RFC 35140 : politique HTTP Do-Not-Stab (2023)
(5snb.club)- À travers une mise en scène satirique où les sites web peuvent poignarder les utilisateurs,
Do-Not-Stabpermet à l’utilisateur d’exprimer via un en-tête HTTP sa préférence pour ne pas être poignardé - La syntaxe de l’en-tête se limite à
Do-Not-Stab: 1, et si l’en-tête est absent, cela est interprété comme une préférence indiquant que l’utilisateur souhaite être poignardé - Les user agents ne doivent pas activer cette valeur par défaut, et le texte prévoit qu’un signal défini par défaut peut être ignoré par les services web, qui peuvent alors poignarder l’utilisateur
- Microsoft s’est engagé à prendre en charge
Do-Not-Stabuniquement dans l’EEA, et en dehors de l’EEA, un utilisateur peut être poignardé même si l’en-tête est défini - En montrant que des exceptions comme l’intérêt commercial, les demandes des gouvernements, le traitement du consentement ou les exigences des actionnaires peuvent primer sur les préoccupations de sécurité, le texte critique la manière dont les entreprises se réservent le choix
Règles de l’en-tête Do-Not-Stab
Do-Not-Stabest un en-tête HTTP qui permet à l’utilisateur d’indiquer à un site web sa préférence concernant le fait d’être poignardé- Dans le cadre satirique présenté, les progrès des périphériques au cours des 50 dernières années ont permis aux sites web de poignarder les utilisateurs, au point de faire émerger une industrie du Stabbings as a Service
- Des acteurs malveillants peuvent ignorer les préférences des utilisateurs, mais le texte part du principe que la plupart des poignardages ne sont pas le fait d’acteurs malveillants, mais d’entreprises légitimes
- Ce standard offre un moyen simple pour les utilisateurs de refuser tous les poignardages, tout en laissant subsister des exceptions pour les poignardages imposés par la loi et ceux que les entreprises veulent de toute façon pratiquer
- La syntaxe est unique
Do-Not-Stab: 1- En l’absence de l’en-tête, cela est interprété comme une préférence indiquant que l’utilisateur souhaite être poignardé
- Les user agents ne doivent pas adopter cet en-tête comme préférence par défaut
- Si c’est le cas, il est recommandé aux services web d’ignorer cette préférence et de poignarder l’utilisateur
- La raison invoquée est que ce n’est pas au user agent de décider si l’utilisateur veut être poignardé : cela doit relever d’un choix explicite de l’utilisateur
Portée et exceptions
- Microsoft s’est engagé à prendre en charge l’en-tête
Do-Not-Stabdans l’EEA, c’est-à-dire l’European Economic Area - En dehors de l’EEA, la prise en charge est encore en cours, de sorte qu’un utilisateur peut être poignardé même si l’en-tête est défini
- Si un pays quitte l’EEA, les utilisateurs de ce pays peuvent être poignardés
- Des exceptions à
Do-Not-Stabsont admises lorsque l’intérêt commercial l’emporte sur les préoccupations de sécurité- Cela inclut les cas où l’utilisateur a consenti à être poignardé, même s’il ne sait pas qu’il a donné son consentement
- Pour les poignardages demandés par un gouvernement, il est recommandé aux sites web de ne pas contester leur légalité, le texte ajoutant que l’utilisateur l’avait probablement bien cherché
- Les poignardages dont il existe une possibilité que l’utilisateur n’en meure pas
- Les cas où les actionnaires l’ont souhaité
- Le commentaire de l’éditeur critique la situation dans laquelle les entreprises, tout en sachant qu’elles ne devraient pas le faire, ne s’arrêtent que si on leur dit explicitement de ne pas le faire
- Il estime que si Microsoft respecte le choix des utilisateurs uniquement dans l’EEA, c’est parce qu’il n’y est obligé que là-bas
- Il critique aussi le fait qu’IE ait défini Do-Not-Track par défaut, ce qui a conduit tout le monde à ignorer le signal envoyé par IE
- Le texte inclut également le lien Aperçu des changements apportés à Windows pour se conformer au Digital Markets Act dans l’Espace économique européen
- En citant la formule « We and our 756 partners process personal data », il critique vivement les pratiques de l’adtech qui traitent des données personnelles avec 756 partenaires
1 commentaires
Avis de Hacker News
La satire est excellente, mais le point essentiel est qu’elle reflète tel quel un changement social plus large : le fardeau de la protection de l’autonomie individuelle est passé des institutions et des régulateurs aux utilisateurs individuels.
