Do not track – להכיר, להבין ולכבד

תכונת ה-Do not tracking הנשכחת הופכת לפתע רלוונטית מאוד למפתחים ולמשתמשים
Firefox Do not track

המודעות לפרטיות בעולם עולה ולאחר שהמגזר העסקי נכשל ברגולציה עצמית והגנה על הפרטיות, הממשלות מעלות הילוך. האיחוד האירופי עם ה-GDPR וגם תקנות של ממשלת ישראל (שבקרוב גם יחוקק חוק שילווה אותן עם סנקציות בצידו). במאמר הזה אני אפרט על פיצ'ר שרבים לא מכירים אותו – הן מהצד הפיתוחי והן מהצד של הלקוחות, פיצ'ר שנמצא בכל דפדפן וכעת הופך רלוונטי מתמיד.

מעטים יודעים שבכל דפדפן יש את היכולת לסמן Do Not Track – ובעברית: "אל תעקבו אחרי". כאשר אני מסמן את התיבה הזו, אני בעצם אומר לאתרים באופן מאוד ברור: "אני לא מוכן שיעקבו אחרי". מה זה אומר מעקב? זה נתון לפרשנות אבל בגדול: מהכנסה של עוגיות, לקיחת טביעת אצבעות דיגיטלית, ניטור תנועת העכבר ואפילו רישום של ה-IP בשרת כמבקר. ברגע שאתה משדר לאתרים באופן מאוד ברור שאתה לא רוצה שיעקבו אחריך והם כן עוקבים אחריך, יהיו לכך בקרוב משמעויות משפטיות וכלכליות וייתכן שגם פליליות. זו הסיבה שמאוד כדאי להכיר את הפיצ'ר הזה לעומק.

איך אומרים לאתרים לא לעקוב אחריך? זה תלוי בדפדפן כמובן.

בכרום: לוחצים על שלושת הנקודות מצד שמאל (או מצד ימין אם הדפדפן שלכם בעברית), אפשרויות, אפשרויות מתקדמות ואז גללו לאיזור הפרטיות, שם תמצאו את do not track:

chrome do not track
chrome do not track

בפיירפוקס: לוחצים על שלוש הקווים -> אפשרויות -> פרטיות ואבטחה ואז גוללים מעט עד שמוצאים את Do not track:

Firefox Do not track
Firefox Do not track

באדג': אפשרויות -> אפשרויות מתקדמות -> פרטיות ואז גללו לאיזור הפרטיות, שם תמצאו את do not track:

edge do not track
edge do not track

זה עושה כמה דברים. אבל הדבר החשוב ביותר הוא שהוא שולח בכל בקשה סימון מפורש של DNT שהוא ראשי תבות של Do Not Track. אתה לא מעוניין שיעקבו אחריך, יאספו את פרטיך וכו'.

הכנתי סרטון קצר שמראה איך עושים את זה בכל הדפדפנים:

נשמע נהדר, נכון? מי שפחות אכפת לו מהפרטיות שלו, לא יבקש באופן מפורש לא לעקוב אחריו ומי שחרד לפרטיותו יבקש. כולם ירוויחו וכולם יהנו. הבעיה היא שבשנים שעברו מאז שהיוזמה הזו יצאה, היא לא היתה פופולרית. או יותר נכון: רוב החברות המסחריות התעלמו ממנה. טוויטר היתה החברה היחידה מבין החברות הגדולות שהודיעה שהיא תכבד את Do not track ולאחר מכן היא נסוגה מהעניין הזה. עושה רושם שהתגית הזו נידונה לתהום הנשיה. לפחות עד החודש האחרון שבו התרחשו שני דברים מעניינים: פרשת פייסבוק וקיימברידג' אנלטיקה – שהראיתה לכל פרחח זב חוטם את כמות המידע העצומה שפייסבוק אוגרת על כל משתמש (וגם לא משתמשים) בשירותים שלה, עד כמה היא רשלנית בהגנה עליו והסכנות בדליפת המידע הזו. הדבר השני הוא תקנות הפרטיות החדשות של האיחוד האירופי ה-GDPR שמטילות סנקציות ועונשים כבדים על כל מי שיפר את הפרטיות. פתאום, סימון do not track הפך למאוד מאוד רלוונטי.

