Contas de usuário não existem por definição

A ética tem sido um assunto central para a comunidade do F-Droid desde o início, com o foco no software livre, privacidade e controle de usuário. Uma parte fundamental de projeto do F-Droid é a falta de contas de usuário. Não usamos contas no processo de distribuição de apps aos usuários, nunca. Isto é por definição. O F-Droid nunca teve um modo para identificar ou rastrear usuários via seu app no Android, e as pesquisas no f-droid.org também nunca exigiam nenhum tipo de informações pessoais.

Implantação de contas de usuário facilitaria muito resolução de alguns problemas: facilitaria a inclusão de classificações e avaliações e o gerenciamento de edição da documentação. Entretanto, contas de usuário tornariam outros problemas muito mais difíceis de resolver. Contas de usuário inevitavelmente causariam criação de informações pessoalmente identificáveis (PII) que seriam coletadas e armazenadas. Contas de usuário também exigem senhas, e muitas vezes números de telefone ou endereços de e-mail. Todos esses dados precisam ser protegidos. Um de nossos principais objetivos é eliminar a possibilidade de rastrear nossos usuários. As contas tornariam esse objetivo quase impossível.

Acontece que as contas de usuário raramente são uma exigência para a construção de um serviço, mesmo que muitos serviços façam esforço para aparecer assim. As contas de usuário são uma ótima maneira de coletar dados e vincular tudo para criar perfis muito detalhados. Isto é central para rastrear os usuários a fim de comodificá-los e vender sua atenção para quem der o maior lance.

As contas de usuário também são usadas para controlar o acesso à informação e aos dados. Elas são usados para fazer “bloqueio regional” de vídeos e bloquear seletivamente acesso ao apps. Existem motivos legítimos para restringir o acesso, como para garantir que as crianças só possam acessar um conteúdo apropriado à sua idade. Mas há outras maneiras de fazer isso, como filtrar os repositórios para que o material adulto seja disponível através de repositórios separados, via opção de inclusão.

As contas de usuário são fundamentais para rastrear as pessoas

Contas de usuários e IDs são uma parte fundamental para rastrear usuários e construir perfis persistentes. Se um serviço requer uma conta para acessá-lo, é bem provável que esse serviço rastreia seus usuários. Quando um usuário faz o login, ele está dizendo expressamente ao serviço quem ele é. Então esse serviço pode facilmente atribuir atividades a essa conta para construir o perfil. Isto não quer dizer que não existam motivos válidos para rastrear os usuários. Como mencionado anteriormente, os editores da Wikipedia são um exemplo de um serviço essencial construído com implantação de contas de usuários. O que estamos dizendo é que se a privacidade é importante para você, então a exigência de login deveria fazer você parar e pensar.

O Google nos dá um péssimo exemplo. Ele faz tudo o que pode para que as pessoas se identifiquem via login, e a maioria de seus serviços exige que os usuários estejam conectados via uma conta. E aqueles que não te incomodam a fazer o login. Até o navegador Chrome tem logins, que estão conectados às contas do Google. Elas frequentemente justificam esta exigência assegurando que isto torna os serviços mais fáceis de usar. Embora seja verdade que ao rastrear os usuários certas coisas podem melhorar para o usuário, o Google parece aplicar esse atitude consistentemente em qualquer situação para obter mais dados de rastreamento. Com o Google Meet, eles ainda requerem logins para criar uma conferência, apesar de ter suporte para participar em reuniões através de um URL sem nenhuma conta. A experiência de usuário do Jitsi Meet é muito mais fácil e não requer nenhuma identificação. Também leve em conta o rastreador de problemas do Google: atualmente é necessário ter tanto Javascript quanto uma conta ativa no Google para usar o serviço de qualquer forma, mesmo que você só queira ler as postagens existentes. Funcionou durante anos sem Javascript ou contas de usuário, por isso é evidente que o serviço não precisa deles para funcionar.

O que funciona sem contas de usuário?

Acontece que o F-Droid não está sozinho na prestação de serviços fundamentais sem exigência de contas ou perfis de usuário. Existem navegadores, wikis, anotações compartilhadas, videoconferências, e até mesmo envio de mensagens e análises. Muitos sistemas que utilizam contas também permitem a leitura e até mesmo a edição sem fazer o login.

A primeira pergunta a ser respondida é: este serviço precisa saber quem são os usuários para poder funcionar? Essa informação pode permanecer apenas no dispositivo do usuário? Por exemplo, um serviço de e-mail ou de mensagens precisa saber bastante sobre seus usuários para poder encaminhar os dados de um usuário que envia uma mensagem para o destinatário pretendido. Isto significa que o servidor exige de cada usuário ter uma conta no servidor. Esta é uma forma comum de implementar tal sistema, mas não é a única forma. Serviço do Tor Onion implementa uma abordagem diferente. Ele é desenvolvido para encaminhar os dados sem que nenhuma parte do sistema possa ver quem está enviando dados para quem, e quem está fazendo o pedido. Briar baseia-se nisso fazendo com que as mensagens funcionem sem saber quem está enviando mensagens para quem, fora das pessoas envolvidas na conversa. Com o Briar, as informações de contato do usuário estão sempre apenas nos dispositivos dos usuários.

