2 puntos por GN⁺ 2024-12-12 | 1 comentarios | Compartir por WhatsApp
  • La configuración Do Not Track (DNT), que enviaba a los sitios web la intención del usuario de no ser rastreado, desaparecerá a partir de Firefox 135; la eliminación de la opción ya fue confirmada en las compilaciones Nightly
  • DNT funciona informando la elección del usuario mediante un encabezado HTTP, pero muchos sitios no respetan esta señal, por lo que su efectividad se volvió limitada
  • Mozilla determinó que, en algunos casos, la señal DNT puede reducir la privacidad, y confirmó su eliminación en una entrada de Bugzilla y en la documentación de soporte
  • La alternativa es la configuración basada en Global Privacy Control (GPC): “Indicar a los sitios web que no vendan ni compartan mis datos”
  • Aún no está claro qué ocurrirá cuando los usuarios que ya tenían DNT activado actualicen a Firefox 135; Chrome y Microsoft Edge siguen ofreciendo la configuración DNT

Eliminación de la configuración DNT en Firefox 135

  • Mozilla eliminó la configuración Do Not Track (DNT) de Firefox
    • La versión en la que aplica es Firefox 135 o superior
    • El cambio ya puede comprobarse en las compilaciones Nightly
  • En “Website Privacy Preferences” de Nightly desapareció la opción “Send websites a ‘Do Not Track’ request”
  • La entrada de Bugzilla Remove DNT control from about:preferences#privacy también confirma el mismo cambio

Limitaciones de DNT y alternativa GPC

  • DNT es una configuración del navegador con la que el usuario envía a los sitios web su intención de no ser rastreado
    • Al activarla, se transmite a los sitios web un encabezado HTTP especial que indica la elección del usuario de no ser rastreado
    • DNT fue introducido en 2009 por Christopher Soghoian y Sid Stamm, y Firefox fue el primer navegador en implementar esta función
  • El motivo de la eliminación es que muchos sitios web no respetan la señal DNT y, en algunos casos, la privacidad puede verse reducida
    • La documentación de soporte de Firefox indica que la casilla de DNT se eliminará a partir de Firefox 135
    • La documentación de soporte señala que muchos sitios no respetan esta preferencia de privacidad
  • La alternativa recomendada por Firefox es Global Privacy Control
    • La configuración relacionada es “Tell websites not to sell or share my data”
    • Esta opción está construida sobre GPC
    • GPC es respetado por cada vez más sitios y, en algunas regiones, se aplica por ley
  • Aún no está claro qué ocurrirá cuando los usuarios que ya tenían DNT activado actualicen a una versión de Firefox afectada
    • Podría mostrarse el mensaje “Firefox no longer supports Do Not Track”
    • O también existe la posibilidad de que la señal se siga enviando a los sitios web
  • Otros navegadores, como Google Chrome y Microsoft Edge, todavía ofrecen la configuración DNT
    • Chrome: Settings > Privacy and Security > Send a “Do Not Track” request with your browsing traffic
    • Microsoft Edge: Settings > Privacy, Search, and Services > activar “Send Do Not Track requests”

1 comentarios

 
GN⁺ 2024-12-12
Opiniones de Hacker News
  • Trabajaba en Mozilla cuando se implementó esta función
    Que los sitios web la soportaran era completamente opcional, y al principio solo unos pocos sitios lo hacían
    Internamente había muchas opiniones a favor de activarla por defecto, pero el argumento era que, si se hacía eso, nadie la respetaría. ¿Qué plataforma de rastreo se comprometería a no rastrear solo al 0,1% que entró a la configuración y la activó manualmente?
    Al final, Internet Explorer la activó por defecto y recibió buena prensa, pero eso hizo que todos la ignoraran y terminó matando la función
    En general, me alegra que esta función desaparezca. En la práctica no hacía nada y, peor aún, daba una falsa sensación de seguridad al parecer que hacía mucho
    Eso sí, me gustaría que los modales de cookies de cada sitio pasaran al nivel del navegador. Seguro hay muchas razones por las que todavía no ocurrió, pero una razón grande probablemente empieza con G y termina en Oogle

    • Eso de “me gustaría que los modales de cookies de cada sitio pasaran al nivel del navegador” ya es posible de forma indirecta
      Si activas los filtros Cookie Banners y Annoyances en la configuración de uBlock Origin, los modales se eliminan silenciosamente en segundo plano y puedes seguir navegando. Como nunca diste tu consentimiento, funcionalmente debería ser lo mismo que haber rechazado el banner
      En navegadores deficientes que no soportan uBlock Origin, por ejemplo Chrome para iOS o Android, el bookmarklet Kill Sticky funciona de forma similar: https://www.smokingonabike.com/2024/01/20/take-back-your-web...
      Extraño la época en que los navegadores antiguos priorizaban al usuario y activaban por defecto cosas como el bloqueo de pop-ups
    • Esa es justamente la razón por la que el RFC 35140 “Do-Not-Stab” especificaba que el agente de usuario no debe activarlo por defecto
      https://www.5snb.club/posts/2023/do-not-stab/
    • En esa época trabajaba en una de las grandes empresas de tecnología publicitaria. DNT era un compromiso cuidadosamente negociado entre la industria publicitaria, los sitios que dependían de esos ingresos, los proveedores de navegadores y los defensores de la privacidad
      Implementamos DNT en nuestra infraestructura de borde y estábamos listos para desplegarlo
      Pero Microsoft, en medio de su guerra con Google y después de que sus propias ambiciones en ad tech impulsadas por la adquisición de aQuantive terminaran en una amortización de 6.000 millones de dólares, lo activó por defecto y rompió el acuerdo. Eso fue un golpe fatal para todos
      La industria publicitaria jamás habría aceptado una versión opt-out de DNT. Funcionaba cuando solo una minoría interesada lo activaba manualmente, pero no cuando el navegador web dominante de la época elegía por todos los usuarios
      Entiendo perfectamente por qué a la gente no le gustan el rastreo y la publicidad personalizada. En la última década se volvieron más invasivos, pero al menos en ese momento eran esenciales para la web comercial
    • Irónicamente, activar ese bit hacía que la huella del navegador fuera un poco más distintiva
    • Creo que DNT era una solución creativa
      La única forma de detener el rastreo es mediante leyes o regulación. Las soluciones técnicas son una carrera armamentista interminable y, para el usuario final, probablemente una pelea casi perdida
      DNT era una forma de mostrar que a los consumidores les importaba no ser rastreados, y ponía a las empresas en la posición de ignorar una solicitud explícita de privacidad del consumidor
      Lamentablemente, nadie logró aprovechar ese punto de manera efectiva
  • Entiendo que haya muchas impresiones negativas sobre los movimientos recientes de Mozilla. Pero aquí, en el peor de los casos, están eliminando una función que casi nadie respetaba
    Esta función se basaba en un sistema de honor, y hasta el sistema de honor de Suiza hace controles aleatorios. El navegador no tenía ninguna forma de hacerla cumplir
    Irónicamente, también se usaba como un dato adicional para rastrear a las personas más conscientes de la privacidad que la habían activado a propósito

    • Medium la soportó durante mucho tiempo, y herramientas como Matomo también la soportaban por defecto
      Firefox implementó el reemplazo, Global Privacy Control, pero tiene exactamente el mismo problema, y hay todavía menos sitios web que respeten GPC
      No es una solución real a las prácticas normalizadas de ciberacoso de los sitios web actuales, pero tampoco se puede decir que sea completamente inútil
    • La discusión y el sistema en sí estaban manipulados. Si hubiera sido justo, debió hacerse así
      1. Asumir por defecto que los usuarios no quieren ser rastreados, y hacer que Do Not Track fuera una opción para desactivarlo
      2. Después de operarlo durante algunos años, aumentar gradualmente la discusión sobre que nadie lo respetaba
        Así habría tenido valor noticioso y, al menos en la UE, quizá se habría considerado como algo a imponer mediante regulación
        Pero en la práctica Do Not Track nunca tuvo oportunidad de tener éxito, y creo que fue deliberado
    • De acuerdo. No es más que una regla voluntaria usada por un navegador cuya cuota de mercado parece un error de redondeo
      Si alguien dependía solo de esto para su privacidad en línea, necesita educación
      Desde ese punto de vista, eliminarlo podría llevar a algunas personas a aplicar protecciones más fuertes en el navegador y, aunque sea muy poco, ayudar en conjunto a la privacidad
    • Más que el hecho de que lo ignoraran, lo importante es que añadía otra forma de reducir el rango de huellas
  • Ya era hora de quitarlo. Nunca logró resultados significativos para la privacidad y, al contrario, produjo el efecto opuesto al aportar una señal más para identificar de forma única al usuario y mejorar el rastreo
    Dicho eso, la prevención de rastreo en general es, por defecto, casi una batalla perdida. Si entras a https://amiunique.org/, entenderás por qué
    Uso todas las protecciones posibles en Firefox, el modo “strict” de prevención de rastreo y uBlock Origin, pero el rastreo de primera parte es inevitable
    Un ejemplo llamativo: los navegadores actuales pueden exponer a los sitios web la cantidad de núcleos de CPU del dispositivo. Solo con eso se puede filtrar al 80–90% de los usuarios y, combinado con el agente de usuario, la IP y el idioma, la identificación se vuelve casi única
    https://developer.mozilla.org/en-US/docs/Web/API/Navigator/h...

