1 puntos por GN⁺ 2024-11-26 | 1 comentarios | Compartir por WhatsApp
  • Mediante una premisa satírica en la que los sitios web pueden apuñalar a los usuarios, Do-Not-Stab permite que el usuario comunique por HTTP su preferencia de no querer ser apuñalado
  • La sintaxis del encabezado es solo Do-Not-Stab: 1, y si el encabezado no está presente, se interpreta que el usuario quiere ser apuñalado
  • Los agentes de usuario no deben activar este valor por defecto, y se establece la regla de que las señales configuradas como valor predeterminado pueden ser ignoradas por los servicios web, que aun así pueden apuñalar al usuario
  • Microsoft prometió compatibilidad con Do-Not-Stab solo dentro del EEA, y fuera del EEA, incluso si se configura el encabezado, el usuario puede ser apuñalado
  • A través de excepciones como el beneficio comercial, las solicitudes gubernamentales, la gestión del consentimiento o las exigencias de los accionistas, se critica una forma de “respetar” la libertad de elección de las empresas por encima de las preocupaciones de seguridad

Reglas del encabezado Do-Not-Stab

  • Do-Not-Stab es un encabezado HTTP que permite a los usuarios informar a los sitios web su preferencia respecto a ser apuñalados
  • En el trasfondo satírico, durante los últimos 50 años los avances en periféricos han hecho posible que los sitios web apuñalen a los usuarios, e incluso surgió una industria de Stabbings as a Service
  • Los actores maliciosos pueden ignorar las preferencias del usuario, pero se plantea que la mayoría de los apuñalamientos no los realizan actores maliciosos, sino empresas legítimas
  • Este estándar ofrece a los usuarios una manera sencilla de rechazar todos los apuñalamientos, pero deja como excepción los apuñalamientos exigidos por la ley y los que las empresas de todos modos quieren hacer
  • La sintaxis es una sola
    • Do-Not-Stab: 1
    • Si el encabezado no está presente, se interpreta que el usuario prefiere ser apuñalado
  • Los agentes de usuario no deben adoptar este encabezado como preferencia predeterminada
    • Si se configura así, se recomienda que los servicios web ignoren la preferencia y apuñalen al usuario
    • La razón es que un agente de usuario no puede decidir si el usuario quiere ser apuñalado; debe ser una elección explícita del propio usuario

Alcance y excepciones

  • Microsoft prometió admitir el encabezado Do-Not-Stab dentro del EEA, es decir, el European Economic Area
  • Fuera del EEA, la compatibilidad aún está en proceso, por lo que incluso si se configura el encabezado, el usuario puede ser apuñalado
  • Si algún país abandona el EEA, los usuarios de ese país pueden ser apuñalados
  • Las excepciones de Do-Not-Stab se reconocen cuando el interés comercial es mayor que las preocupaciones de seguridad
    • Esto incluye los casos en que el usuario consintió ser apuñalado, aunque no sepa que dio ese consentimiento
    • En los apuñalamientos solicitados por el gobierno, se recomienda que los sitios web no cuestionen su legalidad, y se afirma que probablemente el usuario se lo merecía
    • Apuñalamientos en los que existe la posibilidad de que el usuario no muera
    • Si los accionistas lo quisieron
  • El comentario editorial critica la situación en la que las empresas, aun sabiendo que no deberían hacer algo, solo se detienen cuando se les dice explícitamente que no lo hagan
    • Considera que Microsoft respeta la elección del usuario solo dentro del EEA porque únicamente allí está obligada a hacerlo
    • También critica el caso de IE al establecer Do-Not-Track como valor predeterminado, haciendo que todos ignoraran la señal de IE
    • Incluye el enlace Previewing changes in Windows to comply with the Digital Markets Act in the European Economic Area
    • Menciona la frase “We and our 756 partners process personal data” para criticar con dureza las prácticas de ad tech que procesan datos personales junto con 756 socios

1 comentarios

 
GN⁺ 2024-11-26
Opiniones en Hacker News
  • La sátira es excelente, pero lo central es que refleja tal cual un cambio social más amplio: la carga de proteger la autonomía personal pasó de las instituciones y los reguladores a los usuarios individuales.
    Ya sea Do-Not-Stab o Do-Not-Track, ante la presión financiera, cualquier forma de cumplimiento voluntario difícilmente puede sostenerse desde el inicio.
    Ahora hay que volver a normalizar una actitud combativa frente a estos problemas y defender de forma agresiva y confrontativa la libertad de usar la propia computadora como uno quiera.

    • En HN, cada vez que se menciona Firefox suele llover la falacia de la solución perfecta, así que es interesante que un mensaje así reciba tantos votos.
      La industria del software sabía que Chrome era software publicitario y aun así le puso la alfombra roja instalándolo en sus propias computadoras y en las de sus familiares; viendo que ni siquiera cambiaron cuando el costo de pasarse a una alternativa era bajísimo, soy escéptico de que la gente vaya a ponerse combativa con esto.
    • Exacto. Como millennial, siento que la época en la que había desobediencia civil era mejor.
      No solo conseguimos una Internet mejor para los consumidores, sino que también se recompensó y ganaron mejores empresas. Quizá sea nostalgia, pero otra razón por la que hace falta desobediencia es que el otro lado también actúa así por dinero.
      En concreto, ¿se podría hacer algo tipo Adblock con las cookies? Creo que los datos contaminados serían más efectivos que bloquear. Si piden datos, hay que darles datos. Si los exigen sin consentimiento, los datos contaminados no son más que cumplimiento malicioso.
      Como extensión de DNT, incluso podría estandarizarse algo como: “si se solicita consentimiento después del encabezado DNT, el user agent puede generar datos sintéticos arbitrarios”.
    • Si somos muy estrictos, es una gran sátira precisamente porque refleja ese cambio. Está muy influida por la obra original, A Modest Proposal.
    • Aunque uno intente defender de forma agresiva y confrontativa la libertad de usar su computadora como quiera, lamentablemente siempre termina siendo una guerra de desgaste.
      Las empresas parecen saber que, si aumentan el costo de la resistencia del usuario en términos de tiempo y fastidio, a la larga pueden ganar. La historia y la dirección de las plataformas, desde el navegador hasta la App Store y todo tipo de SaaS, son trágicas, y en cada etapa el control del usuario se fue reduciendo.
      Ahora la gran pregunta es si la inteligencia artificial quedará centrada en las empresas o se democratizará, y hasta qué punto; me cuesta ser optimista.
      O, si no quieres pasar 60 años más haciendo clic en Do-Not-Stab, también podrías hacerte pastor o algo así. Funcionará bien unos 10 años, pero al final llegará el momento en que, para usar un auto, un lavavajillas o un interruptor de luz, tendrás que hacer clic en Do-Not-Stab, y ahí ganará la empresa.
      Al final terminarás diciendo: “debería estar agradecido de que al menos me pregunten antes de apuñalarme; de hecho, estoy en deuda”, y esperarás todo el amor y el dinero que llegarán después de convertirte en un famoso influencer pastor. Den like y suscríbanse; como siempre, viva la empresa.
    • El mejor momento para empezar eso fue hace 19 días, pero ya llegamos hasta aquí. Hay que ponerse el cinturón.
  • Es importante señalar que el encabezado Do-Not-Stab fue activado por defecto por un motor de navegador, y luego se descartó porque una estructura en la que el usuario tenía que consentir explícitamente ser apuñalado perjudicaba los ingresos de la industria del apuñalamiento.
    Por suerte, alguien creó una alternativa no estándar llamada General Assault Control, que también tiene un solo valor, así que se puede configurar Sec-GAC en 1 para pedirle a los sitios web que no te agredan.
    Por diseño, este encabezado no es extensible, así que en el futuro no servirá para distinguir entre un apuñalamiento brutal y una rutina cómica de lanzar pasteles a la cara.
    Por requisitos legales, el encabezado General Assault Control no puede activarse por defecto. En estados de EE. UU. como Colorado, se exige rechazo explícito y no consentimiento explícito.
    Esto protege a la próspera industria de apuñalamientos y tiroteos de Colorado, ya que la mayoría de los usuarios probablemente no quiera ser apuñalada.
    Esta función debe estar desactivada por defecto, pero la organización que redactó la especificación está presionando con fuerza a sus clientes para que descarguen navegadores marginales que la implementan. Aunque quizá sea necesario usar about:config para activarla.
    Debido a su pequeña base de usuarios, los sitios web que no siguen el estándar pueden usar la propia solicitud de no ser agredido para hacer que sus apuñalamientos y tiroteos sean más precisos.
    El usuario final puede pedirle al servidor web un archivo JSON que indique si admite encabezados GAC, pero un servidor no conforme puede usar esa solicitud de URL para patearle los dientes al usuario.

