Z założenia nie ma kont użytkowników

Etyka była istotna dla społeczności F-Droid od samego początku, z naciskiem na wolne oprogramowanie, prywatność i kontrolę użytkowników. Kluczową częścią projektu F-Droid jest brak kont użytkowników. Nigdy nie są używane żadne konta użytkowników w procesie dostarczania aplikacji użytkownikom. Jest to zgodne z projektem. F-Droid nigdy nie miał metody identyfikacji lub śledzenia użytkowników w aplikacji klienckiej na Androida, a uzyskiwanie informacji z f-droid.org również nigdy nie wymagało żadnych informacji o tożsamości.

Posiadanie kont użytkowników znacznie ułatwia rozwiązywanie niektórych problemów: ułatwia dołączanie ocen i recenzji oraz zarządzanie edycją dokumentacji. Jednak posiadanie kont użytkowników sprawia, że inne problemy są znacznie trudniejsze do rozwiązania. Konta użytkowników nieuchronnie oznaczają, że dane osobowe (PII) będą gromadzone i przechowywane. Konta użytkowników również wymagają haseł, a często numerów telefonów lub adresów e-mail. Wszystkie te dane muszą być chronione. Jednym z naszych głównych celów jest wyeliminowanie możliwości śledzenia naszych użytkowników. Posiadanie kont użytkowników sprawiłoby, że ten cel byłby prawie niemożliwy.

Okazuje się, że konta użytkowników rzadko są wymogiem do budowania usługi, mimo że wiele usług sprawia, że tak się wydaje. Konta użytkowników to świetny sposób na zbieranie danych i łączenie ich wszystkich razem, aby stworzyć bardzo szczegółowe profile. Ma to kluczowe znaczenie dla śledzenia użytkowników w celu ich utowarowienia i sprzedaży ich uwagi do licytanta, który zaoferuje najwyższą cenę.

Konta użytkowników służą również do kontroli dostępu do informacji i danych. Służą do „blokowania regionu” i selektywnego blokowania dostępu do aplikacji. Istnieją oczywiście cenne przypadki użycia ograniczania dostępu, na przykład zapewnienie małym dzieciom dostępu do treści odpowiednich dla wieku. Istnieją jednak inne sposoby na zrobienie tego, takie jak prowadzenie repozytoriów, tak aby materiały dla dorosłych były dostarczane za pośrednictwem oddzielnych, opcjonalnych repozytoriów.

Konta użytkowników mają kluczowe znaczenie dla śledzenia osób

Konta użytkowników i identyfikatory są kluczowym elementem śledzenia użytkowników i tworzenia długotrwałych profili. Jeśli usługa wymaga konta, aby uzyskać do niej dostęp, prawdopodobnie śledzi ona swoich użytkowników. Kiedy użytkownik loguje się, wyraźnie mówi serwisowi, kim jest. Usługa ta może następnie łatwo przypisać działania do tego konta, aby zbudować profil. Nie oznacza to, że nie ma uzasadnionych powodów do śledzenia użytkowników. Jak wspomniano wcześniej, edytory Wikipedii są przykładem podstawowej usługi zbudowanej na kontach użytkowników. Mówimy, że jeśli prywatność jest dla ciebie ważna, to wymagania dotyczące logowania powinny sprawić, że zatrzymasz się i pomyślisz.

Google daje nam brzydki przykład. Wkłada dużo wysiłku, aby ludzie logowali się jak najwięcej, a większość ich usług wymaga, aby użytkownicy byli zalogowani przy użyciu konta. A te, które tego nie robią, nagabują użytkownika, by się zalogował. Przeglądarka Chrome nawet ma loginy, które są połączone z kontami Google. Często to wymaganie jest uzasadnione tym, że ułatwia to korzystanie z usług. Chociaż prawdą jest, że śledzenie użytkowników może sprawić, że niektóre rzeczy będą lepiej służyć użytkownikowi, Google konsekwentnie stosuje te przypadki w sytuacjach, w których oznacza to, że uzyskują więcej danych śledzenia. W Google Meet nadal wymagane jest logowanie, aby utworzyć spotkanie, mimo że dostępna jest obsługa dołączania do spotkań za pomocą adresu URL, bez konta. Obsługa Jitsi Meet jest znacznie łatwiejsza i nie ma kont. Ewentualnie rozważ narzędzie do śledzenia problemów Google: obecnie wymaga zarówno Javascript, jak i aktywnego konta Google, aby korzystać z usługi w jakikolwiek sposób, nawet jeśli chcesz tylko przeczytać istniejące posty. Działało przez lata bez JavaScriptu i kont użytkowników, więc jasne jest, że usługa nie potrzebuje ich do działania.

Co działa bez kont użytkowników?

Okazuje się, że F-Droid nie jest osamotniony w dostarczaniu kluczowych usług bez kont czy profili użytkowników. Istnieją przeglądarki, wiki, wspólne notatniki, wideokonferencje, a nawet komunikatory i analityka. Wiele systemów wykorzystujących konta pozwala również na czytanie, a nawet edycję bez logowania.

Pierwsze pytanie, na które należy odpowiedzieć, brzmi: czy ta usługa musi wiedzieć, kim są użytkownicy, aby mogła funkcjonować? Czy informacje te mogą pozostać tylko na urządzeniu użytkownika? Na przykład usługa poczty elektronicznej lub komunikatora musi wiedzieć o swoich użytkownikach wystarczająco dużo, aby móc kierować dane od użytkownika wysyłającego wiadomość do zamierzonego odbiorcy. W większości przypadków oznacza to, że serwer polega na tym, że każdy użytkownik posiada konto na serwerze. Jest to powszechny sposób implementacji takiego systemu, ale nie jedyny. Usługi Tor Onion oferują inne podejście. Służą one do przekazywania danych bez możliwości sprawdzenia przez żadną część systemu, kto do kogo wysyła dane i kto zgłasza żądanie. Briar bazuje na tym rozwiązaniu, umożliwiając przesyłanie wiadomości bez wiedzy o tym, kto do kogo wysyła wiadomości, poza osobami uczestniczącymi w rozmowie. Dzięki Briar informacje kontaktowe użytkowników znajdują się tylko na ich urządzeniach.

