Сообщество разработчиков крайне недовольно предстоящими изменениями политики конфиденциальности на GitHub. Дело в том, что новые правила позволят GitHub размещать «следящие» файлы cookie на некоторых поддоменах.
О грядущих изменениях стало известно ранее в этом месяце. Планируется, что с сентября 2022 года GitHub начнет добавлять «необязательные файлы cookie» на некоторые маркетинговые страницы. Компания предложила пользователям 30 дней на обсуждение этого решения.
Текущая политика конфиденциальности GitHub (от 31 мая 2022 года) гласит, что платформа размещает в браузерах пользователей только «строго необходимые» файлы cookie и придерживается стандарта W3C в отношении настройки Do Not Track, если таковая установлена пользователем.
Однако с 1 сентября 2022 года GitHub начнет размещать необязательные файлы cookie на своих маркетинговых поддоменах, например, resources.github.com.
«GitHub вводит необязательные файлы cookie на веб-страницах, которые продают наши продукты для бизнеса, — объясняет Оливия Холдер, старший юрисконсульт GitHub по вопросам конфиденциальности, подчеркивая, что изменение повлияет только на маркетинговые страницы и отдельные поддомены. — Эти файлы будут предоставлять аналитику для улучшения работы сайта, персонализации контента и рекламы для корпоративных пользователей».
Необязательные файлы cookie (обычно называемые «следящими cookie») в данном контексте относятся к классу cookie, которые используются сразу несколькими сайтами и веб-сервисами. Такие файлы могут использоваться третьими сторонами для показа рекламы, реализации маркетинговых функций, кастомизации и аналитики. При этом такие cookie позволяют легко выявить историю браузинга и поведение пользователя на других сайтах, потенциально позволяя и злоумышленникам отслеживать эту активность.
Готовящиеся нововведения уже подверглись жесткой критике со стороны сообщества. К примеру, инженер по безопасности GitHub Лукас Гаррон (Lucas Garron) решил привлечь всеобщее внимание к проблеме и «30-дневному периоду для комментариев», сославшись на старое сообщение в блоге GitHub, датированное 2020 годом. В нем представители платформы заявляли, что «удалили все необязательные файлы cookie», так как «уважают конфиденциальность разработчиков, использующих продукт».
Весьма забавно, но свежее сообщение от разработчиков GitHub, объясняющее необходимость внедрения следящих cookie, содержит практически те же формулировки. Необходимость внедрения cookie-трекеров разработчики объясняют улучшением охвата и веб-экспириенса для корпоративных пользователей, но напоминают о том, что «сообщество разработчиков остается сердцем GitHub», и платформа стремится «уважать конфиденциальность разработчиков, использующих наш продукт».
Пока в комментариях разгораются нешуточные дебаты, а на change.org уже создали петицию, в которой формулировки новой политики конфиденциальности называют «менее прозрачными, неясными и вводящими в заблуждение», и призывают GitHub вообще отказаться от следящих cookie.
При этом многие пользователи заявляют, что намерены уйти с GitHub (к примеру, на GitLab) или бойкотировать его, если новые правила вступят с силу. Другие обвиняют в происходящем Microsoft, материнскую компанию GitHub, заявляя, что та дискредитирует GitHub.
«Вы потеряли меня из-за “рекламы для корпоративных пользователей”, — пишет пентестер и ИБ-инженер Джонатан Грегсон.
«Если начнется этот пиар, я уйду. Я не собираюсь быть частью этой цифровой антиутопии, где я всего лишь продукт, а компании не заботятся о людях», — говорит пользователь Вильгельм Соколов.
Впрочем, есть и те, кто поддерживает позицию GitHub. Например, Rust- и Android-разработчик Эвелин Мари недоумевает, почему людей так злят изменения, которые «повлияют только на корпоративные маркетинговые поддомены». Мари пишет, что большинство пользователей GitHub все равно не используют Enterprise и, скорее всего, никогда не испытают никаких неудобств из-за файлов cookie.
«Люди любят тыкать пальцем в Microsoft, якобы это она требует таких изменений. Скорее всего, это не так. Всегда будут изменения, которые не понравятся людям, но не все изменения – дело рук материнской компании. Если бы Microsoft приложила руки к GitHub, они, вероятно, давным-давно перешли бы с политики конфиденциальности GitHub на политику конфиденциальности Microsoft», — говорит Мари.