Les contributeurs WordPress proposent de bloquer le FLoC dans le noyau

Les contributeurs de WordPress proposent au projet de prendre une position active sur l'apprentissage fédéré des cohortes (FLoC) de Google. Ce mécanisme particulier est l'alternative de Google aux cookies tiers qui ne nécessite pas de collecter l'historique de navigation des utilisateurs. Le référentiel GitHub pour FLoC explique comment Google regroupera les personnes et les étiquettera à l'aide de l'apprentissage automatique :

Nous prévoyons d'explorer les moyens par lesquels un navigateur peut regrouper des personnes ayant des habitudes de navigation similaires, afin que les entreprises de technologie publicitaire puissent observer les habitudes de grands groupes au lieu de l'activité des individus. Le ciblage des annonces pourrait alors être en partie basé sur le groupe auquel appartient la personne.

Les navigateurs auraient besoin d'un moyen de former des clusters à la fois utiles et privés : utiles en rassemblant des personnes ayant des intérêts suffisamment similaires et en produisant des étiquettes adaptées à l'apprentissage automatique, et privés en formant de grands clusters qui ne révèlent pas d'informations trop personnelles, lorsque les clusters sont créés ou lorsqu'ils sont utilisés.

Les contributeurs de WordPress proposent de bloquer le FLoC dans le noyau, citant l'article de l'Electronic Frontier Foundation intitulé "Google's FLoC Is a Terrible Idea".

«WordPress alimente environ 41% du Web – et cette communauté peut aider à lutter contre le racisme, le sexisme, la discrimination anti-LGBTQ + et la discrimination contre les personnes atteintes de maladie mentale avec quelques lignes de code», indique la proposition.

L'un des aspects les plus controversés de la proposition originale était qu'elle était spectaculairement mal catégorisée comme un problème de sécurité, obscurcissant le problème en question. Il a identifié FLoC comme un problème de sécurité dans le but de l'introduire dans le noyau selon un calendrier plus agressif, qui a été décrit comme suit :

1. Inclure le correctif dans la prochaine version mineure, plutôt que d'attendre la prochaine version majeure ;
2. Rétroportez le correctif vers les versions précédentes de WordPress.

La proposition a ensuite été révisée pour clarifier que le fait de traiter FLoC comme un problème de sécurité ne faisait référence qu'au calendrier de développement accéléré et de rétroportage.

Bien que le blocage de FLoC ait semblé bénéficier d'un large soutien dans les commentaires sur le message, la suggestion prématurée de le traiter comme un problème de sécurité a affaibli la proposition.

Le responsable principal de WordPress, Ryan McCue, a déclaré que bien qu'il soit d'accord avec le sentiment général, le déployer comme une mise à jour de sécurité abuserait de la confiance des utilisateurs dans les mises à jour automatiques :

Le contrat implicite avec les utilisateurs pour les mises à jour automatiques de sécurité est qu'elles sont utilisées afin de protéger l'utilisateur contre la compromission imminente de son site (données ou base de code). Ce n'est pas le cas avec FLoC, et peut dans certains cas nuire au comportement du site.

Plus concrètement : en tant que personne qui exploite un service d'hébergement où nous tenons les utilisateurs informés des correctifs de sécurité, cela change considérablement notre approche. À l'heure actuelle, nous pouvons déployer en toute confiance des mises à jour de sécurité en faisant confiance à la mise à jour a un effet minimal en dehors des changements purement de sécurité, mais le franchissement de cette barrière signifie qu'un examen minutieux doit maintenant être appliqué à chaque mise à jour de sécurité afin d'éviter de déployer des changements potentiellement cassants pour nos clients. .

Cette érosion de la confiance finirait par nuire aux utilisateurs de WP.

La proposition a lancé une discussion active avec plus de 100 commentateurs, y compris la participation de l'équipe Chrome DevRel qui a ajouté plus de contexte sur l'état actuel de l'expérience.

"Il convient également de noter que, comme il s'agit d'un essai d'origine, cela signifie que rien n'est gravé dans le marbre - il s'agit d'une expérience pour recueillir des commentaires", a déclaré Rowan Merewood, responsable du développeur Chrome. "L'API peut changer, le mécanisme de désinscription peut changer, les critères d'éligibilité peuvent changer. Tout changement de code relatif à un essai d'origine doit également être traité comme temporaire et expérimental.

Ceux qui ont critiqué la proposition considèrent FLoC comme un problème de confidentialité personnelle qui n'est pas le problème de WordPress à résoudre. D'autres pensent qu'une proposition de bloquer le FLoC est réactionnaire à ce stade, puisque Google n'a pas encore finalisé son expérience FLoC.

"En pensant aux utilisateurs… c'est-à-dire aux lecteurs d'un blog, ils méritent le choix", a commenté Andy Beard.

"Ils peuvent choisir le navigateur qu'ils utilisent.
« Ils peuvent choisir les paramètres dans le navigateur.
"Ils peuvent choisir certaines options globales sur un site de confidentialité de Google.
« Ils peuvent installer une multitude de plugins.

"Alternativement, si WordPress bloque FLoC par défaut, cela supprime en fait un choix - le choix d'un utilisateur de voir des publicités plus pertinentes."

Plusieurs participants à la discussion étaient opposés au FLoC mais ne soutenaient pas non plus un effort central de WordPress pour le bloquer.

"Bien que je ne sois pas pro-FLoC (et que mes navigateurs ne l'utilisent pas), je ne m'attendrais certainement pas à ce qu'un site Web fasse le choix de se retirer pour moi, et je ne vois pas pourquoi la majorité de WordPress les utilisateurs et les personnes visitant les sites WordPress s'attendraient à cela non plus », a commenté le développeur principal de WordPress, Dion Hulse.

« Peut-être plus important encore, WordPress continuerait-il également à désactiver tous les futurs protocoles de navigateur ? Une fois que vous vous êtes penché sur le blocage d'un, vous devez soit les bloquer tous, soit vous jouez les favoris.

Mika Epstein, qui a également exprimé son opinion en tant qu'anti-FLoC, a déclaré qu'elle n'était pas favorable au rétroportage d'un bloc en raison du caractère pratique d'un tel effort.

"Si la décision est prise d'inclure cela, je le soutiendrais uniquement en tant qu'amélioration de la confidentialité filtrable , et non en tant que sécurité", a déclaré Epstein.

"Cela dit, je ne soutiens pas le rétroportage avec le précédent selon lequel nous n'avons pas rétroporté les éléments d'exportation GDPR. Le faire exister en tant que plugin (il y en a déjà trois) est suffisant pour ceux qui sont sur des versions plus anciennes. La contrainte excessive d'un rétroportage accru doit être minimisée, et non maximisée à mon avis.

D'autres ont commenté le préjudice causé aux éditeurs indépendants dont la principale source de revenus est souvent la publicité.

Développeur principal WordPress Helen Hou-Sandi a demandé que la proposition soit réécrite pour clarifier les différences entre la désactivation de FLoC au niveau du site et au niveau du navigateur en tant que consommateur. Elle a également découragé de se référer à la question comme un problème de sécurité et a recommandé aux partisans de la proposition de justifier le travail nécessaire pour rétroporter le bloc. Hou-Sandi a recommandé d'ouvrir un ticket de trac comme une voie de discussion plus appropriée concernant la mise en œuvre et l'inclusion de base, car les contributeurs n'ont pas encore atteint un consensus.

Le sujet fera l'objet de discussions lors du prochain chat des développeurs principaux le mercredi 21 avril 2021. Des représentants de l'équipe Chrome seront également présents pour répondre à toutes les questions sur FLoC.