FLoC’nin gizlilik analizi

0
17

Önceki bir gönderide, gizlilikten ödün vermeden reklam yapılmasına izin vermeyi amaçlayan yeni bir dizi “Gizliliği Koruyan Reklamcılık” hakkında yazmıştım. Bu gönderi, Chrome’un şu anda test etmekte olduğu tekliflerden biri olan Federated Learning of Cohorts’ı (FLoC) tartışıyor. FLoC’nin arkasındaki fikir, kullanıcıların ilgi alanlarına göre reklamları, tarama geçmişlerini reklamcılara ifşa etmeden hedeflemeyi mümkün kılmaktır. FLoC gizliliğinin ayrıntılı bir analizini gerçekleştirdik. Bu gönderi, bulgularımızın bir özetini sunar.

Mevcut web’de izleyiciler (ve dolayısıyla reklamcılar) her kullanıcıyla bir çerez ilişkilendirir. Bir kullanıcı gömülü izleyiciye sahip bir web sitesini her ziyaret ettiğinde, izleyici çerezi alır ve böylece kullanıcının ziyaret ettiği sitelerin bir listesini oluşturabilir. Reklamcılar, belirli bir kullanıcının ilgi alanlarıyla potansiyel olarak alakalı reklamları hedeflemek için izleme geçmişinden elde edilen bilgileri kullanabilir. Buradaki bariz sorun, reklamcıların gittiğiniz her yerde öğrenmesini içermesidir.

FLoC, bu çerezi tek bir kullanıcıyı değil, benzer ilgi alanlarına sahip bir kullanıcı grubunu temsil eden yeni bir “kohort” tanımlayıcı ile değiştirir. Reklamverenler daha sonra bir gruptaki tüm kullanıcıların ziyaret ettiği sitelerin bir listesini oluşturabilir, ancak herhangi bir kullanıcının geçmişini oluşturamaz. Bir gruptaki kullanıcıların ilgi alanları gerçekten benzerse, bu grup tanımlayıcısı reklam hedefleme için kullanılabilir. Google, FLoC ile bir deneme yaptı; bundan sonra, izleme çerezlerini kullanan ilgi alanına dayalı reklam hedeflemeye kıyasla, FLoC’nin dolar başına dönüşüm oranının %95’ini sağladığını belirttiler.

Analizimiz, ele alınması gerektiğine inandığımız birkaç gizlilik sorununu gösteriyor:

Kohort kimlikleri izleme için kullanılabilir

Herhangi bir grup nispeten büyük olacak olsa da (tam boyut hala tartışılmaktadır, ancak bu gruplar muhtemelen binlerce kullanıcıdan oluşacaktır), bu, izleme için kullanılamayacakları anlamına gelmez. Yalnızca birkaç bin kişi belirli bir grup kimliğini paylaşacağından, izleyicilerin önemli miktarda ek bilgisi varsa, kullanıcı grubunu çok hızlı bir şekilde daraltabilirler. Bunun birkaç olası yolu vardır:

Tarayıcı Parmak İzi

Tüm tarayıcılar aynı değildir. Örneğin, bazı kişiler Chrome, bazıları ise Firefox kullanır; bazı insanlar Windows’ta ve diğerleri Mac’te; bazı insanlar İngilizce konuşur ve diğerleri Fransızca konuşur. Kullanıcıya özel varyasyonun her bir parçası, kullanıcıları ayırt etmek için kullanılabilir. Yalnızca birkaç bin kullanıcısı olan bir FLoC grubuyla birleştirildiğinde, tek bir kişiyi tanımlamak veya en azından FLoC grubunu birkaç kişiye kadar daraltmak için nispeten az miktarda bilgi gerekir. Makul olan bazı sayıları kullanarak bir örnek verelim. İnsanları yaklaşık 8000 gruba ayıran bir parmak izi tekniğiniz olduğunu hayal edin (buradaki her grup bir posta kodundan biraz daha büyüktür). Bu, insanları tek tek tanımlamak için yeterli değildir, ancak yaklaşık 10000 kohort boyutları kullanılarak FLoC ile birleştirilirse, her parmak izi grubundaki/FLoC kohort çiftindeki insan sayısı çok küçük, potansiyel olarak bir kadar küçük olacaktır. Bu şekilde tanımlanamayan daha büyük gruplar olsa da, bu, bireysel hedeflemeden bağımsız bir sisteme sahip olmakla aynı şey değildir.

Birden Fazla Ziyaret

İnsanların çıkarları sabit değildir ve FLoC kimlikleri de değildir. Şu anda, FLoC Kimlikleri her hafta yeniden hesaplanıyor gibi görünüyor. Bu, bir izleyicinin zaman içinde kullanıcı ziyaretlerini birbirine bağlamak için başka bilgileri kullanabiliyorsa, bireysel kullanıcıları ayırt etmek için 1. hafta, 2. hafta vb. FLoC Kimliklerinin kombinasyonunu kullanabileceği anlamına gelir. Bu, Firefox’un Toplam Çerez Koruması (TCP) gibi modern izleme önleme mekanizmalarıyla bile çalıştığı için özel bir endişe kaynağıdır. TCP, izleyicilerin siteler arasındaki ziyaretleri ilişkilendirmesini engellemeyi amaçlar, ancak bir siteye yapılan çoklu ziyaretleri değil. FLoC, kullanıcılar TCP’yi etkinleştirmiş olsa bile siteler arası izlemeyi geri yükler.