A videoconferência foi criada em torno de IDs de usuário como contas e números de telefone. Serviços como Jitsi Meet foi pioneira em uma nova forma: cada sala de conferência é representada por um nome em uma URL, p.ex. https://meet.jit.si/EsteÉONomeDeUmaSalaDeConferência. Qualquer pessoa que tenha essa URL pode abri-la em um navegador e entrar na sala. O Jitsi Meet funciona muito bem e demonstrou que as conferências online funcionam melhor sem contas de usuário: são muito mais fáceis de configurar e gerenciar. Atualmente, nenhuma plataforma de videoconferências seria levada a sério se não suportasse a participação em reuniões apenas via uma URL, em outras palavras, sem nenhuma conta de usuário.

A Wikipédia é um grande exemplo híbrido. É possível editar a maioria de sites sem nenhuma conta, basta clicar em editar e fazer as mudanças. O conteúdo gerado pelo usuário inevitavelmente precisa ser supervisionado para acalmar guerras de edição e comportamentos abusivos. Portanto, as contas de usuário ainda são uma parte fundamental de como a Wikipédia funciona. No entanto, neste caso, isso decorre da necessidade dos editores da Wikimedia de fornecer serviços essenciais a seus usuários, em vez de justificações fabricadas para rastrear e viciar cada vez mais pessoas.

A Mozilla levou esta idéia ainda mais com o Firefox Klar (também conhecido como o Firefox Focus que é semelhante ao Firefox Klar mas com configurações padrão menos privadas). Este navegador facilita o uso da web sem nenhuma configuração. A versão do navegador para telefones segue a mesma idéia básica: rastrear pessoas não é necessário para proporcionar uma boa experiência ao usuário. Eu pessoalmente prefiro usar o Firefox Focus no meu telefone porque particularmente quero evitar o gerenciamento de contas, preferências de cookies, histórico, etc. Só o uso para procurar informações, e quando termino clico na notificação e tudo está excluído. (Desafortunadamente, o Focus e Klar ambos contêm serviços de bibliotecas proprietárias do Google Play, p.ex. com.google.android.gms, por isso, atualmente não são distribuídos via f-droid.org. Aceitamos contribuições de ajuda para remover as partes proprietárias para que possamos distribuí-las novamente).

O Guardian Project está desenvolvendo Clean Insights para promover a idéia de que a análise de uso pode fornecer conhecimentos úteis que só beneficiam os usuários finais. Para que isto aconteça, não deve haver absolutamente nenhuma maneira de rastrear os usuários: sem IDs de rastreamento, sem contas de usuário, nada ponto. O F-Droid tem feito alguns experimentos com o Clean Insights, e a abordagem parece bastante promissora. Qualquer tipo de análise precisa ir além das preocupações sobre privacidade a fim de atender os usuários. Também precisamos considerar que a mídia digital tem o poder de manipular e nos viciar.

Dado que o ecossistema do F-Droid funciona via hashes de arquivos estáticos sem controle de acesso, ele libera todo tipo de flexibilidade. Mirrors do repositório f-droid.org/repo podem ser distribuídos com segurança através de serviços em todo o mundo, Raspberry Pis locais, ou mesmo via memórias USB. Qualquer conteúdo pode ser arquivado por qualquer pessoa sem permissão ou serviços centralizados usando o IPFS.

Contas usadas ao desenvolver o F-Droid

Também podemos informar que o site do f-droid.org não tem nenhuma conta de usuário em nenhuma parte. A peça final foi a antiga instância da MediaWiki que estava em https://f-droid.org/wiki. Isto foi substituído por https://monitor.f-droid.org e https://gitlab.com/fdroid/wiki. O fórum é construído com o Discourse, que é construído em torno de contas de usuário. Ainda assim, nosso fórum pode ser lido sem necessidade de login ou uso da Javascript. Contas de usuário são uma ferramenta bem conhecida para gerenciar spam e comportamentos abusivos em fóruns públicos, e é assim como elas são usados em nosso fórum. Estamos dispostos a aceitar as alternativas comprovadas que possam operar de forma mais privada.

Com a configuração correta é possível enviar contribuições via git com um mínimo de informações do autor original. Agora isto também se aplica ao nosso wiki. Quando apropriado, também aceitamos contribuições via a conta do @fdroid-anyone , que qualquer pessoa pode usar ao encontrar a senha no wiki.

Trabalhar no próprio F-Droid requer contas de usuário. Não conhecemos nenhum outro método comprovado de controle de acesso para a construção de sistemas confiáveis com os quais milhões de pessoas possam contar. Os principais colaboradores estão dispostos a abrir mão de alguma privacidade a fim de garantir que os usuários possam ter verdadeira privacidade.