O víkendu se v mailových konferencích W3C (World Wide Web Consortium) rozběhla debata o tzv. implicitním refereru, což je součást standardu HTML. Zní to suše, ale jedná se přitom o změnu v samých základech technologie webových stránek a internetu, která může ovlivnit prakticky každé procházení webu, jak ho nyní znáte.
V pracovní skupině W3C pro HTML začala debata, co do budoucna dělat s tzv. implicitním refererem. Části tvůrců standardu se totiž přestává líbit, že tato součást standardu HTML má potenciál k porušení soukromí při procházení webu. Jde o zdánlivou maličkost. Standard předepisuje, že pokud do adresního řádku webového prohlížeče zadáte adresu nějakého webu, nebo pokud se na něj nasměrujete otevřením záložky (nebo otevřením URL z externího zástupce či odkazu), pak je tomuto webu předána informace o tom, na jakém webu jste se nacházeli před tím, tedy odkud na něj přicházíte.
Toto je standardizované chování a dodržují ho všechny webové prohlížeče po desktopové operační systémy i mobilní platformy (Android, iOS). Kupodivu to přesto hodně lidí překvapuje až šokuje, ačkoliv by mělo jít o obecně známou věc, které určitě běžně přizpůsobujete své chování, pokud například máte otevřený nějaký méně reprezentativní web, jehož návštěvou byste se běžně nechlubili.
Podobně to mimochodem funguje i obráceně. Pokud máte otevřený nějaký web a napíšete do adresního řádku novou adresu nebo otevřete záložku a podobně, je aktuálně otevřený web informován o tom, kam směřujete.
Málo známý Implicit Referer
Toto chování je z jednoduchého důvodu. HTML umožňuje odeslat navštěvované stránce tzv. referer, což jí říká, z jakého webu na ni bylo odkázáno. Weby se tak pro potřebu analytiky běžně dozvídají, odkud jste na ně přišli, pokud jste klikli na nějaký hypertextový odkaz v jiném webu, který tento referer do odkazu přidává. Jiné to je ale, pokud napíšete URL webové stránky do adresního řádku a zmáčknete enter, nebo otevřete nějakou záložku z oblíbených.
Takovýto požadavek na navštívení webové stránky nemá explicitně zadaný referer, ovšem to, aby referer byl nedefinovaný, není v HTML přípustná věc. A tak standard předepisuje, že se použije tzv. Implicit Referer. To znamená, že váš webový prohlížeč jako referer odešle nově otvíranému webu adresu toho právě otevřeného. V případě, kdy máte zcela prázdný prohlížeč, se musí vzít poslední navštívená stránka z historie.
Tento standard pochází z doby, kdy ještě neexistovaly prohlížeče umožňující mít otevřeno více „tabů“ (záložek/karet) se stránkami, takže nedefinoval, co dělat, pokud je tabů více. Prohlížeče tak musí hádat, co by asi bylo záměrem tvůrců standardů, pokud by ještě dnes žili. Firefox došel k tomu, že se má odesílat jen stránka z aktuální záložky, ve které se nově otevíraná stránka bude otevírat. Autoři prohlížeče Chrome to považují za nelogickou a velmi svévolnou interpretaci a v zájmu korektnosti došli k tomu, že je třeba nově otevřené webové stránce odeslat, jaké stránky jsou otevřené ve všech tabech prohlížeče.
Na přínosnosti tohoto chování nepanuje shoda
Toto chování nyní pár delegátů pracovní skupiny HTMLWG navrhlo zrušit (a započali k tomu příslušný RFC) právě asi s ohledem na onu menšinu neinformovaných uživatelů, kteří o něm netuší a mohli by tímto způsobem neplánovaně nějakému webu říct věci o svých internetových návycích, o které se ve skutečnosti s nikým podělit nechtějí.
Zejména delegáti zastupující velké internetové firmy na to namítají, že toto chování je dávno standardizované a po dvou dekádách všichni uživatelé jistě vědí, že tyto informace o jejich procházení jsou s navštěvovanými weby sdílené. A málokdo si na to stěžuje. Toto je pozice například sociální sítě X (dříve Twitter), Meta (Facebook) nebo Amazonu a Netflixu.
