Como a trágica morte de Do Not Track arruinou a web para todos

Uma década atrás, uma configuração simples do navegador prometia tornar mais fácil proteger sua privacidade online de anunciantes intrometidos. Pena que nunca chegou nem perto de cumprir sua promessa.

Como a trágica morte de Do Not Track arruinou a web para todos

Uma década atrás - muito antes das atuais controvérsias sobre o que as grandes empresas estão fazendo com nossos dados - muitas pessoas já estavam iradas com as redes de anúncios que acompanhavam suas atividades em sites para direcionar mensagens de marketing de forma cada vez mais precisa. Um recurso chamado Do Not Track surgiu como uma maneira simples e compreensível de os usuários do navegador recuperarem sua privacidade. Para cancelar o rastreamento, você deve marcar uma caixa nas configurações do seu navegador.

Notavelmente, isso não desativou a publicidade - apenas a tecnologia usada para direcionar os anúncios. Com o Do Not Track marcado, nenhum servidor da web ou código incorporado associaria seu comportamento em um determinado site a ações em outros lugares da web. Foi uma ótima ideia

E agora está morto.



Oh, para todos os efeitos práticos, DNT morreu anos atrás. Mas a remoção da preferência Do Not Track da Apple do Safari para Macs e iOS em uma atualização no início de fevereiro sinalizou oficialmente o fim do que poderia ter sido um entendimento viável entre os consumidores e os anunciantes que dependem de redes de tecnologia de anúncios para direcioná-los.

A mudança da Apple segue a dissolução de um projeto do World Wide Web Consortium (W3C), o Grupo de Trabalho de Proteção de Rastreamento , que fechou após oito anos em 17 de janeiro. notas de versão para Safari 12.1 chamado de Do Not Track, um padrão expirado, que infelizmente é preciso.

Em outubro de 2018, em sua lista de discussão pública, o grupo W3C discutido como descrever a falha de Do Not Track em um prefácio para sua peça final de trabalho. Depois de algumas idas e vindas, o grupo concordou com a linguagem que aparece:

… Não houve implantação suficiente dessas extensões (conforme definido) para justificar novos avanços, nem houve indicações de suporte planejado entre os agentes de usuários, terceiros e o ecossistema em geral.

É uma arte própria pelos participantes do grupo , que incluiu representantes de grupos comerciais da indústria de anúncios, grandes anunciantes e plataformas de entrega de anúncios, bem como grupos de privacidade, governos e fabricantes de navegadores. Depois de uma enxurrada de trabalho de 2011 a 2013, o grupo não se encontrava cara a cara desde 2013, de acordo com suas notas .

A existência do grupo de trabalho costumava sugerir que a indústria da publicidade estava se movendo ativamente em direção a um consenso sobre a autorregulação quando se tratava de privacidade online. Mas DNT acabou sendo uma folha de figueira útil, não uma solução. A melhor maneira de sabotar um processo é participando dele de todo o coração, diz Alan Toner, um consultor especial de privacidade e proteção de dados da Electronic Frontier Foundation (EFF), que representa sua organização no W3C.

Na ironia final, a Apple me disse por meio de um porta-voz que removeu o Do Not Track depois que o grupo W3C fechou porque, se ativado, poderia ajudar as redes de anúncios a imprimir um navegador, uma técnica usada por sistemas de rastreamento para derrotar bloqueadores de anúncios, identificando características únicas na configuração do navegador do usuário.

Tudo poderia ter sido tão diferente.

Privacidade com um clique

O Do Not Track surgiu com o aparente sucesso do registro National Do Not Call da Federal Trade Commission, que entrou em vigor em 2003. Ele permitiu que os consumidores registrassem seus números de telefone como não sendo receptivos a solicitações comerciais. As empresas que fazem ligações para outras pessoas que não os clientes precisam eliminar esses números dos bancos de dados de chamadas. (Do Not Call foi, em última análise, um fracasso, porque apenas impediu que partes escrupulosas ligassem, não aqueles que ignoravam alegremente a lei ou estavam envolvidos em fraudes diretas.)

