TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
FLoC เป็นวิธีการใหม่ที่ Google นำเสนอเพื่อทดแทนการใช้ 3rd-party Cookies โดย Google คุยว่าจะช่วยปิดบังเรื่อง Privacy ได้ดีขึ้น อย่างไรก็ดีทีมงาน WordPress อาจไม่คิดเช่นนั้นตามหลังจาก Search Engine อย่าง Brave Browser, DuckDuckGo และ Vivaldi เพราะทีมงานเตรียมปิดกั้นกลไกนี้โดยอัตโนมัติใน WordPress เวอร์ชัน 5.8 ในเดือนกรกฏาคมที่จะถึงนี้ รวมถึงจะขยายย้อนหลังไปเวอร์ชันก่อนหน้าด้วย
FLoC คืออะไร?
หลายคนเริ่มจะได้ยินคำว่า FLoC มาบ้างแล้ว วันนี้เราจะขอนำเสนอเรื่องราวของ Federate Learning of Cohorts (FLoC) กันให้ได้ทราบกัน ต้องขอย้อนก่อนว่าปัจจุบันนี้ผู้โฆษณาทั้งหลายสามารถทำ Target Ads ได้ผ่านการติดตามของกลไก 3rd-party Cookies ซึ่งวิธีการนี้กำลังจะตายลง เพราะการปิดกั้นหลายๆอย่างที่เกิดขึ้น ด้วยเหตุนี้เอง Google จึงออกกลไกใหม่มาแทนที่ ซึ่งคุยว่าจะเป็น Privacy Sandbox ที่จะช่วยจำกัดความเสี่ยงเรื่องความเป็นส่วนตัวของผู้ใช้งาน
แนวคิดของ FLoC ก็คือการทำ Profiling ผู้ใช้งานตามพฤติกรรม โดยจะไปเก็บข้อมูลการใช้งาน Browser เพื่อจัดกลุ่มก้อนของผู้ใช้ที่เรียกว่า Cohort นั่นเอง โดยข้อมูลนี้จะถูกแชร์ให้กับ Advertisers ต่างๆ ที่ Google ชี้ว่าจะไม่เป็นการเปิดเผยตัวบุคคล ทั้งนี้ Google ได้ทดลองผลการศึกษาโดยอาศัยข้อมูลโดเมนของไซต์ที่ผู้เข้าชมส่งให้อัลกอริทึม SimHash ที่สามารถทำงานได้บนเครื่องของผู้ใช้โดยไม่ต้องมีเซิร์ฟเวอร์ศูนย์กลาง สร้างเป็น Cohort ID หรือพูดได้ว่าเป็นการทำ Clustering เพื่อแบ่งกลุ่มผู้ใช้งาน เพื่อแชร์ข้อมูลให้แก่ผู้โฆษณาโดยไม่เผยตัวตนผู้ใช้ นอกเหนือจากนี้ Cohort ID จะมีการคำนวณใหม่ทุกสัปดาห์โดยอาศัยข้อมูลการใช้งานของสัปดาห์ก่อนหน้า อย่างไรก็ดียังมีสมมติฐานในฝั่งตรงข้ามที่น่าสนใจในหัวข้อต่อไปนี้
ปัญหา Privacy ครั้งใหม่
EFF.org ได้ตั้งข้อสังเกตที่ชี้ให้เห็นว่า FLoC ที่ Google นำเสนออาจจะไม่สมบูรณ์แบบอย่างนั้น ซึ่งตัว Cohort ID จะได้รับผ่านทาง JavaScript และยังไม่ชัดเจนว่าใครเข้าถึงได้บ้าง รวมถึงจะแชร์อย่างไรกับใคร โดยแบ่งเป็น 3 ประเด็นคือ
1.) Fingerprinting
มีความเป็นไปได้ที่ Browser Fingerprinting จะสามารถใช้สร้างอัตลักษณ์ของผู้ใช้ได้ ซึ่ง Google คุยว่าในแต่ละ FLoC cohort จะมีผู้ใช้หลายพันคน ดังนั้นก็จะมีความผันแปรในจำนวนของ Cohort และจากการทดสอบของ Google ตัว FLoC Cohort มีได้สูงถึง 8 บิต นั่นหมายความว่ายิ่งแบ่งกลุ่มได้ละเอียด Advertiser จะยิ่งเข้าใจผู้ใช้ได้มากขึ้นแต่ต้องไม่น้อยเกิดไปจนคุกคามนำไปสู่ตัวตนอย่างเจาะจง อย่างไรก็ดีเรื่องของ Fingerprinting เป็นสิ่งที่ผู้ให้บริการอย่าง Safari และ Tor ให้ความสำคัญเป็นอย่างยิ่งและพยายามจำกัดการใช้งาน
