Bron: Electronic Frontier Foundation
Foto door 360b/Shutterstock
Vandaag, Google gelanceerd een ‘oorsprongproef’ van Federated Learning of Cohorts (ook bekend als kudde), de experimentele nieuwe technologie voor het targeten van advertenties. In miljoenen exemplaren van Google Chrome is stilletjes een schakelaar omgedraaid: die browsers beginnen hun gebruikers in groepen te sorteren op basis van gedrag, en delen vervolgens groepslabels met externe trackers en adverteerders op internet. Voor de proefperiode is een willekeurige groep gebruikers geselecteerd, die zich momenteel alleen kunnen afmelden via het uitschakelen van cookies van derden.
Hoewel Google aangekondigd dit zat eraan te komen, het bedrijf was tot nu toe schaars met details over de proef. We hebben ons verdiept blogberichten, mail lijst, webstandaarden opstellen en De broncode van Chromium om erachter te komen wat er precies aan de hand is.
EFF heeft dat al geschreven FLoC is een vreselijk idee. De lancering door Google van deze proef – zonder voorafgaande kennisgeving aan de personen die aan de test zullen deelnemen, laat staan hun toestemming – is een concrete schending van het vertrouwen van de gebruiker in dienst van een technologie die niet zou mogen bestaan.
Hieronder beschrijven we hoe deze proef zal werken, en enkele van de belangrijkste technische details die we tot nu toe hebben geleerd.
FLoC zou cookies moeten vervangen. In de proef zal het deze aanvullen.
Google heeft FLoC ontworpen om adverteerders te helpen advertenties van derden te targeten cookies ga weg. Tijdens de proef kunnen trackers FLoC-ID’s verzamelen Daarnaast voor cookies van derden.
Dat betekent dat alle trackers die momenteel uw gedrag op een fractie van het internet monitoren met behulp van cookies, nu ook uw FLoC-cohort-ID zullen ontvangen. De cohort-ID is een directe weerspiegeling van uw gedrag op internet. Dit zou een aanvulling kunnen zijn op de gedragsprofielen die veel trackers al bijhouden.
De proefperiode zal gevolgen hebben voor maximaal 5% van de Chrome-gebruikers wereldwijd.
Er is ons verteld dat de proefversie momenteel wordt geïmplementeerd bij 0.5% van de Chrome-gebruikers in sommige regio's. Voorlopig betekent dat Australië, Brazilië, Canada, India, Indonesië, Japan, Mexico, Nieuw-Zeeland, de Filipijnen en de VS. in in aanmerking komende regio's worden volledig willekeurig gekozen, ongeacht de meeste advertentie- en privacy-instellingen. Alleen gebruikers die cookies van derden in Chrome hebben uitgeschakeld, worden standaard afgemeld.
Bovendien heeft het team achter FLoC dat ook gedaan aangevraagd dat Google de steekproef vergroot naar 5% van de gebruikers, zodat advertentietechnologiebedrijven modellen beter kunnen trainen met behulp van de nieuwe gegevens. Als dat verzoek wordt ingewilligd, zullen nog tientallen of honderden miljoenen gebruikers deelnemen aan de proefperiode.
Gebruikers zijn automatisch ingeschreven voor de proefperiode. Er bestaat (nog) geen specifieke opt-out.
Zoals hierboven beschreven, wordt een willekeurig deel van de Chrome-gebruikers zonder voorafgaande kennisgeving ingeschreven voor de proefperiode, laat staan toestemming. Deze gebruikers wordt niet gevraagd zich aan te melden. In de huidige versie van Chrome kunnen gebruikers zich alleen afmelden voor de proefperiode door alle cookies van derden uitschakelen.
Toekomstige versies van Chrome zullen toevoegen speciale bedieningselementen voor de 'privacy-sandbox' van Google”, inclusief FLoC. Maar het is niet duidelijk wanneer deze instellingen live gaan, en in de tussentijd moeten gebruikers die FLoC willen uitschakelen ook cookies van derden uitschakelen.
Het uitschakelen van cookies van derden is over het algemeen geen slecht idee. Cookies vormen immers de kern van de privacyproblemen die Google zegt te willen aanpakken. Maar het helemaal uitschakelen ervan is een grove tegenmaatregel en het schaadt veel gemakken (zoals eenmalige aanmelding) waar webgebruikers op vertrouwen. Veel privacybewuste gebruikers van Chrome gebruiken meer gerichte tools, waaronder extensies zoals Privacy Badger, om tracking op basis van cookies te voorkomen. Helaas kunnen Chrome-extensies nog niet bepalen of een gebruiker een FLoC-ID vrijgeeft.
Websites worden ook niet gevraagd zich aan te melden.
FLoC berekent een label op basis van uw browsegeschiedenis. Voor de proefperiode gebruikt Google standaard elke website die advertenties weergeeft– dit is het merendeel van de sites op internet. Sites kunnen zich afmelden voor opname in FLoC-berekeningen door een HTTP-header te verzenden, maar sommige hostingproviders geven hun klanten geen directe controle over headers. Veel site-eigenaren zijn misschien helemaal niet op de hoogte van de proef.
Dit is een probleem omdat het betekent dat sites enige controle verliezen over de manier waarop de gegevens van hun bezoekers worden verwerkt. Op dit moment moet een sitebeheerder een bewuste beslissing nemen om code van een adverteerder op zijn pagina op te nemen. Sites kunnen er, althans in theorie, voor kiezen om samen te werken met adverteerders op basis van hun privacybeleid. Maar nu zal informatie over het bezoek van een gebruiker aan die site worden verpakt in zijn FLoC-ID, die algemeen beschikbaar zal worden gemaakt (meer daarover in de volgende sectie). Zelfs als een website een sterk privacybeleid heeft en relaties heeft met verantwoordelijke adverteerders, kan een bezoek daar van invloed zijn op hoe trackers u in andere contexten zien.
De FLoC-ID van elke gebruiker (het label dat de browsegeschiedenis van de afgelopen week weergeeft) is beschikbaar voor elke website of tracker die dat wil.
Iedereen kan aanmelden voor de origin-proefversie van Chrome. Daarna heeft het toegang tot FLoC-ID's voor gebruikers die zijn gekozen voor de proefperiode wanneer het JavaScript kan uitvoeren. Dit omvat het enorme ecosysteem van naamloze adverteerders waarmee uw browser verbinding maakt wanneer u de meeste sites met advertenties bezoekt. Als u deelneemt aan de proef, kunnen tientallen bedrijven mogelijk uw FLoC-ID verzamelen van elke site die u bezoekt.
Er zullen ruim 33,000 mogelijke cohorten zijn.
Een van de belangrijkste delen van de FLoC-specificatie die ongedefinieerd blijft, is hoeveel cohorten er precies zijn. Google voerde een voorlopig experiment met 8-bit cohort-ID's, wat betekende dat er slechts 256 mogelijke groepen waren. Dit beperkte de hoeveelheid informatie die trackers konden leren van de cohort-ID van een gebruiker.
Uit onderzoek van de nieuwste versie van Chrome blijkt echter dat de liveversie van FLoC 50-bits cohort-ID's gebruikt. De cohorten worden vervolgens samengevoegd tot in totaal 33,872 cohorten, ruim 100 keer meer dan in het eerste experiment van Google. Google heeft gezegd dat het ervoor zal zorgen “duizenden kosten” van mensen zijn gegroepeerd in elk cohort, zodat niemand kan worden geïdentificeerd aan de hand van alleen hun cohort. Maar cohort-ID’s zullen nog steeds veel nieuwe informatie onthullen – ongeveer 15 stukjes– en zal geven vingerafdrukken een enorme voorsprong.
Het proces zal waarschijnlijk tot juli duren.
Elke tracker, adverteerder of andere derde partij kan zich aanmelden Google's Origin Trial-portaal om te beginnen met het verzamelen van FLoC's van gebruikers. De pagina geeft momenteel aan dat de proef tot 13 juli kan duren. Google heeft ook duidelijk gemaakt dat de exacte details van de technologie (inclusief de manier waarop cohorten worden berekend) aan verandering onderhevig zullen zijn, en dat we verschillende iteraties van het FLoC-groeperingsalgoritme kunnen zien. tussen nu en toen.
Google is van plan FLoC te controleren op correlaties met ‘gevoelige categorieën’. Het grotere geheel ontbreekt nog steeds.
Google heeft beloofd ervoor te zorgen dat cohorten niet te nauw gecorreleerd zijn met 'gevoelige categorieën'zoals ras, seksualiteit of medische aandoeningen. Om dit te monitoren, is Google van plan gegevens te verzamelen over welke sites door gebruikers in elk cohort worden bezocht. Het heeft een vrijgegeven whitepaper beschrijft zijn aanpak.
We zijn blij met een specifiek voorstel, maar de whitepaper omzeilt de meest urgente kwesties. De vraag die Google zou moeten beantwoorden is: “kun je mensen in kwetsbare groepen targeten”; de whitepaper reduceert dit tot “kun je mensen targeten die een specifieke site hebben bezocht.” Dit is een gevaarlijke oversimplificatie. In plaats van aan het harde probleem te werken, heeft Google ervoor gekozen zich te concentreren op een eenvoudiger versie dan zij denkt wel oplossen. Ondertussen is het er niet in geslaagd de ergste potentiële schade van FLoC aan te pakken.
Tijdens de proefperiode deelt elke gebruiker die 'Chrome Sync' heeft ingeschakeld (waardoor Google zijn browsegeschiedenis kan verzamelen) en die geen van de standaardinstellingen voor delen heeft uitgeschakeld, nu zijn cohort-ID die aan zijn browsegeschiedenis is gekoppeld, met Google.
Google controleert vervolgens of elke gebruiker sites heeft bezocht die volgens hem tot een ‘gevoelige categorie’ behoren. WebMD kan bijvoorbeeld worden gelabeld in de categorie 'medisch', of PornHub in de categorie 'volwassenen'. Als te veel gebruikers in één cohort een bepaald soort ‘gevoelige’ site hebben bezocht, zal Google dat cohort blokkeren. Alle gebruikers die deel uitmaken van ‘gevoelige’ cohorten worden in plaats daarvan in een ‘leeg’ cohort geplaatst. Natuurlijk zullen trackers nog steeds kunnen zien dat genoemde gebruikers deel uitmaken van het ‘lege’ cohort, waaruit blijkt dat ze oorspronkelijk als een soort ‘gevoelig’ werden geclassificeerd.
Voor de origin-proef vertrouwt Google op zijn enorme cache met gepersonaliseerde browsegegevens om de audit uit te voeren. In de toekomst is Google van plan andere te gebruiken privacybeschermende technologie om hetzelfde te doen zonder de browsegeschiedenis van individuen te kennen.
Hoe Google het ook doet, dit plan zal de grotere problemen met FLoC, discriminatie en roofzuchtige targeting niet oplossen. Het voorstel berust op de veronderstelling dat mensen in “gevoelige categorieën” specifieke “gevoelige” websites zullen bezoeken, en dat mensen die niet in die groepen vallen, deze sites niet zullen bezoeken. Maar gedrag correleert op een niet-intuïtieve manier met demografische gegevens. Het is zeer waarschijnlijk dat bepaalde demografische groepen een andere subset van internet zullen bezoeken dan andere demografische groepen, en dat dergelijk gedrag niet zal worden opgemerkt door de 'gevoelige sites'-framing van Google. Mensen met een depressie kunnen bijvoorbeeld vergelijkbaar surfgedrag vertonen, maar niet noodzakelijkerwijs via iets dat zo expliciet en direct is als bijvoorbeeld het bezoeken van ‘depression.org’. Ondertussen zijn trackingbedrijven goed uitgerust om verkeer van miljoenen gebruikers te verzamelen, dit te koppelen aan gegevens over demografische gegevens of gedrag, en te decoderen welke cohorten aan welke gevoelige eigenschappen zijn gekoppeld. Het websitegebaseerde systeem van Google, zoals voorgesteld, kan dit op geen enkele manier tegenhouden.
Zoals we zeiden voor, “Google kan ervoor kiezen om de oude steigers voor surveillance te ontmantelen zonder deze te vervangen door iets nieuws en uniek schadelijks.” Google is er niet in geslaagd de schade van FLoC aan te pakken, of ons er zelfs van te overtuigen wel worden aangepakt. In plaats daarvan voert het een test uit die nieuwe gegevens over miljoenen nietsvermoedende gebruikers zal delen. Dit is weer een stap in de verkeerde richting.
ZNetwork wordt uitsluitend gefinancierd door de vrijgevigheid van zijn lezers.
Doneren