没有用户账户,设计如此

从一开始,道德就一直是 F-Droid 社区的核心,其中重点是自由软件、隐私和用户控制权。F-Droid 设计的一个关键部分是缺少用户帐户。在向用户交付应用的过程中,从未使用过任何用户帐户。这是设计使然。F-Droid 从来没有在 Android 客户端应用中识别或跟踪用户的方法,并且从 f-droid.org 获取信息也从来不需要任何类型的身份信息。

拥有用户帐户使一些问题更容易解决:它使包含评级和评论以及管理文档编辑变得容易。但是,拥有用户帐户会使其他问题更难以解决。用户帐户不可避免地意味着个人身份信息 (PII) 将被收集和存储。用户帐户还需要密码,通常还需要电话号码或电子邮件地址。所有这些数据都需要得到保护。我们的核心目标之一是消除跟踪用户的可能性。拥有用户帐户将使该目标几乎不可能实现。

事实证明,用户帐户几乎不会是构建服务的必要条件,尽管许多服务都让它看上去是这样。用户帐户是收集数据并将所有链接起来创建非常详细的用户画像的好方法。这对于跟踪用户以将其商品化并将他们的注意力出售给最高出价者至关重要。

用户帐户还用于控制对信息和数据的访问。它们用于“区域锁定”视频以及选择性地阻止访问应用。当然,限制访问也有一些有价值的用例,例如确保小孩只能访问适合年龄的内容。但是还有其他方法可以做到这一点,例如通过策划存储库使成人内容通过单独的选择加入存储库交付。

用户帐户是跟踪人们的核心

用户帐户和 ID 是跟踪用户并建立长期画像的关键部分。如果一项服务需要一个帐户来访问它,那么该服务很可能会跟踪其用户。当用户登录时,他们清楚地告诉服务他们是谁。然后,该服务可以轻松地将操作关联到该帐户以建立画像。这并不是说没有正当理由来跟踪用户。如前所述,维基百科编辑器是基于用户帐户的基本服务的一个示例。我们所说的是,如果隐私对你很重要,那么登录要求应该让你停下来思考。

Google 为我们提供了一个丑陋的例子。它在让人们尽可能多地登录方面付出了很多努力,而且他们的大多数服务都要求用户使用帐户登录。以及那些不催促你登录的服务。Chrome 浏览器甚至有登录选项,这些都与 Google 帐户相关联。他们经常说它使服务更易于使用为这一要求辩护 。虽然跟踪用户确实可以在某些方面更好地为用户服务,但 Google 似乎一直将这些案例应用于意味着他们获得更多跟踪数据的情况。使用 Google Meet 时,他们仍然需要登录才能创建会议,即使他们支持在没有帐户的情况下通过 URL 加入会议。Jitsi Meet 的用户体验更加轻松,并且没有账户。或者考虑一下 Google 问题跟踪器:它现在需要 Javascript 和有效的 Google 帐户才能以任何方式使用该服务,即使你只是想阅读现有的帖子。它可以在没有 Javascript 或用户帐户的情况下运行多年,因此很明显该服务不需要它们来运行。

哪些仍然有用即使没有用户帐户?

事实证明,F-Droid 并不是唯一在没有用户帐户或画像的情况下提供关键服务的。有浏览器、wiki、共享记事本、视频会议,甚至消息和分析。许多使用帐户的系统也允许在不登录的情况下阅读甚至编辑。

要回答的第一个问题是:该服务是否需要知道用户是谁才能发挥作用?该信息能否仅保留在用户设备上?例如,电子邮件或消息服务需要对其用户有足够的了解,才能将发送消息的用户的数据定向到预期的收件人。这主要意味着服务器依赖于每个用户在服务器上都有一个帐户。这是实现这种系统的常用方法,但不是唯一的方法。Tor Onion Services 开辟了另一种方法。它们被设计为在系统的任何部分都无法查看谁在向谁发送数据以及谁在发出请求的情况下路由数据。Briar 在此基础上构建了除了参与对话的人之外,任何人都不知道谁在向谁发送消息的通信服务。使用 Briar,用户联系信息只保存在用户的设备上。