2.) Cross-context Exposure
ตัวเทคโนโลยีมีการแชร์ข้อมูลให้กับ Tracker ที่อาจมีข้อมูลที่เชื่อมโยงกับตัวผู้ใช้อยู่แล้วเช่น บริการที่ได้จากการล็อกอิน Google
- Tracker อาจสามารถทำ Reverse-engineer ถึงการ Assign Cohort ID ได้ว่าเกิดขึ้นได้อย่างไร ไปเข้าชมเว็บประมาณไหนมาก่อน
- อาจนำไปสู่การเปิดเผยข้อมูลที่ละเอียดอ่อน เพราะสามารถเก็บเกี่ยวข้อมูลทั่วไปมาได้ก็อาจประกอบย้อนกลับไปได้ว่า Cohort นี้จะเชื่อมโยงกับ ผู้ใช้วัยไหน เพศไหน หรือสีผิว แม้กระทั่งความคิดทางการเมือง
โดยไอเดียก็คือ FLoC กลไกที่ตัดสินผู้ใช้ว่าจะอยู่ในกลุ่มแบบไหนจากพฤติกรรมก่อนหน้า แถมยังรวบข้อมูลผู้ใช้ที่ไม่เกี่ยวข้องและแชร์กับเว็บไซต์อื่นอีก ตัวอย่างเช่นผู้เยี่ยมชมเว็บไซต์สุขภาพก็ไม่ควรรู้ถึงเรื่องการเข้าชมเว็บของ Retail แต่ Cohort ID เกิดขึ้นจากการตีความประวัติของพฤติกรรมทุกอย่าง
3.) ปัญหาที่เหนือกว่าเรื่อง Privacy
FLoC ยังคงก่อให้เกิด Target Ads ที่นำไปสู่การแบ่งแยกอยู่ดี เพราะสุดท้ายแล้ว Advertiser จะทราบได้ว่าผู้ชมเป็นคนประเภทใด และสามารถตัดสินเพื่อปิดกั้นการมองเห็นเหล่านั้นได้ ซึ่งกล่าวได้ว่า FLoC คือการทำ Unsupervised และแม้ Google คุยว่ามีวิธีการที่เปิดให้สามารถเข้าไปแก้ไขได้ หากพบว่ามีข้อบกพร่องที่เป็นความเสี่ยงแก่การเผยข้อมูลละเอียดอ่อนอย่าง วัย เพศและอื่นๆ แต่ก็ดูเหมือนเป็นงานที่ไม่รู้จบปริมาณมหาศาลที่ต้องทำไปเรื่อยๆ นอกจากนี้ FLoC ยังทำให้ผู้ไม่หวังดีในการใช้ข้อมูลสามารถปฏิเสธความรับผิดชอบได้ง่ายขึ้นว่าตนแค่โฆษณาตามพฤติกรรม ไม่ได้ใช้ข้อมูลละเอียดอ่อนมาเกี่ยวข้อง ซึ่งเป็นการยากกับทั้งผู้ใช้งานและฝ่ายบังคับใช้กฏหมายในการจัดการ
อย่างไรก็ตาม FLoC ได้ถูกทดลองกับผู้ใช้งานบางส่วนแล้วตั้งแต่ Chrome 89 ในวันที่ 2 มีนาคมที่ผ่านมา ซึ่งทาง EFF.org เห็นว่า Google ควรเปิดให้ผู้ใช้งานสามารถมีทางเลือกได้ว่าจะควบคุมกลไกนี้ได้อย่างไรและผู้ใช้เข้าใจกลไกนี้อย่างดีแล้ว สำหรับผู้สนใจสามารถศึกษาเรื่อง FLoC ได้เพิ่มเติมที่ https://github.com/WICG/floc
วิธีการของ WordPress
อย่างที่กล่าวไปแล้ว WordPress ไม่ได้ยืนฝั่งเดียวกันกับวิธีการนี้ ซึ่งจะใช้โค้ด 4 บรรทัดเพื่อบล็อกแพลตฟอร์มในการออก HTTP Request Header ที่บอก Browser ว่าควรปิด FLoC ติดตามเพิ่มเติมได้ที่ https://make.wordpress.org/core/2021/04/18/proposal-treat-floc-as-a-security-concern/
ที่มา : https://www.bleepingcomputer.com/news/security/wordpress-to-automatically-disable-google-floc-on-websites/ และ https://www.eff.org/deeplinks/2021/03/googles-floc-terrible-idea