Qu’il s’agisse de Do-Not-Stab ou de Do-Not-Track, face aux pressions financières, toute forme de conformité volontaire paraît difficile à tenir dès le départ.
Il faut désormais normaliser à nouveau une attitude combative face à ce genre de problème, et défendre de manière agressive et conflictuelle la liberté d’utiliser son propre ordinateur comme on l’entend.
Le secteur du logiciel savait que Chrome était un logiciel publicitaire, mais il lui a déroulé le tapis rouge en l’installant sur ses propres ordinateurs et ceux de ses proches ; vu que le coût pour passer à une alternative est extrêmement faible et que les gens ne le font quand même pas, je doute qu’ils se mobilisent de façon combative sur ce sujet.
Non seulement on obtenait un meilleur Internet pour les consommateurs, mais de meilleures entreprises étaient aussi récompensées et finissaient par gagner. C’est peut-être de la nostalgie, mais une autre raison pour laquelle la désobéissance est nécessaire, c’est que l’autre camp agit lui aussi ainsi pour l’argent.
Concrètement, pourrait-on faire quelque chose façon Adblock pour les cookies ? Des données contaminées seraient sans doute plus efficaces que le blocage. S’ils demandent des données, donnons-leur des données. S’ils les exigent sans consentement, des données contaminées ne sont qu’une conformité malveillante.
On pourrait même standardiser cela comme une extension de DNT, du genre : « si un consentement est demandé après l’en-tête DNT, l’agent utilisateur peut générer des données synthétiques arbitraires ».
Les entreprises semblent savoir qu’il leur suffit d’augmenter le coût de la résistance des utilisateurs en temps et en irritation pour gagner à long terme. L’histoire et la direction des plateformes, du navigateur à l’App Store puis à toutes sortes de SaaS, sont tragiques, et à chaque étape le contrôle des utilisateurs n’a cessé de diminuer.
La grande question, désormais, est de savoir si l’intelligence artificielle sera centrée sur les entreprises ou démocratisée, et jusqu’à quel point ; j’ai du mal à être optimiste.
Ou alors, si vous n’avez pas envie de cliquer sur Do-Not-Stab pendant encore 60 ans, vous pouvez devenir berger, ou quelque chose du genre. Ça marchera bien pendant une dizaine d’années, mais il arrivera forcément un moment où, pour utiliser une voiture, un lave-vaisselle ou un interrupteur, il faudra cliquer sur Do-Not-Stab, et là l’entreprise aura gagné.
Au final, on finira par dire : « je devrais déjà être reconnaissant qu’on me demande avant de me poignarder ; en fait, c’est moi qui ai une dette », puis par attendre avec impatience l’amour et l’argent qui afflueront après être devenu un célèbre influenceur berger. Pensez au like et à l’abonnement, et comme toujours, gloire aux entreprises.
Il est important de noter que l’en-tête Do-Not-Stab a été abandonné parce qu’un moteur de navigateur l’avait activé par défaut, et que le modèle où l’utilisateur devait consentir explicitement à être poignardé nuisait aux revenus de l’industrie du poignardage.
Heureusement, quelqu’un a créé une alternative non standard, General Assault Control, qui n’a elle aussi qu’une seule valeur : on peut donc définir Sec-GAC à 1 pour demander aux sites web de ne pas vous agresser.
Par conception, cet en-tête n’est pas extensible ; il ne pourra donc pas servir à distinguer, à l’avenir, les coups de couteau atroces des tartes à la crème lancées au visage à des fins comiques.
Pour des raisons légales, l’en-tête General Assault Control ne peut pas être activé par défaut. Dans certains États américains comme le Colorado, il faut en effet un refus explicite, et non un consentement explicite.
Cela protège l’industrie florissante du poignardage et de la fusillade du Colorado, puisque la plupart des utilisateurs ne souhaitent probablement pas être poignardés.
Cette fonctionnalité doit être désactivée par défaut, mais l’organisation qui a rédigé la spécification pousse fortement ses clients à télécharger un navigateur marginal qui l’implémente. Cela dit, il faudra peut-être passer par about:config pour l’activer.
Comme la base d’utilisateurs est réduite, les sites web qui ne respectent pas le standard peuvent utiliser la demande de ne pas agresser pour rendre leurs coups de couteau et leurs tirs plus précis.
L’utilisateur final peut demander au serveur web un fichier JSON indiquant s’il prend en charge l’en-tête GAC, mais les serveurs non conformes peuvent aussi utiliser cette requête d’URL pour lui donner un coup de pied dans les dents.