Wideokonferencje zostały zbudowane wokół identyfikatorów użytkowników, takich jak konta i numery telefonów. Usługi takie jak Jitsi Meet zapoczątkowały nowy sposób: każda sala konferencyjna jest reprezentowana przez nazwę w adresie URL, np. https://meet.jit.si/ToJestNazwaPokojuKonferencyjnego. Każdy, kto ma ten adres URL, może otworzyć go w przeglądarce i dołączyć do pokoju. Jitsi Meet działa bardzo dobrze i potwierdziło, że spotkania online faktycznie działają lepiej bez kont użytkowników: są znacznie łatwiejsze w konfiguracji i zarządzaniu. Obecnie żadna platforma spotkań online nie byłaby traktowana poważnie, jeśli nie obsługiwałaby dołączania do spotkań tylko za pomocą adresu URL, innymi słowy, bez żadnego konta użytkownika.

Wikipedia jest świetnym przykładem hybrydy. Większość stron można edytować w ogóle bez konta, wystarczy kliknąć edytuj i wprowadzić zmiany. Treści generowane przez użytkowników nieuchronnie wymagają kontroli, aby okiełznać wojny edycji i nadużycia. Dlatego konta użytkowników nadal stanowią kluczową część działania Wikipedii. Jednak w tym przypadku wynika to z potrzeby redaktorów Wikimedia, aby dostarczać niezbędne usługi swoim użytkownikom, a nie z wymyślonych powodów, aby śledzić i przyciągać coraz więcej osób.

Mozilla poszła o krok dalej z Firefox Klar (znanym również jako Firefox Focus podobnym do Firefox Klar, ale z mniej prywatnymi ustawieniami domyślnymi). Ta przeglądarka internetowa ułatwia korzystanie z Internetu bez utrzymywania jakiegokolwiek stanu. Wersja przeglądarki dla telefonów komórkowych podąża za tą samą podstawową ideą: śledzenie osób nie jest konieczne, aby zapewnić dobre wrażenia użytkownika. Osobiście wolę używać Firefox Focus na moim telefonie, ponieważ chcę uniknąć myślenia o zarządzaniu kontami, ekranami preferencji plików cookie, historią itp. Po prostu używam go do wyszukiwania informacji, a kiedy skończę i kliknę powiadomienie, wszystko zostanie wyczyszczone. (_Niestety, focus i Klar zawierają zastrzeżone biblioteki Google Play Services, np.com.google.android.gms, więc nie są obecnie dystrybuowane na f-droid.org. Z zadowoleniem przyjmujemy wkład w usunięcie zastrzeżonych bitów, abyśmy mogli je ponownie dystrybuować _).

Guardian Project opracowuje Clean Insights w celu promowania idei, że analiza użytkowania może dostarczyć przydatnych informacji, które przynoszą korzyści tylko użytkownikom końcowym. Aby tak się stało, nie może być absolutnie żadnego sposobu śledzenia użytkowników: żadnych identyfikatorów śledzenia, żadnych kont użytkowników, itp. F-Droid wykonał kilka eksperymentów z Clean Insights, a podejście wygląda całkiem obiecująco. Każdy rodzaj analityki musi wykraczać poza obawy o prywatność, aby służyć użytkownikom. Musimy również wziąć pod uwagę, że media cyfrowe mają moc manipulowania i uzależniania.

Ponieważ ekosystem F-Droid działa na haszach statycznych plików bez kontroli dostępu, uwalnia to wszelkiego rodzaju elastyczność. Lustra repozytorium f-droid.org/repo mogą być bezpiecznie dostarczane przez usługi na całym świecie, lokalne Raspberry Pis, a nawet pendrive. Każda zawartość może być archiwizowana przez każdego bez pozwolenia lub scentralizowanych usług przy użyciu IPFS.

Konta użyte podczas tworzenia F-Droid

Możemy również ogłosić, że strona f-droid.org nie ma kont użytkowników w żadnej części. Ostatnim elementem była stara instancja MediaWiki, która znajdowała się pod adresem https://f-droid.org/wiki. Została ona zastąpiona przez https://monitor.f-droid.org i https://gitlab.com/fdroid/wiki. Forum forum jest zbudowane w programie Discourse, który opiera się na kontach użytkowników. Mimo to nasze forum można czytać bez konieczności logowania się lub używania Javascript. Konta użytkowników są dobrze znanym narzędziem do zarządzania spamem i niewłaściwym zachowaniem na forach publicznych, i tak właśnie są używane na naszym forum. Jesteśmy otwarci na sprawdzone alternatywy, które mogą działać bardziej prywatnie.

Przy odpowiednim ustawieniu możliwe jest przesyłanie materiałów przez git z minimalnym śladem autora. Dotyczy to teraz także naszej wiki. Tam, gdzie jest to wskazane, pozwalamy też na przesyłanie materiałów przez konto @fdroid-anyone, z którego każdy może korzystać, znajdując hasło na wiki.

Praca na samym F-Droidzie wymaga kont użytkowników. Nie znamy żadnej innej sprawdzonej metody kontroli dostępu do budowania zaufanych systemów, na których mogą polegać miliony. Główni współpracownicy są gotowi zrezygnować z części prywatności, aby zapewnić użytkownikom prawdziwą prywatność.