Někteří lidé na webu navštěvují obsah, za který by se styděli, pokud by to o nich jiní věděli (ilustrační foto)
K zastáncům soukromí, kteří nemají tak silný mandát jako tito giganti, se ovšem trošku nečekaně přidal i zástupce společnosti Alphabet (Googlu), jeden z jeho delegátů se postavil za navrhovaný RFC a také se vyslovil pro to, aby tento implicitní referer (a tím chování, kdy se nově otevíraná stránka dozvídá, na jakém webu jste byli před ní) byl zrušený.
Z jeho reakce na RFC vyplývá, že Goggle se v podstatě obává hlavně toho, že se nedobrovolným „viděním“ některých stránek, ke kterému je z tohoto důvodu donucen, stane trestně odpovědným. Firma totiž poctivě tyto odkazy vždy projíždí a dochází k otevírání a procházení webů, jejichž URL se dozví z implicitního refereru, na jejích serverech.
„Mezi stránkami, které takto zcela nechtěně registrujeme a zaznamenáváme, se poměrně často vyskytne různý skutečně závadný obsah typu dětské pornografie,“ sdělil J. Fouché, manažer skupiny, která v Googlu má obsluhu implicitního refereru na starosti. Osobně vidí benefity a negativa zrušení této funkce zhruba 50 : 50, ale její zaměstnanci údajně preferují zrušení.
Rozpolcené názory
Přesto, že přímo Google nyní vyzývá ke zrušení této funkce webových stránek, ale není jisté, zda opravdu bude ze standardů HTML odebrána. Jiné sekce firmy Alphabet totiž zastávají spíše pozici shodnou s ostatními zmíněnými internetovými giganty a namítají, že dané chování je v souladu s očekáváním uživatelů, takže by nebylo „user-friendly“ ho najednou odebrat.
„Lidé jsou někdy překvapení, což mě ale osobně udivuje. Když v obchodní galerii přejdete ze záchodů do sámošky, taky všichni v atriu můžou vidět nejen vaši destinaci, ale i odkud jste vylezli,“ podotkl v RFC diskusi manažer divize Alphabet starající se o ochranu soukromí, Sniffany V. Creepski, MBA.
Budova Google (ilustrační foto)
Creepski v diskuzi upozornil na to, že Alphabet nemůže s touto praxí legálně přestat. Jako akciová společnost je totiž povinována maximalizovat zisk, a protože tímto způsobem se Google často dostává například k bankovním údajům návštěvníků, vedlo by zrušení k nikoli nevýznamnému snížení tržeb vinou odebrání tohoto zdroje příjmů.
Že zrušení implicitního refereru a tohoto chování brání legální překážky a právní závazky provozovatelů webů a samotných platforem, potvrzují také zástupci čínských společností, jako jsou Tencent nebo Baidu.
Zatím tedy není jasné, zda k nějakým změnám dojde. Je slušná šance, že nakonec převládne zásada neměnit zbytečně status quo. To by znamenalo, že vše zůstane při starém a nebudete zbytečně muset nějak měnit své webové návyky.
Opačné reportování URL kontroverzní není
Zajímavé je, že (jak už bylo výše zmíněno) standardy HTML předepisují i opačný proces, který zase způsobuje, že stránka, na které jste byli před napsáním nějakého URL do adresního řádku, se dozví, kam jdete. Toto je asi i logičtější – když jste v hospodě a voláte si taxíka, také všichni slyší, co telefonu diktujete. Každopádně je ale pozoruhodné, že u tohoto chování už vývojáři prohlížečů takové pochybnosti nemají, nebo aspoň ne ti v Googlu.
Firma v e-mailové konferenci skupiny HTMLWG uvedla, že lidé často z pornostránek přecházejí na vyhledávání Googlu. Podle dat přímo z webů tohoto zaměření, které má od nich Google k dispozici, se však opačná situace děje jen s asi poloviční frekvencí. Přímo z toho, že kliknete na odkaz jeho vyhledávače, se Google tyto informace údajně dozví až 37× častěji.
Ke zrušení tohoto chování tedy zatím v pracovních skupinách kolem HTML nikdo nevyzývá.
(Poznámka: Jak jste asi již vytušili, tento text je náš aprílový vtípek pro rok 2024.)
Zdroj: W3C
ČLÁNKY DO MAILU