Inicialmente, o Do Not Track seria um tipo semelhante de registro central. Mas em 2009, os defensores da privacidade Chris Soghoian e Sid Stamm implementaram a ideia como um simples plug-in do Firefox. O plug-in adicionaria um cabeçalho Do Not Track aos metadados que um navegador envia a um servidor ao iniciar uma conexão. Se um usuário tivesse habilitado o Do Not Track, o valor do cabeçalho seria 1; caso contrário, 0. Era tão simples. Não importava de uma perspectiva técnica que nenhum servidor soubesse como interpretar esse cabeçalho no momento e, portanto, o ignorasse; os detalhes da política poderiam ser resolvidos mais tarde.

como ativar o modo escuro no instagram

Como visto no Firefox, o Do Not Track foi feito para ser uma decisão simples de um clique.

Essa ideia simples pegou fogo e, em alguns anos, todos os principais navegadores adicionaram uma opção para expressar uma preferência. Stamm, agora professor associado do Instituto de Tecnologia Rose-Hulman, diz que o cabeçalho era uma forma de gritar: ‘Ei, não gosto disso! & Apos; Ele desenvolveu o plug-in com o Soghoian porque as pessoas realmente não sabiam quantos dados eram coletados sobre elas.

Stamm e Soghoian, que agora é consultor de privacidade e cibersegurança do senador norte-americano Ron Wyden (D-OR), faziam parte de um grupo de defensores da privacidade e engenheiros de segurança que defendiam o DNT. Em 2011, a FTC parecia preparada para recomendar que o DNT evoluísse de um recurso de navegador nascente para um requisito regulamentar. O W3C abriu um grupo de trabalho para estudar como transformar o DNT em um padrão totalmente reconhecido que definiria como ele poderia ser implementado.

Arvind Narayanan, agora professor associado em Princeton e parte daquele primeiro grupo de formulação do DNT, disse por e-mail que a perspectiva de uma legislação federal trouxe os jogadores de publicidade para a mesa. Mas quando essa legislação não se materializou, as negociações prolongadas de fato se mostraram úteis para a indústria para criar a ilusão de um processo de autorregulação voluntária, aparentemente eliminando a necessidade de regulamentação.

O momento passou. Os envolvidos na indústria de publicidade, sejam redes sociais ou empresas de tecnologia de publicidade, tinham pouco interesse em perseguir o DNT, se pudessem evitá-lo. Os editores não exigiam a tecnologia como forma de proteger os visitantes de seus sites; os anunciantes não agiram como se isso os afetasse diretamente.

Uma das chaves em questão era a questão de saber se Do Not Track era realmente um desvio binário. Como uma chave de duas posições, ela estava ligada ou desligada. Mas se um usuário não tivesse considerado o assunto - ou nem mesmo soubesse da existência do DNT - existia um terceiro estado: ainda não decidido. Se um usuário não optou por ativar o DNT, os navegadores o deixaram desativado ou não enviaram as informações DNT de uma forma ou de outra para os sites.

A decisão da Microsoft de ativar o Do No Track por padrão no Internet Explorer não ajudou na aceitação do recurso entre as empresas de publicidade

o número 222

A Microsoft quebrou o modelo. Em 2012, a empresa optou por predefinir Do Not Track do Internet Explorer para o estado ligado sem exigir que um usuário escolha ou confirme essa escolha. Embora a mudança tenha adotado como padrão a opção mais favorável à privacidade, também prejudicou a hegemonia dos anúncios do Google, o que a Microsoft não teria visto como algo ruim.

