تجزیه و تحلیل حریم خصوصی FLoC

در پست قبلی ، من در مورد مجموعه جدیدی از فن آوری "حفظ حریم خصوصی تبلیغات" نوشتم که هدف آنها اجازه تبلیغ بدون آسیب رساندن به حریم خصوصی است. در این پست یکی از این پیشنهادها –آموزش فدراسیون همگروهی (FLoC) – که Chrome در حال آزمایش است بحث می شود. ایده ای که در پشت FLoC وجود دارد این است که امکان هدف گذاری تبلیغات بر اساس علاقه کاربران بدون آشکار کردن سابقه مرور آنها برای تبلیغ کنندگان فراهم شود. ما تجزیه و تحلیل دقیق حریم خصوصی FLoC را انجام داده ایم. این پست خلاصه ای از یافته های ما را ارائه می دهد.

در وب فعلی ، ردیاب ها (و از این رو تبلیغ کنندگان) یک کوکی را با هر کاربر مرتبط می کنند. هر زمان که کاربر از وب سایتی بازدید می کند که دارای ردیاب تعبیه شده است ، ردیاب کوکی را دریافت می کند و بنابراین می تواند لیستی از سایتهایی را که کاربر بازدید می کند ایجاد کند. تبلیغ کنندگان می توانند از اطلاعات بدست آمده از ردیابی تاریخچه مرور برای هدف قرار دادن تبلیغاتی که به طور بالقوه با علایق کاربر مشخص مرتبط هستند ، استفاده کنند. مشکل بارز در اینجا این است که این شامل تبلیغات تبلیغات در هر کجا که می شوید هستید.

FLoC این کوکی را با یک شناسه "گروه" جدید جایگزین می کند که نمایانگر یک کاربر نیست بلکه گروهی از کاربران را با علایق مشابه نشان می دهد. سپس آگهی دهندگان می توانند لیستی از سایتهایی را که همه کاربران در یک گروه به طور هم زمان مراجعه می کنند ، بسازند ، اما نه تاریخچه هر کاربر. اگر علایق کاربران در یک گروه کاملاً مشابه باشد ، می توان از این شناسه گروه برای هدف گذاری تبلیغات استفاده کرد. Google آزمایشی را با FLoC اجرا کرده است. از این رو آنها اظهار داشتند که FLoC 95٪ از نرخ تبدیل هر دلار را در مقایسه با هدف گذاری تبلیغات مبتنی بر بهره با استفاده از کوکی های ردیابی تأمین می کند. برای ردیابی می توان از شناسه های گروه استفاده کرد

اگرچه هر گروه داده شده نسبتاً بزرگ خواهد بود (اندازه دقیق هنوز در دست بحث است ، اما این گروه ها احتمالاً از هزاران کاربر تشکیل می شوند) ، این بدان معنا نیست که نمی توان آنها را برای ردیابی استفاده می شود. از آنجا که فقط چند هزار نفر دارای یک شناسه گروهی مشخص هستند ، اگر ردیاب ها دارای مقدار قابل توجهی اطلاعات اضافی باشند ، می توانند خیلی سریع مجموعه کاربران را محدود کنند. تعدادی از راه های ممکن برای این اتفاق وجود دارد:

اثر انگشت مرورگر

همه مرورگرها یکسان نیستند. به عنوان مثال ، برخی از مردم از Chrome و برخی دیگر از Firefox استفاده می کنند. برخی از افراد در ویندوز و دیگران در مک هستند. برخی از مردم انگلیسی صحبت می کنند و برخی دیگر فرانسوی صحبت می کنند. از هر نوع تنوع خاص کاربر می توان برای تمایز بین کاربران استفاده کرد. وقتی با یک گروه FLoC که فقط چند هزار کاربر دارد ترکیب شود ، برای شناسایی یک فرد یا حداقل محدود کردن گروه FLoC به چند نفر ، به اطلاعات نسبتاً کمی نیاز است. بیایید با استفاده از برخی اعداد قابل قبول مثالی بزنیم. تصور کنید که شما یک تکنیک اثر انگشت دارید که افراد را به حدود 8000 گروه تقسیم می کند (هر گروه در اینجا نسبت به کد پستی بزرگتر است). این برای شناسایی افراد به تنهایی کافی نیست ، اما اگر با استفاده از اندازه های گروهی حدود 10000 با FLoC ترکیب شود ، تعداد افراد در هر گروه زحمت اثر انگشت / FLoC بسیار کوچک خواهد بود ، به طور بالقوه به اندازه یک نفر. اگرچه ممکن است گروههای بزرگتری وجود داشته باشد که از این طریق قابل شناسایی نباشد ، این همان داشتن سیستمی عاری از هدف گیری فردی نیست.

بازدیدهای متعدد

منافع مردم ثابت نیست و FLoC آنها نیز ثابت نیست. شناسه ها در حال حاضر ، به نظر می رسد شناسه های FLoC هر هفته یا همین حدود دوباره محاسبه می شوند. این به این معنی است که اگر یک ردیاب بتواند از اطلاعات دیگری برای پیوند دادن بازدیدهای کاربر به مرور زمان استفاده کند ، می تواند از ترکیبی از شناسه های FLoC در هفته 1 ، هفته 2 و غیره استفاده کند تا کاربران متمایز را تشخیص دهد. این یک نگرانی خاص است زیرا حتی با مکانیسم های جدید ضد ردیابی مانند Firefox’s Total Cookie Protection (TCP) نیز کار می کند. TCP در نظر گرفته شده است تا مانع از ارتباط ردیاب ها از بازدید در سایت ها شود اما بازدیدهای متعدد از یک سایت. FLoC ردیابی بین سایت را بازیابی می کند حتی اگر کاربران TCP را فعال کرده باشند.

FLoC اطلاعات بیشتری از آنچه شما می خواهید به بیرون درز می کند

با ردیابی مبتنی بر کوکی ، میزان اطلاعاتی که یک ردیاب می گیرد با توجه به تعداد سایت های تعبیه شده در آن تعیین می شود. علاوه بر این ، سایتی که می خواهد از علایق کاربر بیاموزد باید خودش در ردیابی کاربر در تعداد زیادی سایت شرکت کند ، با برخی از ردیاب های منطقی بزرگ کار کند یا با ردیاب های دیگر کار کند. طبق یک سیاست مجاز کوکی ، این نوع ردیابی با استفاده از کوکی های شخص ثالث و همگام سازی کوکی ساده است. با این حال ، هنگامی که کوکی های شخص ثالث مسدود می شوند (یا توسط سایت در TCP جدا شده اند) برای ردیاب ها بسیار دشوارتر است که اطلاعات مربوط به علایق کاربر را در سراسر سایت ها جمع کنند و به اشتراک بگذارند.

FLoC این سیاست های محدود کننده کوکی را تضعیف می کند: زیرا شناسه های FLoC در تمام سایت ها به یک صورت ، آنها به یک کلید مشترک تبدیل می شوند که ردیاب ها می توانند داده های آنها را از منابع خارجی مرتبط کنند. به عنوان مثال ، ممکن است یک ردیاب با مقدار قابل توجهی از داده های مربوط به شخص اول شخص ، سرویسی را اجرا کند که فقط به س questionsالات مربوط به علایق یک شناسه FLoC داده شده پاسخ دهد. به عنوان مثال ، "آیا افرادی که این شناسنامه کوهورت را دارند ، ماشین دوست دارند؟" تنها کاری که یک سایت باید انجام دهد این است که با FLoC API تماس بگیرید تا شناسه کوهورت را دریافت کرده و سپس از آن برای جستجوی اطلاعات در سرویس استفاده کنید. علاوه بر این ، می توان شناسه را با داده های اثر انگشت ترکیب کرد و پرسید "آیا افرادی که در فرانسه زندگی می کنند ، دارای Mac هستند ، Firefox را اجرا می کنند و این شناسه را مانند ماشین دارند؟" نتیجه نهایی در اینجا این است که هر سایتی قادر خواهد بود با تلاش بسیار کمتری نسبت به آنچه امروز نیاز دارند در مورد شما چیزهای زیادی بیاموزد.

