RFC 35140: Richtlinie „HTTP Do-Not-Stab“ (2023)
(5snb.club)- In einem satirischen Szenario, in dem Websites Nutzer erstechen können, erlaubt
Do-Not-Stab, dass Nutzer ihre Präferenz, nicht erstochen werden zu wollen, per HTTP-Header übermitteln - Die Header-Syntax besteht nur aus
Do-Not-Stab: 1; fehlt der Header, wird dies als Präferenz behandelt, dass der Nutzer erstochen werden möchte - User Agents dürfen diesen Wert nicht standardmäßig aktivieren; für standardmäßig gesetzte Signale gilt die Regel, dass Webdienste sie ignorieren und den Nutzer trotzdem erstechen dürfen
- Microsoft hat Unterstützung für
Do-Not-Stabnur innerhalb des EEA zugesagt; außerhalb des EEA kann man trotz gesetztem Header erstochen werden - Durch Ausnahmen wie kommerzielles Interesse, staatliche Anfragen, Einwilligungsverarbeitung oder Forderungen von Aktionären kritisiert der Text, wie Unternehmen ihre Entscheidungsfreiheit über Sicherheitsbedenken stellen
Regeln des Do-Not-Stab-Headers
Do-Not-Stabist ein HTTP-Header, mit dem Nutzer Websites ihre Präferenz in Bezug auf das Erstochenwerden mitteilen können- Im satirischen Hintergrund können Websites dank Fortschritten bei Peripheriegeräten in den letzten 50 Jahren Nutzer erstechen, und es ist sogar eine Branche für Stabbings as a Service entstanden
- Böswillige Akteure können Nutzerpräferenzen ignorieren, aber die meisten Erstechungen würden laut Text nicht von böswilligen Akteuren, sondern von legitimen Unternehmen durchgeführt
- Dieser Standard bietet Nutzern eine einfache Möglichkeit, alle Erstechungen abzulehnen, lässt aber Ausnahmen für gesetzlich verlangte Erstechungen und solche, die Unternehmen ohnehin durchführen möchten
- Es gibt nur eine Syntax
Do-Not-Stab: 1- Fehlt der Header, wird dies als Präferenz behandelt, dass der Nutzer erstochen werden möchte
- User Agents dürfen diesen Header nicht als Standardeinstellung übernehmen
- Falls er so gesetzt wird, wird Webdiensten empfohlen, die Präferenz zu ignorieren und den Nutzer zu erstechen
- Begründung: Ob ein Nutzer erstochen werden möchte, kann nicht vom User Agent entschieden werden, sondern muss eine ausdrückliche Wahl des Nutzers sein
Geltungsbereich und Ausnahmen
- Microsoft hat zugesagt, den
Do-Not-Stab-Header im EEA, also im European Economic Area, zu unterstützen - Außerhalb des EEA ist die Unterstützung noch in Arbeit, daher können Nutzer trotz gesetztem Header erstochen werden
- Verlässt ein Land den EEA, können Nutzer in diesem Land erstochen werden
- Ausnahmen bei
Do-Not-Stabwerden anerkannt, wenn kommerzielle Interessen schwerer wiegen als Sicherheitsbedenken- Dazu gehören Fälle, in denen Nutzer einer Erstechung zugestimmt haben, auch wenn ihnen ihre Zustimmung nicht bewusst ist
- Von Regierungen angeforderte Erstechungen sollten von Websites idealerweise nicht rechtlich angefochten werden; zudem heißt es, der Nutzer werde es schon verdient haben
- Erstechungen, bei denen eine Chance besteht, dass der Nutzer nicht stirbt
- Wenn Aktionäre es wollten
- Der Kommentar des Herausgebers kritisiert den Zustand, dass Unternehmen selbst dann, wenn sie wissen, dass sie etwas nicht tun sollten, erst aufhören, wenn man es ihnen ausdrücklich verbietet
- Dass Microsoft Nutzerentscheidungen nur im EEA respektiert, wird damit erklärt, dass dies nur dort verpflichtend ist
- Ebenfalls kritisiert wird, dass IE Do-Not-Track standardmäßig aktivierte und dadurch alle das Signal von IE ignorierten
- Dazu wird auch der Link Previewing changes in Windows to comply with the Digital Markets Act in the European Economic Area angegeben
- Unter Verweis auf die Formulierung „We and our 756 partners process personal data“ wird die Adtech-Praxis, gemeinsam mit 756 Partnern personenbezogene Daten zu verarbeiten, scharf kritisiert
1 Kommentare
Meinungen auf Hacker News
Die Satire ist großartig, aber der entscheidende Punkt ist, dass sie den größeren gesellschaftlichen Wandel widerspiegelt, bei dem die Last des Schutzes persönlicher Autonomie von Institutionen und Regulierungsbehörden auf einzelne Nutzer verlagert wurde.