FLoC, istediğinizden daha fazla bilgi sızdırıyor

Çerez tabanlı izleme ile, bir izleyicinin aldığı bilgi miktarı, gömülü olduğu sitelerin sayısına göre belirlenir. Ayrıca, kullanıcı ilgi alanları hakkında bilgi edinmek isteyen bir site, kullanıcının çok sayıda sitede izlenmesine katılmalı, oldukça büyük bir izleyici ile çalışmalı veya diğer izleyicilerle çalışmalıdır. İzin verilen bir çerez politikası kapsamında, bu tür bir izleme, üçüncü taraf çerezleri ve çerez senkronizasyonu kullanılarak basittir. Ancak, üçüncü taraf tanımlama bilgileri engellendiğinde (veya TCP’de site tarafından izole edildiğinde), izleyicilerin bir kullanıcının ilgi alanları hakkında siteler arasında bilgi toplaması ve paylaşması çok daha zordur.

FLoC, bu daha kısıtlayıcı tanımlama bilgisi politikalarını baltalar: FLoC kimlikleri tüm sitelerde aynı olduğundan, izleyicilerin harici kaynaklardan gelen verileri ilişkilendirebileceği paylaşılan bir anahtar haline gelirler. Örneğin, önemli miktarda birinci taraf çıkar verisine sahip bir izleyicinin, yalnızca belirli bir FLoC kimliğinin çıkarlarıyla ilgili soruları yanıtlayan bir hizmeti çalıştırması mümkündür. Örneğin, “Bu kohort kimliğine sahip insanlar arabaları sever mi?”. Bir sitenin tek yapması gereken, grup kimliğini almak için FLoC API’lerini aramak ve ardından bunu hizmette bilgi aramak için kullanmaktır. Ayrıca kimlik, parmak izi verileriyle birleştirilerek “Fransa’da yaşayan, Mac’leri olan, Firefox kullanan ve bu kimliğe sahip olan kişiler arabaları sever mi?” diye sorulabilir. Buradaki sonuç, herhangi bir sitenin, bugün harcamaları gerekenden çok daha az çabayla hakkınızda çok şey öğrenebileceğidir.

FLoC’nin karşı önlemleri yetersiz

Google, bu sorunları çözmek için çeşitli mekanizmalar önermiştir.

İlk olarak, siteler FLoC’a katılıp katılmama seçeneğine sahiptir. Chrome’un yürütmekte olduğu mevcut denemede, siteler reklam türü şeyler yaparlarsa, “reklamlarla ilgili kaynakları yüklerlerse” veya FLoC API’lerini çağırırlarsa FLoC hesaplamasına dahil edilir. Nihai dahil edilme kriterlerinin ne olduğu net değil, ancak reklam içeren herhangi bir sitenin varsayılan olarak hesaplamaya dahil edilmesi muhtemel görünüyor. Siteler ayrıca tamamen Permissions-Policy HTTP başlığını kullanarak FLoC’dan vazgeçebilir, ancak birçok sitenin bunu yapmaması muhtemel görünüyor.

İkincisi, Google’ın kendisi, “hassas” konularla çok yakından ilişkili olduğunu düşündüğü FLoC gruplarını bastıracaktır. Google bu teknik incelemede ayrıntıları sağlar, ancak temel fikir, belirli bir gruptaki kullanıcıların hassas kategorilerle ilişkili bir dizi siteyi ziyaret etme olasılığının önemli ölçüde daha yüksek olup olmadığını görmeye çalışacakları ve eğer öyleyse, yalnızca boş bir sonuç döndürecekleridir. bu kohort için kohort kimliği. Benzer şekilde, hassas olduğunu düşündükleri siteleri FLoC hesaplamasından çıkaracaklarını söylüyorlar. Bu savunmaların birkaç nedenden dolayı uygulamada yürütülmesi çok zor olacak gibi görünüyor: (1) hassas kategoriler listesi eksik olabilir veya insanlar hangi kategorilerin hassas olduğu konusunda hemfikir olmayabilir, (2) başka siteler olabilir. hassas sitelerle ilişkilidir ancak kendileri hassas değildir ve (3) akıllı izleyiciler bu kontrollere rağmen hassas bilgileri öğrenebilirler. Örneğin: FLoC ID X’e sahip İngilizce konuşan kullanıcıların A tipi hassas siteyi ziyaret etme olasılıklarının artık olmadığı, ancak Fransızca konuşan kullanıcıların olduğu durum olabilir.

Bu hafifletmeler yararlı görünse de, çoğunlukla marjlarda iyileştirmeler gibi görünüyorlar ve topluluk tarafından daha fazla çalışma gerektirdiğine inandığımız yukarıda açıklanan temel sorunları ele almıyorlar.

Özet

FLoC, ikna edici bir fikir üzerine kuruludur: kullanıcıları riske atmadan reklam hedeflemeyi etkinleştirin. Ancak mevcut tasarım, mevcut haliyle geniş çapta dağıtılırsa önemli riskler yaratabilecek bir dizi gizlilik özelliğine sahiptir. Bu özelliklerin düzeltilmesi veya hafifletilmesi mümkündür – analizimizde bir dizi potansiyel yol öneriyoruz – FLoC üzerinde daha fazla çalışma bu sorunları ele almaya odaklanmalıdır.

Bu konuda daha fazlası için:

Daha fazla gizliliği koruyan reklam tabanlı bir ekosistem oluşturma

Reklamların ve gizliliğin geleceği

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz