虛擬現(xiàn)實和增強現(xiàn)實為當(dāng)前的網(wǎng)絡(luò)安全和隱私問題引入了一個全新的物理層面。當(dāng)用戶沉浸在3D體驗時，2D網(wǎng)絡(luò)本已難以解決的問題變得更加復(fù)雜，比方說權(quán)限和點擊劫持。這對不存在類似于2D“窗口”概念，而且用戶所看到的一切都由應(yīng)用程序渲染的頭顯尤為如此。令獲取權(quán)限變得更加敏感的原因是，為驅(qū)動AR和VR體驗而采集的傳感器數(shù)據(jù)與個人越發(fā)相關(guān)。在本文中，Mozilla的DIANE HOSFELT向我們介紹了混合現(xiàn)實體驗權(quán)限的原則，以下是映維網(wǎng)的具體整理：

    為了實現(xiàn)沉浸式MR體驗，設(shè)備搭載了傳感器，其不僅捕捉有關(guān)用戶周圍物理世界的信息（遠(yuǎn)遠(yuǎn)超出智能手機上常見的傳感器），同時采集有關(guān)用戶和（可能）旁人的詳細(xì)信息。例如，這樣的傳感器可以創(chuàng)建物理世界的詳細(xì)3D映射（通過是利用底層平臺功能），推斷高度和步態(tài)等生物識別數(shù)據(jù)，并且可能借助搭載的攝像頭來尋找和識別附近的人臉。頭顯上的紅外傳感器最終可以檢測更詳細(xì)的生物特征，如出汗情況和脈搏，而一些設(shè)備已經(jīng)包含了 眼動追蹤 器。

    對于每個傳感器，在MR應(yīng)用中都有直接的用例。世界模型允許設(shè)備在平面上放置內(nèi)容，隱藏桌面下的內(nèi)容，或者如果VR用戶即將撞向墻壁時發(fā)出警告。用戶的身高和步態(tài)可通過頭部和雙手在世界中的精確3D運動進(jìn)行說明，這樣的信息對于沉浸式體驗從正確位置渲染內(nèi)容必不可少。眼動追蹤可以支持自然的交互，并允許殘障人士單純通過眼睛進(jìn)行導(dǎo)航。訪問攝像頭數(shù)據(jù)則允許應(yīng)用程序檢測和追蹤世界中的對象。

    遺憾的是，每種傳感器都存在一定的問題。涉及用戶家庭數(shù)據(jù)的泄露可能會侵犯他們的權(quán)利；身高和步態(tài)可以用作唯一的個人識別碼，但惡意應(yīng)用程序可以借助相關(guān)的生物識別數(shù)據(jù)來推斷用戶的政治傾向或性取向；攝像頭可以未經(jīng)同意地追蹤旁人的位置…如果政府可以訪問相關(guān)的數(shù)據(jù)，這將變得尤其令人擔(dān)憂。

    Mozilla的使命是賦能互聯(lián)網(wǎng)用戶。網(wǎng)絡(luò)是現(xiàn)代生活中不可或缺的一部分，而個人安全和隱私是基本權(quán)利。當(dāng)存在潛在的負(fù)面后果時，瀏覽器通常會請求同意。但在通過互聯(lián)網(wǎng)采集和傳輸更多數(shù)據(jù)時，我們有時沒有確保用戶的知情同意。隨著越來越多的交互轉(zhuǎn)移到MR設(shè)備上，這種趨勢可能會對用戶產(chǎn)生深遠(yuǎn)的影響。

    1. 知情同意

    知情同意的概念源于醫(yī)學(xué)倫理，以及個人有權(quán)控制其生活中關(guān)鍵方面的觀點。互聯(lián)網(wǎng)現(xiàn)在是人們生活和社會的基本組成部分。Mozilla堅信知情同意同樣是互聯(lián)網(wǎng)上的一項權(quán)利。遺憾的是，跟醫(yī)療等領(lǐng)域一樣，為互聯(lián)網(wǎng)用戶提供知情同意會遇到類似的問題，用戶可能無法理解所被告知的內(nèi)容，并且可能不會積極在當(dāng)下考慮他們的選擇。最重要的是，沉浸式網(wǎng)絡(luò)必須從一開始就有一個信任的基礎(chǔ)。

    獲取知情同意需要“披露”，“理解”和“自愿”。為了獲得信息，我們必須要以用戶能夠理解的方式提供所有必要的信息，包括采集或傳輸?shù)臄?shù)據(jù)，以及未經(jīng)授權(quán)披露的風(fēng)險。為了能夠“同意”，用戶不僅必須能夠理解所披露的信息，而且還能夠做出非遭受脅迫或操縱的決定。

    完全準(zhǔn)確地為知情同意提供所需的信息具有挑戰(zhàn)性。權(quán)限已經(jīng)變得過于復(fù)雜，無法輕松地向用戶傳達(dá)所采集的數(shù)據(jù)，以及相關(guān)數(shù)據(jù)使用或濫用的潛在后果。例如，《Pokémon Go》利用智能手機中的加速度計和陀螺儀來對齊寶可夢/小精靈與玩家在世界上的方向，并確定他們是否正在駕駛汽車。但是，壞人也可以利用這一點來盜取密碼。這種更為微妙的風(fēng)險可能會產(chǎn)生更嚴(yán)重的后果。

    多個傳感器之間的交互帶來了額外的權(quán)限挑戰(zhàn)。將加速度計數(shù)據(jù)與生物識別數(shù)據(jù)和麥克風(fēng)訪問相結(jié)合時會產(chǎn)生什么后果呢？如果我們進(jìn)一步增加攝像頭訪問，這又會帶來什么影像呢？這些傳感器提出了復(fù)雜的威脅。當(dāng)綜合起來時，如果聽起來不是非?？鋸垼愫茈y傳達(dá)所有潛在的風(fēng)險。

    考慮到沉浸式網(wǎng)絡(luò)的新挑戰(zhàn)，我們有機會重新審視我們處理權(quán)限和知情同意的方式，從而更好地賦能用戶。盡管我們尚未明確應(yīng)該告訴用戶什么，但我們提出了四個原則來作為解決問題的基礎(chǔ)：權(quán)限應(yīng)該是漸進(jìn)的（progressive），負(fù)責(zé)任的（accountable），舒適的(comfortable），以及匹配的（expressive），英文簡稱為PACE。

    2. 原則

    2.1 漸進(jìn)

    Web社區(qū)熟知漸進(jìn)式Web應(yīng)用程序，這是指在兼容各種設(shè)備的網(wǎng)站設(shè)計，并隨著設(shè)備性能的提升逐步創(chuàng)建更強大的站點。在混合現(xiàn)實中，設(shè)備的功能更加多樣化，對于希望盡可能覆蓋更多受眾的開發(fā)者而言，他們需要進(jìn)行更大幅度的改動。除了設(shè)備功能之外，AR感知的私密性（甚至侵入性）意味著用戶可能不希望將設(shè)備的全部功能授權(quán)給所有網(wǎng)站。

    為了同時支持設(shè)備的多樣性和尊重用戶的隱私，瀏覽器需要擁抱“漸進(jìn)式授權(quán)”的概念，為傳感器訪問提供情景信息，并逐步提升授予網(wǎng)站的功能，從而幫助用戶更好地控制權(quán)限授予。這一原則與知情同意的概念密切相關(guān)。請求脫離情景的危險權(quán)限，網(wǎng)站可能會提供不完整的披露并影響用戶的理解。例如，大多數(shù)應(yīng)用程序和網(wǎng)站在安裝或啟動時請求所有必要的權(quán)限，然后無限期地保留它們。

    為權(quán)限提供情景信息的概念并不新鮮。一些移動應(yīng)用程序和網(wǎng)站已經(jīng)向人們提供了請求權(quán)限的解釋，說明了為什么需要訪問權(quán)限。然后，用戶可以選擇并同意/拒絕每個權(quán)限。如果用戶稍后訪問需要拒絕權(quán)限的功能，應(yīng)用程序可以重新提出請求。

    “漸進(jìn)”的一部分要求是負(fù)責(zé)任地僅在需要時收集數(shù)據(jù)，而不是在不需要時仍持續(xù)使用傳感器。對于已同意麥克風(fēng)訪問以進(jìn)行口頭輸入的用戶，他們尚未同意不受約束的麥克風(fēng)訪問，如竊聽。

    因此，漸進(jìn)式權(quán)限也應(yīng)該是雙向的，允許用戶在Web應(yīng)用程序的整個生命周期內(nèi)反復(fù)打開和關(guān)閉權(quán)限。在這個示例中，用戶可能會合理地期望網(wǎng)站在輸入期間使用麥克風(fēng)，然后在輸入完成時停止使用傳感器（即便它仍然擁有使用它的權(quán)限）。

    又例如一款請求攝像頭訪問的應(yīng)用程序。在家里，我同意請求。在工作中，我打開應(yīng)用程序，它立即使用攝像頭，但不宜泄漏機密信息。我們不希望繼續(xù)提示，但希望用戶了解并控制應(yīng)用程序何時可以使用傳感器數(shù)據(jù)，并根據(jù)需要更改權(quán)限。這具體取決于他們的偏好，情景和需求。“負(fù)責(zé)任的”原則則強化了這一原則。

    2.2 負(fù)責(zé)

    責(zé)任與義務(wù)與授予權(quán)限后發(fā)生的事情有關(guān)。所有授予的權(quán)限應(yīng)易于查詢且易于更改。我們設(shè)想一個易于訪問的用戶界面：

    當(dāng)前權(quán)限

    同意/拒絕每個授權(quán)請求的時間

    頁面當(dāng)前采集/監(jiān)控的數(shù)據(jù)

    一個允許在同意/拒絕每個權(quán)限之間輕松切換的選項（無需重新加載頁面）

    撤銷應(yīng)該要做到直截了當(dāng)，而且只影響相關(guān)的功能。例如，撤銷攝像頭訪問應(yīng)該只影響需要攝像頭的功能，而不是阻止使用整個網(wǎng)站。

    另外，當(dāng)網(wǎng)站使用設(shè)備資源時（如訪問文件），應(yīng)該提供一種方法來令網(wǎng)站對訪問和/或修改的資源負(fù)責(zé)。隨著瀏覽器采用新的架構(gòu)來提高安全性，確定哪些頁面正在使用哪些資源已經(jīng)變得更容易，允許瀏覽器向用戶報告更準(zhǔn)確和更細(xì)化的使用數(shù)據(jù)。

    對于即使在瀏覽器關(guān)閉或屏幕關(guān)閉后繼續(xù)執(zhí)行JavaScript的瀏覽器，這同樣令人感到不安并且違反了用戶對其責(zé)任意識的期望。某些傳感器（包括運動和光傳感器）不受權(quán)限保護(hù)，并且會公開給JavaScript。這些傳感器還代表了用于檢索敏感數(shù)據(jù)的暗門，在設(shè)計問責(zé)措施時應(yīng)予以考慮。

    2.3 舒適

    用戶已經(jīng)對過度的權(quán)限請求感到疲勞。在不考慮疲勞的情況下實現(xiàn)前面兩個原則存在不尊重用戶注意力并增加疲勞的風(fēng)險。因此權(quán)限系統(tǒng)的設(shè)計也必須舒適。當(dāng)我們談?wù)撌孢m的權(quán)限系統(tǒng)時，我們明確提到需要平衡用戶控制和減少摩擦。中斷用戶的任務(wù)，在錯誤的時間請求權(quán)限，以及過多的權(quán)限請求可能會導(dǎo)致用戶“放棄”，并自動接受“繼續(xù)使用”權(quán)限。