Ob Do-Not-Stab oder Do-Not-Track: Angesichts finanziellen Drucks ist aus meiner Sicht jede Form von freiwilliger Compliance schon vom Start weg kaum tragfähig.
Wir sollten wieder normalisieren, solchen Problemen kämpferisch zu begegnen, und die Freiheit, den eigenen Computer so zu nutzen, wie man will, offensiv und konfrontativ verteidigen.
Die Softwarebranche wusste, dass Chrome Werbesoftware ist, hat es aber trotzdem auf den eigenen Rechnern und denen der Verwandtschaft installiert und ihm den roten Teppich ausgerollt. Wenn man bedenkt, wie extrem niedrig die Kosten für den Wechsel zu Alternativen sind und dass es dennoch nicht passiert ist, bin ich skeptisch, ob die Leute hier wirklich kämpferisch werden.
Wir bekamen nicht nur ein besseres Internet für Verbraucher, sondern auch bessere Unternehmen wurden belohnt und setzten sich durch. Vielleicht ist das Nostalgie, aber ein weiterer Grund, warum Ungehorsam nötig ist: Die Gegenseite handelt ebenfalls aus Geldgründen so.
Konkret bei Cookies: Könnte man etwas wie Adblock machen? Vergiftete Daten wären wohl wirksamer als Blockieren. Wenn sie Daten wollen, dann sollen sie Daten bekommen. Wenn sie sie ohne Einwilligung verlangen, sind vergiftete Daten eben nur böswillige Befolgung.
Man könnte es als Erweiterung von DNT standardisieren, etwa: „Wenn nach einem DNT-Header eine Einwilligung verlangt wird, darf der User Agent beliebige synthetische Daten erzeugen.“
Unternehmen scheinen zu wissen, dass sie langfristig gewinnen können, wenn sie nur die Kosten des Widerstands für Nutzer in Form von Zeit und Ärger erhöhen. Die Geschichte und Richtung der Plattformen, vom Browser über den App Store bis zu allen möglichen SaaS-Angeboten, ist tragisch, und mit jedem Schritt ist die Kontrolle der Nutzer weiter geschrumpft.
Die große Frage ist nun, ob KI unternehmenszentriert sein oder demokratisiert werden wird, und in welchem Ausmaß; ich finde es schwer, da optimistisch zu sein.
Oder man wird vielleicht Schäfer oder so, wenn man nicht noch 60 Jahre lang Do-Not-Stab anklicken will. Das wird ungefähr 10 Jahre gut funktionieren, aber irgendwann kommt der Punkt, an dem man Do-Not-Stab anklicken muss, um Auto, Spülmaschine oder Lichtschalter zu benutzen, und dann gewinnt das Unternehmen.
Am Ende sagt man: „Ich sollte schon dankbar sein, dass sie vor dem Zustechen gefragt haben; eigentlich stehe ich in ihrer Schuld“, und freut sich auf die Liebe und das Geld, die nach der Karriere als berühmter Schäfer-Influencer hereinströmen. Bitte liken und abonnieren, und wie immer: Hoch die Unternehmen.
Wichtig ist, dass der Do-Not-Stab-Header von einer Browser-Engine standardmäßig aktiviert wurde und dann verworfen wurde, weil ein Modell, bei dem Nutzer dem Gestochenwerden ausdrücklich zustimmen mussten, die Einnahmen der Zustecher-Industrie schädigte.
Zum Glück hat jemand die nicht standardisierte Alternative General Assault Control entwickelt; auch sie hat nur einen einzigen Wert, sodass man Sec-GAC auf 1 setzen kann, um Websites zu bitten, einen nicht anzugreifen.
Dieser Header ist absichtlich nicht erweiterbar, sodass er künftig nicht dazu taugt, brutale Messerstechereien von komödiantischen Tortenwürfen ins Gesicht zu unterscheiden.
Wegen rechtlicher Anforderungen kann der General-Assault-Control-Header nicht standardmäßig aktiviert werden. US-Bundesstaaten wie Colorado verlangen nämlich einen ausdrücklichen Widerspruch statt ausdrücklicher Einwilligung.
Das schützt Colorados florierende Stech- und Schusswaffenindustrie, da die meisten Nutzer wohl nicht gestochen werden möchten.
Die Funktion muss standardmäßig deaktiviert sein, aber die Organisation, die die Spezifikation erstellt hat, drängt ihre Kunden stark dazu, einen Nischenbrowser herunterzuladen, der sie implementiert. Zum Aktivieren braucht man allerdings möglicherweise about:config.
Wegen der kleinen Nutzerbasis können Websites, die sich nicht an den Standard halten, gerade die Bitte, nicht angegriffen zu werden, nutzen, um Stiche und Schüsse präziser zu machen.
Endnutzer können von Webservern eine JSON-Datei anfordern, die angibt, ob GAC-Header unterstützt werden; nicht konforme Server können diese URL-Anfrage jedoch nutzen, um dem Nutzer in die Zähne zu treten.