视频会议是围绕帐户和电话号码等用户 ID 构建的。Jitsi Meet 等服务开创了一种新方式:每个会议室都由 URL 中的名称表示,例如 https://meet.jit.si/ThisIsAConferenceRoomName。任何拥有该 URL 的人都可以在浏览器中打开它并加入房间。Jitsi Meet 运行良好,并证明在线会议实际上在没有用户帐户的情况下效果更好:它们更容易设置和管理。目前,如果在线会议平台不支持仅通过 URL 加入会议,即根本没有用户帐户,则不会被重视。

维基百科是一个很好的混合示例。只需单击编辑并进行更改,就可以在没有帐户的情况下编辑大多数页面。用户生成的内容不可避免地需要控制来抑制编辑战和滥用行为。因此,用户帐户仍然是 Wikipedia 运作方式的关键部分。然而,在这种情况下,它源于维基媒体编辑为他们的用户提供基本服务的需要,而不是制造追踪和吸引更多人的理由。

Mozilla 通过 Firefox Klar(也称为 Firefox Focus 类似于 Firefox Klar,但具有较少的隐私默认设置)。这个网络浏览器可以轻松使用网络,而无需保留任何状态。手机浏览器版本遵循相同的基本理念:跟踪人员并不是提供良好用户体验的必要条件。我个人更喜欢在我的手机上使用 Firefox Focus,因为我特别想避免考虑管理帐户、cookie 偏好屏幕、历史记录等。我只是用它来查找信息,当我完成并点击通知时,这一切都会被清除。(不幸的是,Focus 和 Klar 都包含 Google Play Services 专有库,例如 com.google.android.gms,因此它们目前未在 f-droid.org 上分发。我们欢迎贡献者删除专有比特,以便我们可以再次分发它们)。

Guardian Project 正在开发 Clean Insights,旨在宣传用量分析可以提供只使最终用户受益的有用的见解。为此,必须完全无法跟踪用户:没有跟踪 ID,没有用户帐户,什么都没有。F-Droid 用 Clean Insights 做了 一些实验,这种方法看起来很有前途。任何类型的分析都需要超越隐私问题才能为用户服务。我们还需要考虑到数字媒体有能力操纵我们并使我们上瘾

由于 F-Droid 生态系统在没有访问控制的情况下处理静态文件的 hashes,因此它解锁了各种灵活性。f-droid.org/repo 存储库的镜像可以通过世界各地的服务,本地树莓派,甚至是 U 盘安全交付。任何人都可以使用 IPFS 存档任何内容而无需许可或中心服务

制作 F-Droid 时使用的帐户

我们还可以宣布 f-droid.org 网站的任何部分都没有用户帐户。最后一部分是位于 https://f-droid.org/wiki 的旧 MediaWiki 实例。这已被 https://monitor.f-droid.orghttps://gitlab.com/fdroid/wiki 取代。论坛基于围绕用户帐户构建的 Discourse。尽管如此,无需登录或使用 Javascript 即可阅读我们的论坛。用户帐户是管理公共论坛上的垃圾邮件和滥用行为的众所周知的工具,这就是它们在我们论坛中的使用方式。我们对可以更尊重隐私地运营的成熟替代方案持开放态度。

通过正确的设置,可以通过 git 进行贡献,而原始作者的痕迹很少。这现在也适用于我们的 wiki。在适当的情况下,我们还允许通过 @fdroid-anyone 帐户进行贡献,任何人都可以通过在 wiki 上找到密码来使用该帐户。

在 F-Droid 工作本身确实需要用户帐户。我们不知道其他经过验证的访问控制方法可用于构建数百万人可以依赖的可信系统。核心贡献者愿意放弃一些隐私,以确保用户能够拥有真正的隐私。