    • Sería bueno que por defecto se ofreciera un entorno JavaScript lo bastante básico como para verse igual para todos los usuarios
      Idealmente en todos los navegadores, o al menos en Firefox, cuando un sitio intente usar funciones avanzadas que puedan habilitar el rastreo, debería aparecer un ícono en la barra de direcciones y permitir autorizarlo caso por caso
      Es decir, no NoScript, sino Low script
    • El objetivo no debería ser parecer no único. Hay demasiados pequeños elementos que pueden delatarte
      Aunque hoy logres manejar todos esos elementos de alguna forma, la próxima actualización del navegador puede activar una señal nueva, y tampoco puedes confiar en que amiunique.org esté mostrando todos los puntos de datos identificadores. Al final, es una carrera armamentista que estás destinado a perder
      Lo que quieres es ser único de manera diferente en cada sitio que visitas. Mejor aún si JavaScript está desactivado por defecto, de modo que el sitio ni siquiera pueda recopilar el 90% de los puntos de datos que expone el navegador
      La protección más fuerte probablemente sería cambiar la dirección IP con una VPN y aleatorizar el agente de usuario y otras pistas
    • Hay dos problemas ortogonales. De lo que se habla principalmente es de la necesidad de hacer que rastrear a alguien que no quiere ser rastreado sea prácticamente difícil
      Al mismo tiempo, lo que hay que hacer es ilegalizarlo
      DNT se siente como un intento “apresurado” de lograr esto último sin respaldo legal
    • La información de que el navegador expone a los sitios web la cantidad de núcleos de CPU del dispositivo ya podía obtenerse incluso antes de que se introdujera navigator.hardwareConcurrency
      Publiqué un polyfill de ataque de temporización que infería esa información, y al principio se propuso la API navigator.hardwareConcurrency como reemplazo
      Además de la utilidad básica de esta API, los proveedores de navegadores consideraron que, al no tener que hacer benchmarks del dispositivo del usuario para averiguar ese valor, los sitios web podían ahorrar batería
  • Eliminar esta función perjudica la agencia del usuario. Los usuarios de Firefox tendrán que lidiar con prompts de consentimiento más molestos
    La configuración predeterminada de Transcend Consent Management, si DNT está activado, excluye al usuario de todos los fines de rastreo no esenciales y también suprime automáticamente el prompt de consentimiento; pero si solo GPC está activado, solo rechaza la “venta/compartición de información”
    Al eliminar esta señal de privacidad centralizada, algunos usuarios ya no pueden expresar de forma predeterminada un rechazo total en Transcend Consent Management sin interactuar con banners molestos
    Creo que este cambio se impulsó sin la debida consideración ni feedback de la comunidad web. Mozilla lo procesó demasiado rápido, por lo que casi nadie se dio cuenta del problema antes de que se cerrara el issue[1]. Para colmo, Bugzilla está configurado de modo que, una vez cerrado el issue, quienes no son empleados de Mozilla no pueden añadir más comentarios
    También transmití feedback similar cuando el equipo de Chrome propuso eliminar DNT en 2023[2]. Ellos tomaron en cuenta el feedback y, por ahora, DNT sigue en Chrome, con su eliminación pospuesta indefinidamente