As empresas que faziam parte da economia da publicidade já tinham motivos para desconfiar do DNT; um DNT que impedia que os usuários fossem rastreados sem que eles optassem explicitamente parecia uma ameaça existencial. O Do Not Track começou com uma perna cortada no momento em que a Microsoft o usou como ferramenta de marketing, ativando-o por padrão, diz Dan Jaye, um veterano veterano da publicidade online, mais recentemente o fundador da aqfer .

Sam Tingleff, o diretor de tecnologia do Laboratório de Tecnologia do Interactive Advertising Bureau, fornece outra razão pela qual os participantes do negócio de publicidade questionaram o DNT: de sua perspectiva, era também simples. Um usuário só poderia ativá-lo ou desativá-lo para o navegador como um todo, sem opções de lista de permissão ou lista negra por site, algo que o grupo W3C estava trabalhando para elaborar.

A falta de ação legislativa ou regulatória, o passo em falso da DNT da Microsoft (que a empresa reverteu - tarde demais - em 2015) e o movimento travado do W3C para a frente deixaram a caixa de seleção DNT no lugar, mas sem qualquer poder. Narayanan diz que estava claro para ele que o Do Not Track havia falhado em 2013. O cadáver só parou de chutar recentemente. O Do Not Track morreu antes que os consumidores tivessem a chance de sentir o gosto de ser rastreado.

A corrida armamentista de bloqueio de anúncios

Na ausência da capacidade dos consumidores de expressar uma preferência e sem a regulamentação dos EUA que rege o rastreamento, o que a indústria de publicidade esperava que acontecesse? Não está claro.

Mesmo com o DNT chegando aos navegadores, o aumento de rastreamento e publicidade tornou-se ridículo. Alguns sites de conteúdo mainstream, como os afiliados a jornais, podem ter de 70 a 100 peças individuais de JavaScript carregadas remotamente ou imagens de rastreamento, inflando uma página de texto relativamente simples em vários megabytes, ao mesmo tempo em que faz com que os navegadores rastejem enquanto executam todo o código.

Os consumidores podem não ler as atas das reuniões do grupo de tarefas do W3C ou estudar os detalhes do código da página da web subjacente, mas eles percebem coisas como comprar um soprador de folhas ou ler recomendações sobre ele e, em seguida, os anúncios de sopradores de folhas os seguem pela Internet por semanas . Eles também podem dizer se um site leva uma eternidade para carregar. Sem saber os detalhes, as pessoas geralmente sabem que são rastreadas sem consentimento explícito e que isso está arruinando sua experiência na Internet.

Isso levou inexoravelmente ao surgimento de bloqueadores de anúncios. Os bloqueadores de anúncios impedem ou impedem o carregamento de parte desse código de rastreamento, reduzindo a sujeira e a velocidade dos navegadores, ao mesmo tempo que - não por acaso - reduzindo a capacidade de rastrear um usuário exclusivamente nos sites.

Em seu relatório de 2017, cobrindo o ano anterior, o PageFair encontrado que 11% dos usuários da Internet em todo o mundo empregam um bloqueador de anúncios e que o uso cresceu 30% ano após ano. (Um dos mais populares, AdBlock Plus, é controverso, pois permite que grandes anunciantes paguem para ignorar seu filtro com anúncios que atendem a determinados critérios.)

Enquanto o negócio de anúncios sofre perda de receita com bloqueadores de anúncios, algumas pessoas profundamente inseridas no setor não culpam o usuário. Jaye de Aqfer diz: A maior parte da adoção disso é sobre a experiência do usuário insatisfatória e diz que a indústria de publicidade criou esse problema para si mesma. Acreditamos que a maioria dos usuários que escolhem bloqueadores de anúncios está fazendo isso para melhorar a experiência do usuário - uma meta que apoiamos totalmente, ecoa Tingleff do IAB Tech Lab.