اقدامات متقابل FLoC ناکافی است

Google چندین مکانیزم را برای حل این مسائل پیشنهاد کرده است. [19659002] اول ، سایت ها این امکان را دارند که در FLoC شرکت کنند یا نکنند. در آزمایش فعلی که Chrome در حال انجام است ، سایتها در صورت محاسبه FLoC شامل مواردی از نوع تبلیغات می شوند ، یا "منابع مرتبط با تبلیغات را بارگیری می کنند" یا با API های FLoC تماس می گیرند. معیارهای احتمالی درج مشخص نیست ، اما به نظر می رسد هر سایتی که شامل تبلیغات باشد به طور پیش فرض در محاسبه قرار می گیرد. سایتها همچنین می توانند با استفاده از سرصفحه Permissions-Policy HTTP به طور کامل از FLoC چشم پوشی کنند اما به نظر می رسد که بسیاری از سایتها چنین کاری نکنند.

دوم ، گوگل خود گروه های FLoC را که فکر می کند با "حساس" ارتباط زیادی دارند سرکوب خواهد کرد. موضوعات Google جزئیات را در این مقاله سفید ارائه می دهد ، اما ایده اصلی این است که آنها بررسی خواهند کرد که آیا کاربران در یک گروه خاص به طور قابل توجهی بیشتر از مجموعه ای از سایت های مرتبط با دسته های حساس بازدید می کنند یا خیر ، اگر چنین باشد ، آنها فقط یک جای خالی را برمی گردانند. شناسه کوهورت برای آن گروه. به همین ترتیب ، آنها می گویند سایتهایی را که فکر می کنند حساس هستند از محاسبه FLoC حذف خواهند کرد. به نظر می رسد اجرای این دفاع ها به دلایل مختلف بسیار دشوار باشد: (1) لیست دسته های حساس ممکن است ناقص باشد یا افراد در مورد حساس بودن دسته ها توافق نکنند ، (2) سایت های دیگری وجود دارد که با سایت های حساس ارتباط برقرار می کند اما خود حساس نیستند و (3) ردیاب های باهوش ممکن است با وجود این کنترل ها بتوانند اطلاعات حساس را یاد بگیرند. به عنوان مثال: ممکن است اینگونه باشد که کاربران انگلیسی زبان با FLoC ID X به احتمال زیاد از سایت حساس نوع A بازدید نکنند ، اما کاربران فرانسوی زبان این بازدید را دارند.

اگرچه این تخفیف ها مفید به نظر می رسند ، اما به نظر می رسد كه بیشتر بهبودهایی در حاشیه هستند و به موارد اساسی كه در بالا توضیح داده شد ، نمی پردازند ، كه به اعتقاد ما نیاز به مطالعه بیشتر جامعه است.

خلاصه

FLoC پیش فرض در مورد یک ایده جذاب: هدف گذاری تبلیغات را بدون قرار دادن کاربران در معرض خطر فعال کنید. اما طرح فعلی دارای تعدادی خصوصیات حریم خصوصی است که اگر به طور گسترده در شکل فعلی خود به کار گرفته شود ، می تواند خطرات قابل توجهی ایجاد کند. این امکان وجود دارد که این خصوصیات قابل رفع یا تخفیف باشند – ما در تجزیه و تحلیل خود تعدادی از راه های بالقوه را پیشنهاد می کنیم – کار بیشتر در مورد FLoC باید در پرداختن به این مسائل باشد.

برای اطلاعات بیشتر در این باره: [19659002] ساخت اکوسیستم مبتنی بر تبلیغات با حفظ حریم خصوصی بیشتر

آینده تبلیغات و حریم خصوصی