    • Ahora, para cumplir con las normas europeas, se volvió habitual mostrar antes de usar un sitio web una lista de delitos violentos dirigidos a la persona que el usuario puede rechazar.
      Así, no consentir ser apuñalado siempre es una elección activa, y los usuarios que quieren ser apuñalados o mutilados no pierden accidentalmente esa oportunidad.
    • ¿Por qué tendría que ser un valor binario? ¿Qué pasa con los masoquistas, o con quienes perdieron una apuesta y solo quieren que los apuñalen un poco, o con quienes quieren ser estrangulados?
  • Esto es un apoyo demasiado evidente a la burocracia de la UE. Con un entorno de negocios tan hostil al apuñalamiento, no sorprende que Europa no tenga grandes empresas SaaS.

    • Exacto, ¿por qué la UE no puede simplemente dejar que la industria stabtech apuñale en paz?
    • Creo que eso es factualmente incorrecto. Hay empresas como Skype, Spotify, Revolut, Zendesk, Transferwise, y también bastantes unicornios europeos que operan como SaaS.
      Son menos que las empresas de EE. UU. y China, pero algunas fueron adquiridas o trasladaron su base a otros países.
  • Por el bajo precio de 20 dólares por cada 1.000 clics, ofreceré un banner de consentimiento de apuñalamiento totalmente compatible con las próximas regulaciones web de apuñalamiento de la UE y California.

    • Lo compro. La distinción entre apuñalamientos “necesarios”, “de targeting”, “de rendimiento” y “funcionales” es un verdadero campo minado.
      Además, no tengo idea de cómo divulgar correctamente a los 846 brokers de apuñalamiento con los que trabajo. Con tanta burocracia de por medio, ¿cómo se supone que uno se gane la vida apuñalando gente?
    • Como referencia, según estudios, en los banners de la competencia los usuarios solo consienten el apuñalamiento en un 95%, pero con nuestro banner tardan 50% más en rechazarlo correctamente y alcanza una tasa de consentimiento del 98%. Así que lo correcto es usar el nuestro.
  • Este sitio web parece formar parte de un webring compuesto por personas transgénero MtF, furries, personas que se identifican como robots y combinaciones de todo eso. Algunos incluso usan solo pronombres en tercera persona.
    Todos parecen ser administradores de sistemas o programadores de alguna forma.
    No es mi tribu, pero me alegra mucho ver dentro de este webring un hermoso reflejo de la vieja Internet

  • El encabezado Do Not Track fue propuesto por primera vez en 2009 por los investigadores Christopher Soghoian y Sid Stamm, y Mozilla Firefox fue el primer navegador en implementar esta función
    https://en.wikipedia.org/wiki/Do_Not_Track#:~:text=The%20Do%...