Com o aumento dos bloqueadores, algumas redes de anúncios passaram a examinar todas as características de um navegador e os resultados da execução de JavaScript silenciosamente na máquina de um usuário para criar uma impressão digital composta que poderia, com vários graus de confiança, identificar um navegador - e, portanto, um usuário - unicamente. Você pode ter uma ideia disso no projeto de pesquisa Eu sou único? , que olha para o seu navegador e informa o quão vulnerável ele é a esse tipo de rastreamento.

Jaye diz que foi forçado a instalar o AdBlock Plus em 2018 - não para desativar anúncios ou rastreamento, mas para evitar travamentos em seu navegador Chrome. Ele diz que determinou que um grande número de sites que visitou contava com uma função JavaScript obscura que relatava o estado do giroscópio de seu laptop Lenovo - informações que seriam úteis para impressões digitais, mas não para a funcionalidade do site. Algum bug em como a Lenovo permitiu o acesso do navegador a esses dados em seu modelo de laptop causou os travamentos.

É neste ambiente que a Apple identificou o Do Not Track como um potencial problema de impressão digital. Apenas um subconjunto de usuários do Safari habilitou o Do Not Track, o que significa que esses usuários podem ser diferenciados da vasta maioria que não o fez. Como a Apple disse em um comunicado, o Fingerprinting tenta identificar um dispositivo exclusivamente com base em sua combinação de configurações detectáveis. Como Do Not Track era uma configuração opcional que era visível para sites, ela poderia ser usada como uma variável para impressão digital.

Como Narayanan anotado em uma série de tweets , essas informações aumentam a capacidade de uma rede de rastreamento de identificar um navegador exclusivamente por uma pequena quantidade. Mas foi o suficiente para que a Apple desabilitasse o DNT.

A Apple está cada vez mais incorporando métodos anti-rastreamento em versões sucessivas de iOS e MacOS sob a rubrica Proteção Inteligente de Rastreamento (ITP), opondo-se às tentativas das redes de anúncios de seguir as viagens dos usuários na web. Mozilla seguiu com seu navegador Firefox e proteção de rastreamento aprimorada. Google Chrome - bem, o Google tem perseguiu uma direção diferente que alinha-se com seu modelo de negócios orientado a anúncios .

Todo mundo perde

Os perdedores nesta corrida armamentista são os editores e seu público potencial, pois quanto mais as pessoas recorrem ao último recurso do bloqueio de anúncios, menos receita flui para os sites que dependem disso. À medida que os sites demitem funcionários ou fecham, os leitores e espectadores sofrem com a falta de variedade - e uma queda no jornalismo investigativo. Alguns editores bloqueiam leitores que possuem bloqueadores de anúncios instalados, exibindo mensagens que variam de educadas a acusatórias. (Alguns bloqueadores de anúncios usam tecnologia anti-anti-bloqueio de anúncios para enganar bloqueadores anti-anúncios e assim por diante.)

Anúncios direcionados representam apenas alguns pontos percentuais de todos os gastos com publicidade. Jaye diz que eles são muito mais potentes do que os não direcionados, entregando talvez uma diferença de dez vezes na receita. Ele argumenta que a falha em fornecer aos usuários controle de rastreamento diminui a diversidade de conteúdo suportado por anúncios na Internet, por causa da hegemonia de receita de alguns sites - Google, Facebook e Amazon, principalmente - que são muito menos dependentes de redes de anúncios de terceiros e interações entre sites para entregar anúncios direcionados.

No entanto, é compreensível que um número crescente de usuários da web esteja empregando meios técnicos para evitar o rastreamento que parece ter poucos benefícios para o site que eles visitam. Você deve ser capaz de fazer a segmentação sem fazer rastreamento, diz o Toner da EFF. A indústria dedicou tanto esforço na construção de sistemas direcionados e baseados em rastreamento que não gastou muito tempo examinando outras abordagens, acrescenta.

