RFC 35140: política HTTP Do-Not-Stab (2023)
(5snb.club)- Mediante una premisa satírica en la que los sitios web pueden apuñalar a los usuarios,
Do-Not-Stabpermite que el usuario comunique por HTTP su preferencia de no querer ser apuñalado - La sintaxis del encabezado es solo
Do-Not-Stab: 1, y si el encabezado no está presente, se interpreta que el usuario quiere ser apuñalado - Los agentes de usuario no deben activar este valor por defecto, y se establece la regla de que las señales configuradas como valor predeterminado pueden ser ignoradas por los servicios web, que aun así pueden apuñalar al usuario
- Microsoft prometió compatibilidad con
Do-Not-Stabsolo dentro del EEA, y fuera del EEA, incluso si se configura el encabezado, el usuario puede ser apuñalado - A través de excepciones como el beneficio comercial, las solicitudes gubernamentales, la gestión del consentimiento o las exigencias de los accionistas, se critica una forma de “respetar” la libertad de elección de las empresas por encima de las preocupaciones de seguridad
Reglas del encabezado Do-Not-Stab
Do-Not-Stabes un encabezado HTTP que permite a los usuarios informar a los sitios web su preferencia respecto a ser apuñalados- En el trasfondo satírico, durante los últimos 50 años los avances en periféricos han hecho posible que los sitios web apuñalen a los usuarios, e incluso surgió una industria de Stabbings as a Service
- Los actores maliciosos pueden ignorar las preferencias del usuario, pero se plantea que la mayoría de los apuñalamientos no los realizan actores maliciosos, sino empresas legítimas
- Este estándar ofrece a los usuarios una manera sencilla de rechazar todos los apuñalamientos, pero deja como excepción los apuñalamientos exigidos por la ley y los que las empresas de todos modos quieren hacer
- La sintaxis es una sola
Do-Not-Stab: 1- Si el encabezado no está presente, se interpreta que el usuario prefiere ser apuñalado
- Los agentes de usuario no deben adoptar este encabezado como preferencia predeterminada
- Si se configura así, se recomienda que los servicios web ignoren la preferencia y apuñalen al usuario
- La razón es que un agente de usuario no puede decidir si el usuario quiere ser apuñalado; debe ser una elección explícita del propio usuario
Alcance y excepciones
- Microsoft prometió admitir el encabezado
Do-Not-Stabdentro del EEA, es decir, el European Economic Area - Fuera del EEA, la compatibilidad aún está en proceso, por lo que incluso si se configura el encabezado, el usuario puede ser apuñalado
- Si algún país abandona el EEA, los usuarios de ese país pueden ser apuñalados
- Las excepciones de
Do-Not-Stabse reconocen cuando el interés comercial es mayor que las preocupaciones de seguridad- Esto incluye los casos en que el usuario consintió ser apuñalado, aunque no sepa que dio ese consentimiento
- En los apuñalamientos solicitados por el gobierno, se recomienda que los sitios web no cuestionen su legalidad, y se afirma que probablemente el usuario se lo merecía
- Apuñalamientos en los que existe la posibilidad de que el usuario no muera
- Si los accionistas lo quisieron
- El comentario editorial critica la situación en la que las empresas, aun sabiendo que no deberían hacer algo, solo se detienen cuando se les dice explícitamente que no lo hagan
- Considera que Microsoft respeta la elección del usuario solo dentro del EEA porque únicamente allí está obligada a hacerlo
- También critica el caso de IE al establecer Do-Not-Track como valor predeterminado, haciendo que todos ignoraran la señal de IE
- Incluye el enlace Previewing changes in Windows to comply with the Digital Markets Act in the European Economic Area
- Menciona la frase “We and our 756 partners process personal data” para criticar con dureza las prácticas de ad tech que procesan datos personales junto con 756 socios
1 comentarios
Opiniones en Hacker News
La sátira es excelente, pero lo central es que refleja tal cual un cambio social más amplio: la carga de proteger la autonomía personal pasó de las instituciones y los reguladores a los usuarios individuales.
Ya sea Do-Not-Stab o Do-Not-Track, ante la presión financiera, cualquier forma de cumplimiento voluntario difícilmente puede sostenerse desde el inicio.
Ahora hay que volver a normalizar una actitud combativa frente a estos problemas y defender de forma agresiva y confrontativa la libertad de usar la propia computadora como uno quiera.
La industria del software sabía que Chrome era software publicitario y aun así le puso la alfombra roja instalándolo en sus propias computadoras y en las de sus familiares; viendo que ni siquiera cambiaron cuando el costo de pasarse a una alternativa era bajísimo, soy escéptico de que la gente vaya a ponerse combativa con esto.
No solo conseguimos una Internet mejor para los consumidores, sino que también se recompensó y ganaron mejores empresas. Quizá sea nostalgia, pero otra razón por la que hace falta desobediencia es que el otro lado también actúa así por dinero.
En concreto, ¿se podría hacer algo tipo Adblock con las cookies? Creo que los datos contaminados serían más efectivos que bloquear. Si piden datos, hay que darles datos. Si los exigen sin consentimiento, los datos contaminados no son más que cumplimiento malicioso.
Como extensión de DNT, incluso podría estandarizarse algo como: “si se solicita consentimiento después del encabezado DNT, el user agent puede generar datos sintéticos arbitrarios”.
Las empresas parecen saber que, si aumentan el costo de la resistencia del usuario en términos de tiempo y fastidio, a la larga pueden ganar. La historia y la dirección de las plataformas, desde el navegador hasta la App Store y todo tipo de SaaS, son trágicas, y en cada etapa el control del usuario se fue reduciendo.
Ahora la gran pregunta es si la inteligencia artificial quedará centrada en las empresas o se democratizará, y hasta qué punto; me cuesta ser optimista.
O, si no quieres pasar 60 años más haciendo clic en Do-Not-Stab, también podrías hacerte pastor o algo así. Funcionará bien unos 10 años, pero al final llegará el momento en que, para usar un auto, un lavavajillas o un interruptor de luz, tendrás que hacer clic en Do-Not-Stab, y ahí ganará la empresa.
Al final terminarás diciendo: “debería estar agradecido de que al menos me pregunten antes de apuñalarme; de hecho, estoy en deuda”, y esperarás todo el amor y el dinero que llegarán después de convertirte en un famoso influencer pastor. Den like y suscríbanse; como siempre, viva la empresa.
Es importante señalar que el encabezado Do-Not-Stab fue activado por defecto por un motor de navegador, y luego se descartó porque una estructura en la que el usuario tenía que consentir explícitamente ser apuñalado perjudicaba los ingresos de la industria del apuñalamiento.
Por suerte, alguien creó una alternativa no estándar llamada General Assault Control, que también tiene un solo valor, así que se puede configurar Sec-GAC en 1 para pedirle a los sitios web que no te agredan.
Por diseño, este encabezado no es extensible, así que en el futuro no servirá para distinguir entre un apuñalamiento brutal y una rutina cómica de lanzar pasteles a la cara.
Por requisitos legales, el encabezado General Assault Control no puede activarse por defecto. En estados de EE. UU. como Colorado, se exige rechazo explícito y no consentimiento explícito.
Esto protege a la próspera industria de apuñalamientos y tiroteos de Colorado, ya que la mayoría de los usuarios probablemente no quiera ser apuñalada.
Esta función debe estar desactivada por defecto, pero la organización que redactó la especificación está presionando con fuerza a sus clientes para que descarguen navegadores marginales que la implementan. Aunque quizá sea necesario usar about:config para activarla.
Debido a su pequeña base de usuarios, los sitios web que no siguen el estándar pueden usar la propia solicitud de no ser agredido para hacer que sus apuñalamientos y tiroteos sean más precisos.
El usuario final puede pedirle al servidor web un archivo JSON que indique si admite encabezados GAC, pero un servidor no conforme puede usar esa solicitud de URL para patearle los dientes al usuario.
Así, no consentir ser apuñalado siempre es una elección activa, y los usuarios que quieren ser apuñalados o mutilados no pierden accidentalmente esa oportunidad.
Esto es un apoyo demasiado evidente a la burocracia de la UE. Con un entorno de negocios tan hostil al apuñalamiento, no sorprende que Europa no tenga grandes empresas SaaS.
Son menos que las empresas de EE. UU. y China, pero algunas fueron adquiridas o trasladaron su base a otros países.
Por el bajo precio de 20 dólares por cada 1.000 clics, ofreceré un banner de consentimiento de apuñalamiento totalmente compatible con las próximas regulaciones web de apuñalamiento de la UE y California.
Además, no tengo idea de cómo divulgar correctamente a los 846 brokers de apuñalamiento con los que trabajo. Con tanta burocracia de por medio, ¿cómo se supone que uno se gane la vida apuñalando gente?
Este sitio web parece formar parte de un webring compuesto por personas transgénero MtF, furries, personas que se identifican como robots y combinaciones de todo eso. Algunos incluso usan solo pronombres en tercera persona.
Todos parecen ser administradores de sistemas o programadores de alguna forma.
No es mi tribu, pero me alegra mucho ver dentro de este webring un hermoso reflejo de la vieja Internet
El encabezado Do Not Track fue propuesto por primera vez en 2009 por los investigadores Christopher Soghoian y Sid Stamm, y Mozilla Firefox fue el primer navegador en implementar esta función
https://en.wikipedia.org/wiki/Do_Not_Track#:~:text=The%20Do%...
En todos los sitios que he hecho, incluso los que hice para empleadores, lo respeto. Aunque creo que eso es posible solo porque mis empleadores no lo saben
Hice que, al navegar con Do-Not-Track activado, también se salteara el banner de consentimiento de cookies y se asumiera que el usuario no quiere nada salvo lo estrictamente necesario, como cookies de sesión e inicio de sesión
Tampoco incluyo Google Analytics; solo incremento un contador de vistas único por página, sin información de identificación personal
Pero parece que se consideró demasiado complejo y con “falta de mecanismos de aplicación”
Si hubiera sobrevivido hasta el GDPR, quizá habría obtenido fuerza de aplicación, pero Mozilla eliminó el soporte antes de eso
Decir “porque todas las empresas de verdad odian a los usuarios” no es del todo exacto
Más que odiar realmente a los usuarios, es más bien que aman el dinero de los usuarios y muestran una indiferencia corrompida hacia los usuarios en sí
Es una estructura en la que empresas turbias que recolectan datos venden datos sobre los usuarios a otras empresas turbias. Y todo esto se ofrece gratis al usuario
Tranquilos. Las organizaciones tienen suficientes alternativas. Como probablemente seguirá sin haber soporte para Do-Not-Shoot, Do-Not-Rape y Do-Not-Stone, toda la familia podrá divertirse
Si RFC significa request for comment, siempre me pregunté: ¿cómo se dejan comentarios y quién los deja?
La idea era que los comentarios había que hacerlos mucho antes
No sé si esa anécdota es cierta, pero sí es verdad que una RFC suele funcionar como el juicio final sobre ese estándar
De hecho, una vez que una RFC recibe un ID, no se puede modificar ni retirar; solo puede ser reemplazada por otra RFC
Con el tiempo, a medida que el proceso de publicación se volvió más formal y creció la comunidad que consumía esos materiales, el objetivo cambió
Hoy se han publicado más de 8.500 RFC, incluyendo guías de buenas prácticas, protocolos experimentales, material informativo y, por supuesto, estándares de Internet
https://www.rfc-editor.org/rfc/rfc8700.html
Hoy en día hay que comentar antes de que algo llegue a la etapa de “estándar de Internet”
En la época en que participé, también había reuniones presenciales, pero asistir no era obligatorio
¿Este encabezado no terminará siendo simplemente otro fragmento de entropía más usado por las empresas que igual van a apuñalar?