Ainsi, ne pas consentir au poignardage reste toujours un choix actif, et les utilisateurs qui souhaitent être poignardés ou mutilés ne risquent pas de manquer cette occasion par erreur.
C’est un soutien beaucoup trop évident à la bureaucratie de l’UE. Avec un environnement économique aussi hostile au poignardage, pas étonnant qu’il n’y ait pas de grande entreprise SaaS en Europe.
Elles sont moins nombreuses que les entreprises américaines et chinoises, mais certaines ont été rachetées ou ont déplacé leur base dans d’autres pays.
Pour le prix modique de 20 dollars les 1 000 clics, je propose une bannière de consentement au poignardage entièrement conforme aux prochaines réglementations de l’UE et de la Californie sur le poignardage web.
En plus, je ne sais absolument pas comment déclarer correctement les 846 courtiers en poignardage avec lesquels je travaille. Avec toute cette bureaucratie qui nous met des bâtons dans les roues, comment voulez-vous qu’on gagne sa vie en poignardant les gens ?
Ce site web semble faire partie d’un webring composé de personnes transgenres MtF, de furries, de personnes qui se déclarent elles-mêmes robots, et de combinaisons de tout cela. Certaines n’utilisent même que des pronoms à la troisième personne.
Toutes semblent être, sous une forme ou une autre, administratrices système ou programmeuses.
Ce n’est pas ma tribu, mais je suis très heureux de voir, dans ce webring, un beau reflet de l’ancien Internet.
L’en-tête Do Not Track a été proposé pour la première fois en 2009 par les chercheurs Christopher Soghoian et Sid Stamm, et Mozilla Firefox a été le premier navigateur à implémenter cette fonctionnalité
https://en.wikipedia.org/wiki/Do_Not_Track#:~:text=The%20Do%...
Tous les sites que j’ai créés, y compris ceux faits pour des employeurs, le respectent. Cela dit, je pense que c’est possible parce que mes employeurs ne le savent pas
Quand on navigue avec Do-Not-Track activé, j’ai fait en sorte de passer aussi les bannières de consentement aux cookies, et de considérer que l’utilisateur ne veut rien d’autre que ce qui est strictement nécessaire, comme les cookies de session et de connexion
Je n’intègre pas non plus Google Analytics, et je me contente d’incrémenter un compteur de vues unique de la page, sans information d’identification personnelle
Mais elle a apparemment été jugée trop complexe et « trop peu contraignante »
Si elle avait survécu jusqu’au RGPD, elle aurait peut-être acquis une force d’exécution, mais Mozilla en a supprimé la prise en charge avant cela
Dire que « toutes les entreprises détestent vraiment les utilisateurs » n’est pas tout à fait exact
Plutôt que de vraiment détester les utilisateurs, elles aiment l’argent des utilisateurs et manifestent envers les utilisateurs eux-mêmes une indifférence corrompue
Le modèle, ce sont des entreprises louches qui collectent des données et vendent les données sur les utilisateurs à d’autres entreprises louches. Et tout cela est fourni gratuitement aux utilisateurs
Calmons-nous. Les organisations ont plein d’autres options. Il n’y aura toujours pas de prise en charge de Do-Not-Shoot, Do-Not-Rape ni Do-Not-Stone, donc toute la famille pourra en profiter
Si RFC signifie request for comments, il y a une chose que je me suis toujours demandée : comment laisse-t-on un commentaire, et qui les laisse ?
Il fallait donner son avis bien avant
Je ne sais pas si cette anecdote est vraie, mais il est exact qu’une RFC fonctionne généralement comme le jugement final sur la norme concernée
En pratique, une fois qu’une RFC reçoit un identifiant, elle ne peut plus être modifiée ni retirée ; elle peut seulement être remplacée par une autre RFC
Avec le temps, à mesure que la procédure de publication s’est formalisée et que la communauté qui consommait ces documents s’est élargie, l’objectif a changé
Aujourd’hui, plus de 8 500 RFC ont été publiées, couvrant notamment des guides de bonnes pratiques, des protocoles expérimentaux, des documents d’information et, bien sûr, des standards Internet
https://www.rfc-editor.org/rfc/rfc8700.html
De nos jours, il faut donner son avis avant d’atteindre l’étape de « standard Internet »
À l’époque où j’y participais, il y avait aussi des réunions en présentiel, mais y assister n’était pas obligatoire
Cet en-tête ne va-t-il pas simplement devenir un morceau d’entropie de plus utilisé par les entreprises qui poignarderont les gens de toute façon ?