Jaye promove a noção de oferecer opções empurrando a propriedade dos dados de volta para as mãos dos usuários e contando com técnicas matemáticas avançadas que usam provas criptográficas para mostrar que um anúncio foi entregue ao público-alvo demográfico certo sem a necessidade de marcar e rastrear a pessoa em questão nos sites . De maneira mais geral, ele diz que seria mais saudável para o marketing envolver menos intermediários tecnológicos, perguntando: Como transferimos o diálogo de volta para o consumidor e o anunciante diretamente?

Stamm, o co-criador do plugin DNT original para Firefox, diz que a situação atual é uma vergonha, porque o fracasso da indústria de publicidade em se envolver com Do Not Track significou uma batalha que não precisava ser travada. Poderia ter sido muito melhor se as pessoas tivessem apenas conversado com os consumidores e ouvido os consumidores sobre o que eles querem, disse ele.

Tingleff, do IAB Tech Lab, expressa alguma esperança: Uma abordagem colaborativa - navegadores e sistemas operacionais móveis trabalhando com a indústria de mídia - para melhorar as experiências do usuário seria um longo caminho para garantir o acesso gratuito contínuo ao conteúdo e aos serviços que tornam a Internet aberta e útil.

quem devo adicionar no LinkedIn

O fracasso de Do Not Track teve um resultado. Isso levou à imposição de uma regulamentação mais severa do que seria de se esperar, devido ao fracasso dos participantes da indústria em encontrar um meio-termo. Os Regulamentos Gerais de Proteção de Dados (GDPR) que entraram em vigor na União Europeia em maio de 2018 não foram elaborados em resposta à falha do DNT, mas foram desenvolvidos com base na premissa de que muitos sites rastreiam usuários sem consentimento e divulgação.

Com penalidades significativas, as disposições de divulgação e aceitação do GDPR colocam os dentes em proteção. Autoridade de proteção de dados da França cobrou uma multa de 50 milhões de euros (US $ 57 milhões) contra o Google por falta de transparência, informações inadequadas e falta de consentimento válido em relação à personalização de anúncios em janeiro. Toner diz que estamos apenas no começo, já que o GDPR oferece muitos caminhos para os cidadãos e grupos de defesa apresentarem queixas, muitas das quais estão em andamento contra Amazon, Apple, LinkedIn, Facebook e Google, observa ele.

Na esteira do GDPR, a Califórnia aprovou um projeto de lei de privacidade menos abrangente que afeta uma das maiores economias do mundo, mas a lei também tem alguma força por trás de sua mordida regulatória. Ela entra em vigor em 2020. No nível federal, legisladores e reguladores dos EUA consideraram leis que prejudicariam as regras de privacidade e divulgação da Califórnia, algumas enfraquecendo-as e outras se aproximando do GDPR.

Senador Wyden distribuiu um projeto de lei em novembro de 2018 , a Lei de Proteção de Dados do Consumidor, que exigiria algo próximo ao registro original do Do Not Track. Isso proibiria as empresas de negar serviços para aqueles que optarem por sair do rastreamento e exigiria que eles oferecessem versões com base em taxas para atendê-los que não poderiam cobrar mais do que a receita perdida.

O governo terá uma palavra a dizer, mas o mercado também. Como os anúncios proporcionaram menos retorno sobre o investimento, muitos editores mudaram sua estratégia de receita, erguendo paywalls e induzindo os consumidores a pagar pelo acesso a conteúdo de qualidade. Isso tem sido eficaz para alguns .

O Do Not Track tentou oferecer uma maneira simples de atravessar uma situação espinhosa e evitar uma batalha, permitindo que os usuários expressassem claramente sua intenção para que os anunciantes pudessem honrá-la. Quando a nobre ideia desmoronou no mundo real, as redes de anúncios cederam o campo aos reguladores (para declarar que tipo de rastreamento era legal) e à tecnologia de bloqueio de anúncios (que destrói tudo o que vê). Diante de um público cada vez mais cético, anunciantes e editores têm muitas motivações para encontrar um caminho diferente que respeite a privacidade.