    1. https://bugzilla.mozilla.org/show_bug.cgi?id=1928087
    2. https://issues.chromium.org/issues/41440843#comment12
    • Que una herramienta de gestión de consentimiento —y encima una que probablemente no sea tan común— entienda y use este flag no es una razón sólida para mantener la función
      Hay mejores formas de proteger la privacidad que no dependen de un flag voluntario enviado a los anunciantes con la esperanza de que lo acepten
    • No perjudica la agencia del usuario. Porque nadie lo respeta
      Especialmente en privacidad y seguridad, las funciones que dan una falsa impresión de eficacia pueden ser perjudiciales
      Nadie debería sentir que no será rastreado porque activó Do Not Track. Eso es falso
      Por eso, lo correcto es eliminarlo
  • GPC es básicamente lo mismo que DNT, pero según [1], “GPC mejora a DNT en varios aspectos”
    Respaldo legal: a diferencia de DNT, GPC cuenta con el apoyo de más leyes, como la CCPA, que exigen a las empresas respetar este tipo de señales
    Objetivo más específico: DNT cubría el rastreo en general, pero GPC se enfoca en detener la venta o el intercambio de datos, por lo que es más relevante para las necesidades actuales de privacidad
    Mejor posibilidad de adopción: GPC se creó con aportes de reguladores, defensores de la privacidad y líderes de la industria, con la intención de alinearse con las leyes existentes y abordar vacíos funcionales anteriores
    Pero en esencia son casi lo mismo
    Así que, más que “Firefox elimina DNT”, parece más bien que “Firefox descarta la versión inicial ineficaz de GPC
    [1]: https://www.cookiebot.com/en/global-privacy-control/

    • ¿Que GPC esté respaldado por leyes como la CCPA es porque viene desactivado de forma predeterminada? Al final es exactamente lo mismo en el sentido de que es un header con un valor predefinido
      Mi exigencia es no ser rastreado. El rastreo viene antes que la venta. No quiero rechazar la venta, quiero rechazar el rastreo
      Hablan de “vacíos funcionales”, pero la única diferencia entre GPC y DNT es que DNT envía DNT: 1 y GPC envía Sec-GPC: 1
      Las empresas que no respetaban DNT no van a respetar GPC. La única diferencia aquí es que en IE GPC no viene activado por defecto, mientras que DNT sí
  • Si entendí bien, DNT se está descartando en favor de la nueva propuesta “Global Privacy Control”: https://w3c.github.io/gpc/
    Así que Firefox ahora enviará opcionalmente Sec-GPC: 1 en lugar del header DNT: 1, mediante una configuración distinta a la que se usaba para DNT
    No termino de ver por qué esto se considera un cambio útil. Como operador de un sitio web que en su momento implementó la activación de código de anonimización cuando estaba presente el header DNT, puedo agregar código para revisar también Sec-GPC, pero esto se siente como un cambio por cambiar
    Si la misma opción del navegador está marcada, Mozilla podría simplemente enviar ambos headers; hacer que los sitios web revisen ambos también resulta ridículo. Entiendo que quieran un compromiso más fuerte con Sec-GPC que con DNT, pero como este último es un subconjunto del primero, ¿no bastaría con actualizar la descripción del checkbox del lado del cliente y enviar ambos?

  • La señal “Do Not Track” era más útil como señal adicional de fingerprinting que para impedir el rastreo
    Ojalá ahora pueda impulsarse algo más robusto

  • Se marcó para quedar obsoleto en 2018 y se eliminó en 2024. Para una función que se usaba justo para lo contrario de su propósito, no es un calendario que sorprenda a nadie

  • Creo que debieron haberlo dejado y que la UE debió convertir en abuso legal ignorarlo. Entonces tampoco habrían hecho falta esos malditos banners de cookies

    • Ignorarlo significa que deben obtener consentimiento explícito, y los sitios web ya lo están haciendo
  • Como su uso era tan bajo, esta función se estaba usando para rastrear a la gente

    • La solución obvia habría sido activarla por defecto