So ist es immer eine aktive Entscheidung, dem Zustechen nicht zuzustimmen, und Nutzer, die gestochen oder verstümmelt werden möchten, verpassen diese Gelegenheit nicht versehentlich.
Das ist viel zu offenkundige Parteinahme für die EU-Bürokratie. Kein Wunder, dass es in Europa wegen des stechfeindlichen Geschäftsumfelds keine großen SaaS-Unternehmen gibt.
Es sind weniger als in den USA und China, aber einige wurden übernommen oder haben ihre Basis in andere Länder verlegt.
Für den günstigen Preis von 20 Dollar pro 1.000 Klicks biete ich einen Zustechen-Einwilligungsbanner an, der die kommenden webbasierten Zustechen-Regeln der EU und Kaliforniens vollständig einhält.
Außerdem habe ich keine Ahnung, wie ich die 846 Zustechen-Broker, mit denen ich zusammenarbeite, korrekt offenlegen soll. Wie soll man denn mit Zustechen seinen Lebensunterhalt verdienen, wenn einem diese Bürokratie ständig im Weg steht?
Diese Website sieht aus, als wäre sie Teil eines Webrings aus MtF-Transgender-Personen, Furrys, Menschen, die sich selbst als Roboter bezeichnen, und Kombinationen daraus. Einige verwenden auch ausschließlich Pronomen der dritten Person.
Offenbar sind sie alle in irgendeiner Form Systemadministratoren oder Programmierer.
Nicht mein Stamm, aber ich freue mich sehr, in diesem Webring eine schöne Spiegelung des alten Internets zu sehen.
Der Do-Not-Track-Header wurde 2009 erstmals von den Forschern Christopher Soghoian und Sid Stamm vorgeschlagen, und Mozilla Firefox war der erste Browser, der diese Funktion implementierte.
https://en.wikipedia.org/wiki/Do_Not_Track#:~:text=The%20Do%...
Auf allen Sites, die ich gebaut habe, auch auf denen für Arbeitgeber, halte ich mich daran. Allerdings ist das wohl nur möglich, weil der Arbeitgeber nichts davon weiß.
Wenn jemand mit aktiviertem Do-Not-Track surft, lasse ich auch den Cookie-Consent-Banner aus und behandle es so, als wolle die Person nichts außer strikt notwendigen Cookies wie Session- und Login-Cookies.
Ich binde auch kein Google Analytics ein und erhöhe nur einen einzelnen Seitenaufruf-Zähler ohne personenbezogene Daten.
Er galt aber wohl als zu komplex und als „zu wenig durchsetzbar“.
Hätte er bis zur DSGVO überlebt, hätte er vielleicht Durchsetzungskraft bekommen, aber Mozilla entfernte die Unterstützung schon vorher.
Die Aussage „weil alle Unternehmen ihre Nutzer wirklich hassen“ ist nicht ganz richtig.
Es ist weniger so, dass sie die Nutzer tatsächlich hassen; eher lieben sie das Geld der Nutzer und begegnen den Nutzern selbst mit korrumpierter Gleichgültigkeit.
Es ist ein System, in dem zwielichtige Firmen, die Daten sammeln, Daten über Nutzer an andere zwielichtige Firmen verkaufen. Und all das wird den Nutzern kostenlos angeboten.
Beruhigt euch. Organisationen haben genug andere Optionen. Unterstützung für Do-Not-Shoot, Do-Not-Rape und Do-Not-Stone wird es weiterhin nicht geben, also ist Spaß für die ganze Familie garantiert.
Wenn RFC für Request for Comments steht, habe ich mich immer gefragt: Wie hinterlässt man Kommentare, und wer tut das?
Feedback müsse man viel früher geben.
Ich weiß nicht, ob diese Anekdote stimmt, aber es stimmt, dass RFCs normalerweise wie die endgültige Entscheidung zu dem jeweiligen Standard funktionieren.
Tatsächlich können RFCs, sobald sie eine ID erhalten haben, nicht mehr geändert oder zurückgezogen werden; sie können nur durch ein anderes RFC ersetzt werden.
Mit der Zeit wurden der Veröffentlichungsprozess formeller und die Community, die das Material konsumierte, größer, wodurch sich das Ziel änderte.
Heute sind über 8.500 RFCs veröffentlicht, darunter Leitfäden zu Best Practices, experimentelle Protokolle, Informationsmaterialien und natürlich Internet-Standards.
https://www.rfc-editor.org/rfc/rfc8700.html
Heutzutage muss man Feedback geben, bevor etwas die Stufe „Internet Standard“ erreicht.
Zu der Zeit, als ich beteiligt war, gab es auch Präsenztreffen, aber die Teilnahme war nicht verpflichtend.
Wird auch dieser Header am Ende nicht einfach zu einem weiteren Stück Entropie, das von Unternehmen genutzt wird, die einen sowieso stechen werden?