «что случится с ними?»
Консенсус и инновации
В команде разработчиков IE мы задавались подобными вопросами и хотели бы достичь успеха также и в публичном обсуждении. Мы хотим разработать (как предлагает последний отчет FTC) «более эффективные технологии пользовательского контроля» и достичь успеха в реализации рекомендации отчета о «браузерном механизме, с помощью которого пользователи могут сделать постоянный выбор» относительно слежения.
Сегодня мы предлагаем предварительный взгляд на проблему, чтобы продвинутся вперед в дискуссии о неприкосновенности частной жизни.
Давайте взглянем на то, как это может работать, и затем рассмотрим, как это содействует обсуждениям, которые мы ведем со всеми заинтересованными частными и государственными организациями. Хотя браузер является только одной частью онлайновой неприкосновенности частной жизни, для большинства пользователей он – ключевое звено управления выбором уровня приватности.
Применяя принципы, описанные в отчете FTC, подобные прозрачности и неприкосновенности частной жизни при проектировании, мы можем помочь пользователям избежать потенциальных проблем со слежкой. Ничего не изменяется в поведении по умолчанию по отношению к неприкосновенности частной жизни и слежению, и пользователю необходимо сделать выбор, чтобы поменять что-нибудь.
Как (и почему) это работает
Сегодня пользователи делятся информацией с большим количеством сайтов, чем можно увидеть в адресной строке их браузеров. Это неотъемлемый принцип работы интернет, и он имеет незапланированные последствия. Как только пользователь заходит на один сайт, многие другие сайты получают информацию о его действиях (более детально об этом можно почитать здесь). Эта ситуация обусловлена тем, как создаются современные веб-сайты; обычно современный веб-сайт может сводить вместе информацию со многих других веб-сайтов, оставляя впечатление что веб-сайт наполнен собственным содержимым. Когда браузер вызывает любые другие веб-сайты, посылая запросы на что-либо (изображения, файлы cookie, HTML, выполняемые сценарии), он отсылает подробную информацию, чтобы получить другую информацию взамен. Ограничивая запросы данных к этим сайтам, можно ограничить данные, доступные для сбора и слежки.
Списки защиты от слежения (Tracking Protection List – TPL) содержат веб-адреса (подобные msdn.com), которые браузер посетит (или вызовет), только если пользователь сделает это непосредственно, щелкая на ссылке или набирая их адрес. Ограничивая вызовы таких веб-сайтов и ресурсов с других веб-страниц, TPL ограничивает информацию, которые эти сайты могут собирать.
Можно рассматривать такой подход как перенесение списка «Не вызывать» из телефонии в браузеры и веб. Это дополняет многие другие обсуждаемые подходы для контроля браузером отсутствия слежки.
То, что мы описываем здесь, представляет новый механизм браузера для пользователей, позволяющий предоставлять больше власти над просматриваемой информацией. По умолчанию список защиты от слежения пуст, и браузер работает так же как он и должен. Это сделано по двум причинам:
- Контроль этого аспекта поведения браузера возложен на пользователя. Производитель браузера обеспечивает функциональность и уважает выбор пользователя.
- Ограничение контента от внешних сайтов может привести к тому, что некоторые функциональные возможности сайтов перестают работать вместе с другими веб-механизмами (cookies, веб-маячками и т. п.), что может оказаться существенным для функционирования сайта.
Любой пользователь или организация может создать TPL (это просто файл, который можно поместить на веб-сайт), а пользователи могут добавлять или удалять списки, как они считают нужным, имея, при желании, более одного списка. Чтобы поддерживать их в актуальном состоянии, браузер будет автоматически проверять обновления списков на регулярной основе. Единственным отличием от аналогичной возможности в IE8 является то, что если пользователь однажды задействует такой список, то защита от слежения будет включена во всех сессиях браузера до тех пор, пока пользователь не выключит ее.
Вдобавок к записям «Не вызывать», предотвращающим информационные запросы к некоторым веб-адресам, список может включать записи «Разрешено вызывать», которые разрешают вызовы отдельных адресов. Таким образом, пользователь может задать исключения из ограничений одного списка, просто добавляя другой список, включающий записи «Разрешено вызывать», которые переопределяют некоторые адреса.
Мы спроектировали эту функцию так, чтобы пользователи получили ясный и прямой механизм, действующий по запросу и позволяющий увеличить уровень контроля посредством разделения просматриваемой информации и обеспечения веб-сайтами легко используемых списков для управления неприкосновенностью, а также интерфейсом полнофункциональных сайтов.
Существует множество точек зрения на баланс при конструировании такой функциональности, поскольку связанные с этим технологии создают сложную ситуацию, выходящую за рамки того, что типичный потребитель или даже веб-разработчик может осознать.
Хотя лозунг «Нет слежке» имеет большое значение в качестве обещания пользователям, касающегося использования данных, в вебе до сих пор нет точного определения того, что означает слежка. Пока мы не получим такого определения, мы можем продвинуться вперед, только обеспечивая пользователей возможностью ограничивать или контролировать данные, собранные о них на сайтах, которые они не посещают напрямую. Такой контроль сегодня можно технически осуществить разными способами. Важно понимать, что реализация этой возможности не предполагает суждений о том, как эта информация может быть использована. Скорее она предоставляет средства для потребителей уклониться от разглашения этой информации.