עד כמה זה משנה עכשיו? שאלתי את יורם ליכטנשטיין, עו"ד מוסמך פרטיות לפי הדין האירופי שבאופן מפתיע מבין גם טכנולוגיה, הוא אמר לי ש"בכל הנוגע לאירופה, נקודת המוצא היה שברירת המחדל צריכה להיות שלא עוקבים. כלומר, פרטיות כברירת מחדל. על יצרן התכנה, הדפדפן, ליצור ממשק שמאפשר למשתמש לשנות לבחירה אחרת שלו שצריכה לעמוד בכל דרישות השקיפות וההסכמה ברגולציה.".
כלומר אם אתם מסמנים באופן אקטיבי שאתם לא רוצים שיעקבו אחריכם, כל חברה שמצייתת ל-GDPR לא תעקוב אחריכם. כרגע זה לא כולל את פייסבוק שכרגיל מנסה לתחמן, אבל מי יודע מה יוליד יום והמחוקק האירופי לא נוהג להשפיל את עצמו בפני החברה הזו.

מה קורה בנוגע לישראל? יורם אמר לי ש"בארץ אין הכרעה אם זה נתון פרטי אבל די ברור שכשיגיע לערכאות יקבעו שזה פרטי. נראה שמאזני הפרטיות משתנים, ותאגידים עסקיים שלא יכוונו יותר לפרטיות ולשקיפות כברירת מחדל יפרו את החוק." כלומר זה מאוד רלוונטי גם לישראל.

אז אם אתם חוששים לפרטיותכם ועדיין לא הפעלתם את הפיצ'ר הזה בדפדפן שלכם – לכו על זה.

למפתחים

כאשר משתמש מפעיל את האפשרות הזו, בכל header של כל בקשה תראו -DNT:

do not track header
do not track header

ניתן גם לבדוק את העניין בצד הלקוח באמצעות


navigator.doNotTrack

זה API שמוגדר על ידי התקן של ה-W3C ועובד בכל הדפדפנים. האחריות של כל מפתח היא להמנע מלעקוב אחר משתמשים שיש להם את ה-header הזה או שה-navigator.doNotTrack מחזיר 1. מה זה אומר? זה אומר למשל שאם הם לא עשו לוגאין, לא שומרים את המידע שלהם בצד לקוח או בצד שרת. וזה כולל גם IP. למשל באתר זה, קטגורית, כל ה-IP שאני משתמש בו לניתוח התנועה (אני לא משתמש בגוגל אנליטיקס) מעורבל. הכוונה היא כמובן לא ללוגים/כלי ניטור אבטחה אלא לכלים פרסומיים.

פוסטים נוספים שכדאי לקרוא

פתרונות ומאמרים על פיתוח אינטרנט

יישום של nonce על מנת להגן מפני התקפות injection

בפוסט הקודם הסברתי על hash עם CSP על משאבי inline – שזה נחמד ומעולה אבל פחות ישים בעולם האמיתי שבו בדרך כלל התוכן ה-inline (בין

פתרונות ומאמרים על פיתוח אינטרנט

המנעו מהעלאת source control לשרת פומבי

לא תאמינו כמה אתרים מעלים את ה-source control שלהם לשרת. ככה תמצאו אותם וגם הסבר למה זה רעיון רע.

בינה מלאכותית

Safeguards על מודל שפה גדול (LLM)

פוסט בשילוב עם פודקאסט וסרטון על ההגנות שאפשר להציב על LLM בסביבת פרודקשן

גלילה לראש העמוד