    • Me da curiosidad cuántos desarrolladores web realmente respetan Do Not Track
      En todos los sitios que he hecho, incluso los que hice para empleadores, lo respeto. Aunque creo que eso es posible solo porque mis empleadores no lo saben
      Hice que, al navegar con Do-Not-Track activado, también se salteara el banner de consentimiento de cookies y se asumiera que el usuario no quiere nada salvo lo estrictamente necesario, como cookies de sesión e inicio de sesión
      Tampoco incluyo Google Analytics; solo incremento un contador de vistas único por página, sin información de identificación personal
    • En 2002 hubo un estándar mucho más sofisticado recomendado por el W3C llamado P3P. Al parecer definía un formato para describir cómo las empresas podían usar datos personales
      Pero parece que se consideró demasiado complejo y con “falta de mecanismos de aplicación”
      Si hubiera sobrevivido hasta el GDPR, quizá habría obtenido fuerza de aplicación, pero Mozilla eliminó el soporte antes de eso
  • Decir “porque todas las empresas de verdad odian a los usuarios” no es del todo exacto
    Más que odiar realmente a los usuarios, es más bien que aman el dinero de los usuarios y muestran una indiferencia corrompida hacia los usuarios en sí

    • No odian a los usuarios, pero quieren devorarlos: https://www.lesswrong.com/posts/ENBzEkoyvdakz4w5d/out-to-get...
    • No, aman el dinero que pueden ganar con los usuarios. No conozco a nadie que les pague directamente
      Es una estructura en la que empresas turbias que recolectan datos venden datos sobre los usuarios a otras empresas turbias. Y todo esto se ofrece gratis al usuario
    • Me recuerda a la segunda mitad de este sketch: https://www.youtube.com/watch?v=uQjUh4nWwaM
    • Parece que acabas de descubrir que el capitalismo es dañino para las personas. Quién lo hubiera dicho
  • Tranquilos. Las organizaciones tienen suficientes alternativas. Como probablemente seguirá sin haber soporte para Do-Not-Shoot, Do-Not-Rape y Do-Not-Stone, toda la familia podrá divertirse

    • Tampoco hay que olvidarse de robots.txt
  • Si RFC significa request for comment, siempre me pregunté: ¿cómo se dejan comentarios y quién los deja?

    • Según una anécdota que escuché en una clase universitaria de redes, el nombre RFC se puso medio en broma, y significaba que cuando una propuesta llega a la etapa de RFC, los comentarios ya no son muy bienvenidos
      La idea era que los comentarios había que hacerlos mucho antes
      No sé si esa anécdota es cierta, pero sí es verdad que una RFC suele funcionar como el juicio final sobre ese estándar
      De hecho, una vez que una RFC recibe un ID, no se puede modificar ni retirar; solo puede ser reemplazada por otra RFC
    • Las RFC iniciales sí eran realmente solicitudes de comentarios sobre ideas y propuestas, y el objetivo no era crear un registro archivado de estándares o buenas prácticas, sino iniciar una conversación
      Con el tiempo, a medida que el proceso de publicación se volvió más formal y creció la comunidad que consumía esos materiales, el objetivo cambió
      Hoy se han publicado más de 8.500 RFC, incluyendo guías de buenas prácticas, protocolos experimentales, material informativo y, por supuesto, estándares de Internet
      https://www.rfc-editor.org/rfc/rfc8700.html
      Hoy en día hay que comentar antes de que algo llegue a la etapa de “estándar de Internet”
    • Las RFC funcionan bajo la IETF. Una RFC se desarrolla en un grupo específico, uno puede participar en ese grupo, y el trabajo normalmente se hace por correo electrónico
      En la época en que participé, también había reuniones presenciales, pero asistir no era obligatorio
    • Otra interpretación es “request for compliance”, es decir, solicitud de cumplimiento
    • Se pueden enviar fe de erratas. Quizá habría que cambiarles el nombre a RFE
  • ¿Este encabezado no terminará siendo simplemente otro fragmento de entropía más usado por las empresas que igual van a apuñalar?

    • Sin respaldo legal, sí. Si lo tuviera, la historia sería completamente distinta
    • Si se vuelve ilegal abusar del encabezado, solo los ilegales apuñalarán a los usuarios