Списки защиты от слежки модерируются, и решение о том, какие сайты попадут в список принимают люди (или организации). Функциональность InPrivate Filtering , реализованная в IE8, полагается на частотные эвристики для построения списков по мере посещения пользователем сайтов. Реализовав защиту от слежки в виде модерируемых списков, мы улучшили предсказуемость интерфейса пользователя. Пользователям предлагается выбрать, какие списки (если их несколько) они предпочитают и проконтролировать, какой информацией они будут делиться и с какими сайтами.
Заглядывая вперед
Защита от слежки и списки TPL – замечательный способ продвинуться вперед, поскольку мы делаем это с помощью общественного обсуждения. Они обеспечивают большую прозрачность функционирования веба и возможность действовать на основе этой информации. Прозрачность и прогресс важны. Для кого-то эти шаги вперед очень значительны, в то время как для остальных они недостаточны.
Сегодня многие рассматривают файлы cookies третьих сторон как основной механизм слежения. Пользователи IE сегодня имеют потрясающий контроль над файлами cookies, и могут, при желании, сделать всего несколько щелчков чтобы «блокировать все cookies третьих сторон», «блокировать все cookies с сайта example.com» или с помощью несколько больших усилий «сбросить все cookies третьих сторон до конца сессии браузера». Конечно, слежение означает больше, чем cookies, и, как и вся отрасль, мы будем продолжать получать неполное решение до тех пор, пока не сойдемся на понятном определении слежения, как оно осуществляется и что можно предпринять в ответ. Технологии противодействия слежению, от блокираторов cookies до тех, которые описываются здесь, останутся неполными без четкого определения слежения. (В то же время они могут превзойти ожидания при предотвращении слежения). Лозунг «Нет слежке» сам по себе некорректен, потому что слежение является неотъемлемой частью множества жизненных ситуаций в интернете (например, интернет-магазин показывает мне другие предметы, которые я просматривал) и вне его (например, когда компания, обслуживающая кредитные карты, звонит вам для подтверждения подозрительной, с их точки зрения, активности).
Также многие признали прогресс, достигнутый при попытках саморегулирования и рады увидеть большее. Пример можно посмотреть на сайте https://www.aboutads.info/ , который включил возможность предоставления «пользователям лучшего понимания и большего контроля над рекламой, которая настраивается на базе их онлайнового поведения».
Возможным недостатком является то, что некоторые издатели веб-сайтов и разработчики уже сегодня обеспокоены большим числом посетителей сайтов, блокирующих некоторый контент (обычно рекламу). Мы понимаем это беспокойство и обеспечиваем несколько путей решения этой проблемы.
Во-первых, когда эта функциональность подключается по умолчанию интерфейс пользователя останется таким же, каким он является сегодня, пока пользователь не примет решение изменить его. Во-вторых, любой сайт может сделать доступный список TPL, который создает исключения (с помощью записей «Разрешено вызывать») для внешнего контента, обеспечивающего полную функциональность сайта. Этот TPL дает пользователю прозрачный механизм, показывающий какие дополнительные сайты он посетит и предоставит им информацию. В-третьих, сайт может помещать внешний контент в собственный домен, так что пользователю не придется вызывать внешние сайты. И наконец, сети сайтов и ассоциаций могут совместно создавать TPL, который рекомендуется пользователям. Мы спроектировали эту возможность таким образом, что для всех сторон остаются широкие возможности в выборе того способа, который согласуется с их приоритетами и точкой зрения.
Мы спроектировали эту функциональность так, чтобы она являлась отправной точкой, позволяющей пользователю сделать выбор и защититься от возможной слежки. Мы обеспечиваем соответствующий инструмент в браузере, а пользователь выбирает, как использовать его. Как все в интернете, мы предполагаем, что он будет изменяться по мере продолжения широкого диалога по поводу неприкосновенности частной жизни.
Спасибо,
Дин Хачамович (Dean Hachamovitch)
Вице-президент, Internet Explorer
P.S. Здесь приведен предварительный формат файла для TPL, в котором показаны записи «Не вызывать» (блокировать) и «Разрешено вызывать». Мы сделаем этот формат доступным по лицензии Creative Commons Attribution licenseи обязательства Microsoft Open Specification Promise.
<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:wf="https://www.microsoft.com/schemas/webfilter/2008">
<channel>
<title>Demo</title>
<description>Tracking Protection List from ietestdrive.com </description>
<item><wf:blockRegex><![CDATA[msdn\.com/.*\.js]]></wf:blockRegex></item>
<item><wf:allowRegex><![CDATA[strikestrike\.com/.*\.js]]></wf:allowRegex></item>
</channel>
</rss>
P.P.S. Один аспект большого обсуждения включает обсуждение заголовков HTTP. Ключевым моментов является то, что такое изменение обеспечивает начальную, но лишь частичную защиту от слежения. Это сигнал веб-сайту о предпочтениях пользователя. Остальная часть решения (определяющая, что означает этот сигнал, что с ним делать, проверку, претворение в жизнь и т.п.) все еще находится в разработке.
Список ссылок
Do Not Track - Universal Web Tracking Opt-Out
FTC Staff Issues Privacy Report Offers Framework for Consumers, Businesses, and Policymakers
Google Chrome Gets Better at Blocking Ads | Maximum PC
Microsoft Open Specification Promise
100 Million Adblock Plus Downloads « Mozilla Add-ons Blog
Online privacy, Tracking, and IE8’s InPrivate Filtering - IEBlog - Site Home - MSDN Blogs
Privacy Principles | Microsoft Privacy
Selectively Filtering Content in Web Browsers - IEBlog - Site Home - MSDN Blogs
The Self-Regulatory Program for Online Behavioral Advertising
Understanding Cookie Controls - EricLaw's IEInternals - Site Home - MSDN Blogs