Microsoft har bestemt at Do Not Track (DNT) skal være aktivert som standard i IE10, i stedet for at brukerne selv velger å skru det på. DNT-forfatteren Roy Fielding mener at det ikke er personvernhensyn som er årsaken til at Microsoft har gjort dette valget på vegne av IE10-brukerne. (Bilde: PantherMedia og digi.no.)

Apache-kode overstyrer IE10-personvern

Mener at Microsoft fjerner hele grunnlaget for «Do Not Track».

De fleste nettlesere har støtte for anti-sporingsfunksjonaliteten «Do Not Track», som gjør det enkelt for nettleserbrukere å fortelle nettsteder og andre innholdsleverandører på weben at de ikke vil bli sporet på tvers av ulike nettsteder. Det er likevel ingenting som tvinger leverandørene til å overholde dette signalet, bortsett fra deres omdømme.

«Do Not Track»-spesifikasjonen (DNT), som offisielt heter Tracking Preference Expression, er ennå ikke ferdig, og det er uenighet om hvordan den skal implementeres. I de fleste nettlesere må brukerne aktivere DNT, men i Microsofts nye Internet Explorer 10 (IE10) er standardinnstillingen at «Do Not Track» er aktivert. Dette valget som Microsoft har gjort i IE10, er omstridt.

Foreløpig finnes IE10 bare til Windows 8. Under installasjonen av Windows 8 blir brukeren vist en liste over en del innstillinger som man kan endre på, ved å gå inn på Custom Settings». Spørsmålet er om brukere som for første gang logger seg på en ferdig installert pc, også blir vist denne oversikten, legger merke til at «Do Not Track» er oppgitt som aktivert, og samtidig forstår hva det innebærer uten noen nærmere forklaring.

Apache-patch

For omtrent en måned siden ble HTTP Server-prosjektet til Apache Software Foundation, altså prosjektet som står bak den mest brukte webserveren i verden, tilbudt en kodesnutt som får webserveren til å overstyre DNT-headerfeltet og sette verdien til «unset», dersom nettleseren er IE10. Kodesnutten er omtalt her, under tittelen «Apache does not tolerate deliberate abuse of open standards».

Kodesnutten er skrevet av Roy T. Fielding, som ikke er noen «hvem-som-helst». Han er blant de to forfatterne av W3C-utkastet til DNT-spesifikasjonen. Han er også blant hovedforfatterne av HTTP-spesifikasjonen, i tillegg til at han er blant dem som var med på å etablere Apache HTTP Server-prosjekt. Til daglig jobber han som forsker hos Adobe.

Kodebidraget til Fielding har blitt mye kommentert de siste dagene. Enkelte påpeker at koden ikke gjør situasjonen noe bedre, vet at den ignorerer DNT-innstillingen i IE10 fullstendig. Det er ingen måte å vite om brukerne av IE10 faktisk har gjort et bevisst valg dersom DNT er aktivert i denne nettleseren.

Fielding skriver i debatten at det er nettopp dette bevisste valget som danner grunnlaget for DNT.

– Den eneste årsaken til at DNT eksisterer, er for å uttrykke et ikke-standard valg. Det er alt den gjør. Den beskytter ikke noens personvern med mindre mottakeren tror at den ble satt av et virkelig menneske, med en virkelig preferanse om personvern framfor persontilpasning, skriver Fielding.

– Microsoft krenker med hensikt standarden. De gjør seg stor umake av å kunngjøre nettopp dette. Microsoft er medlem av Tracking Protection-arbeidsgruppen og er fullt informert om disse faktaene. De er fullt i stand til å be om en endring av standarden, men har valgt ikke å gjøre dette. Avgjørelsen om å aktivere DNT som standard i IE10 har ingenting med brukerens personvern å gjøre. Microsoft vet svært godt at et falskt signal vil bli ignorert, og dermed forhindres deres egne brukere i å ha en effektiv DNT-opsjon, selv når deres brukere ønsker dette. Du kan tenke deg hvorfor de ønsker dette. Dersom du synes det er et problem, velg en bedre nettleser, fortsetter Fielding.

Fielding blir tilsynelatende møtt med mer kritikk enn støtte i kommentarene i github. Enkelte mener han med kodesnutten bruker HTTP Server som et våpen for sitt politiske syn og at han tar annonsørenes side i saken. Noen påpeker at personvernlovgivningen i blant annet EU ikke tillater at innholdsleverandører ignorerer DNT-valget, mens andre hevder at DNT-spesifikasjonen ikke sier noe om standardinnstillingen i nettleseren.

I et svarinnlegg skrevet i går kveld, norsk tid, skriver Fielding at det er innenfor loven i blant annet EU å fjerne et ugyldig DNT-felt.

– Til astroturferne som har registrert seg hos github bare for å spy ut løgner om hva som står i standarden: Jeg skrev den seksjonen. Jeg vet hva den sier, hvorfor den sier det og hva det betyr, påpeker Fielding.

I spesifikasjonen heter det blant annet:

The goal of this protocol is to allow a user to express their personal preference regarding tracking to each server and web application that they communicate with via HTTP, thereby allowing each service to either adjust their behavior to meet the user's expectations or reach a separate agreement with the user to satisfy all parties.

Key to that notion of expression is that it must reflect the user's preference, not the preference of some institutional or network-imposed mechanism outside the user's control.

Microsoft har begrunnet selskapets valg av DNT-implementering flere ganger, blant annet her. Selskapet sier at det ved å aktivere DNT som standard, setter brukerne først.

Siste ord er definitivt ikke sagt i denne saken, ikke minst fordi DNT-spesifikasjonen altså ikke er ferdig.

    Les også:

Til toppen