Er begint bij het grote publiek, langzaam maar zeker, een voorzichtig begin zichtbaar te worden van een mogelijk bewustzijn van het begrip "privacy". Dat hoop ik, althans. In ieder geval wordt er steeds meer gewaarschuwd tegen de grote boze "big tech" en het klakkeloos ophoesten van allerlei informatie. Er beginnen zelfs voorzichtige geluiden op te gaan over "regulering".
Iedereens favoriete advertentieboer ziet de bui hangen en heeft iets nieuws bedacht. Ze gaan niet langer proberen om elke website ter wereld vol te laten hangen met tracking, want ineens is dat niet meer in het belang van de gebruiker. Nee, ze gaan nu die tracking inbouwen in de browser Chrome, omdat, eh, dat goed is voor de gebruiker, of zo.
Althans, zo wordt het gebracht. De nieuwe technologie, Federated Learning of Cohorts, is een vervanging voor tracking cookies, en wordt gebracht als een privacy-vriendelijk alternatief. Ddat is het natuurlijk niet; de browser zelf gaat nu surfgedrag categoriseren en opdelen in cohorten, om op die manier toch nog doelgerichte advertenties te kunnen verkopen. Gebruikers kunnen het alleen uitzetten als ze alle third-party cookies uitzetten (wat niet altijd wenselijk is), site-beheerders moeten expliciet aangeven dat ze niet met de FLoC-nonsens willen meedoen; het is voor iedereen opt-out in plaats van opt-in.
EFF schrijft erover - en ik raad sowieso aan het artikel te lezen:
Google is leading the charge to replace third-party cookies with a new suite of technologies to target ads on the Web. And some of its proposals show that it hasn’t learned the right lessons from the ongoing backlash to the surveillance business model.
Ik sta daar iets cynischer in, en ik weet zeker dat Google precies de goede lessen heeft geleerd, zolang je in je achterhoofd houdt dat het doel is om zoveel mogelijk advertentie-inkomsten te genereren, en dat surveillance capitalism hun manier van werken is.
Een third-party cookie of advertentie-server is relatief makkelijk te blokkeren, een browser die je bespioneert wordt wat lastiger.
FLoC-block
De oplossing voor deze nieuwe aanval op privacy bestaat uit twee delen:
- Gebruikers zouden moeten stoppen met het gebruik van Chrome en over moeten stappen naar een browser met iets meer oog voor privacy, zoals Firefox of Safari
- Site-beheerders zouden headers moeten meesturen om hun sites uit te sluiten van de hele cohorten-onzin
Dat eerste is simpel genoeg, dat tweede kost niet al te veel werk. De webserver moet worden ingesteld om met elke respons de volgende header mee te sturen:
Permissions-Policy: interest-cohort=()
In Nginx doe je dat door in een http, server of location-blok de volgende regel toe te voegen:
add_header Permissions-Policy "interest-cohort=()" always;
In Apache kun je dit in een .htaccess-bestand schuiven:
<IfModule mod_headers.c> Header always set Permissions-Policy: interest-cohort=() </IfModule>
Na een herstart van de serversoftware zou dat genoeg moeten zijn. Je kunt het (als je Linux of MacOS gebruikt) controleren met curl:
curl -I <URL>
Dat is dus streepje-hoofdletter-i; daarmee krijg je de response-headers terug, en daar moet je die permissions-policy tussen zien staan. Voor mijn site is dat dus:
% curl -I / !1591 HTTP/2 200 server: nginx/1.16.1 content-type: text/html; charset=UTF-8 x-powered-by: PHP/7.4.6 cache-control: public, s-maxage=600 date: Wed, 21 Apr 2021 07:38:46 GMT x-clacks-overhead: GNU Terry Pratchett permissions-policy: interest-cohort=()
Of Google het hierbij laat, of dat ze later gaan besluiten om die header, "in het belang van de gebruiker" toch maar te negeren, is natuurlijk de vraag. Stoppen met Chrome is dus nog steeds een prima zet, en bovendien gezond voor het internet. De huidige bijna-monocultuur doet me denken aan de tijd waarin Internet Explorer de standaard was, met alle ellende voor ontwikkelaars en gebruikers die daarbij kwam kijken.
Dat moeten we niet willen herhalen, lijkt me zo.
Edit: in navolging van Sheogorath heb ik een waarschuwing in de pagina geknutseld. Een duidelijk balkje onderin de pagina voor de slachtoffers gebruikers van een aangetaste browser.
Foto: NeONBRAND / Unsplash.