    隨著我們增加感知信息的數(shù)量和種類，我們應(yīng)該考慮簡單的權(quán)限對話框。例如在某些情況下，瀏覽器可以使用基于用戶動作的隱式權(quán)限（如按下按鈕拍攝圖片可能隱含提供攝像頭訪問權(quán)限）。在3D沉浸式混合現(xiàn)實中，用戶將穿戴頭顯設(shè)備，在沉浸式環(huán)境中出現(xiàn)的權(quán)限請求應(yīng)該提供舒適的UX，能夠容易進(jìn)行識別。如果請求不穩(wěn)定或視覺上不舒適，用戶可能不會花時間進(jìn)行考慮，而是快速接受（或拒絕）以恢復(fù)沉浸式體驗。隨著時間的推移，我們希望Web社區(qū)能夠為兼容多個瀏覽器與環(huán)境的各種權(quán)限開發(fā)一致的設(shè)計語言。

    構(gòu)建舒適的權(quán)限系統(tǒng)可以利用先前的原則：隱式授予一種權(quán)限可以通過令網(wǎng)站對可訪問的數(shù)據(jù)負(fù)責(zé)和提供可見性來平衡，并提供一種簡單明了的方式來瀏覽和修改權(quán)限。

    2.4 匹配

    這個原則要求瀏覽器以不同方式處理不同傳感器的不同權(quán)限，而不是假設(shè)一體通用（即，為需要用戶授權(quán)的任何功能提供類似類型的提示）。當(dāng)前的權(quán)限方法將傳感器分為兩類：危險（需要提示）和非危險（通常無需額外的用戶輸入即可訪問）。

    遺憾的是，“非危險”傳感器之間的交互（如加速度計和用于輸入的觸摸屏）可能會泄漏密碼等數(shù)據(jù)。在沉浸式環(huán)境中，設(shè)備搭載了相當(dāng)強大的傳感器，從而導(dǎo)致更復(fù)雜且更難以預(yù)測的交互。

    要實現(xiàn)更匹配的權(quán)限系統(tǒng)，一個可能的解決方案是權(quán)限捆綁，將相關(guān)權(quán)限進(jìn)行分組。但這可能會違反用戶的期望，并可能導(dǎo)致不夠漸進(jìn)的方法。

    進(jìn)入沉浸式模式將自動激活某些傳感器。例如，基本的VR應(yīng)用程序?qū)⒗眠\動傳感器進(jìn)行渲染，并估計地板的位置。利用相關(guān)的數(shù)據(jù)，一款應(yīng)用程序?qū)⒛軌蛲茢嗄愕纳砀?。這種次要的推論并不總是那么明顯。即便是在對5名用戶的小型研究中，也有3名參與者認(rèn)為VR設(shè)備采集的唯一數(shù)據(jù)是他們在創(chuàng)建帳戶時提供的數(shù)據(jù)或基本使用數(shù)據(jù)（如使用應(yīng)用程序的頻率）。只有兩名用戶意識到設(shè)備傳感器采集并傳輸了更多數(shù)據(jù)。應(yīng)用程序越豐富，所涉及的一個或多個傳感器就越有可能傳輸可用于唯一識別個人的數(shù)據(jù)。

    3. 展望未來

    對知情同意而言，準(zhǔn)確而完整地解釋正在采集的數(shù)據(jù)和潛在的后果至關(guān)重要，但權(quán)限提示存在隱式授權(quán)的風(fēng)險。隨著我們向設(shè)備添加更多傳感器并采集更多的個人和環(huán)境數(shù)據(jù)，添加更多的權(quán)限提示是一個誘人的解決方案。但是，授權(quán)疲勞已經(jīng)是一個嚴(yán)重的問題。

    在可能的情況下，我們應(yīng)該識別隱式同意的可能。例如，每次在2D Web上移動或單擊鼠標(biāo)時都不必授予權(quán)限。當(dāng)我們確實需要明確授權(quán)時，平臺應(yīng)該提供舒適和一致的用戶體驗。

    授權(quán)的目標(biāo)應(yīng)該是獲得知情同意。除了設(shè)計技術(shù)解決方案之外，我們還需要向公眾宣傳設(shè)備采集的數(shù)據(jù)類型和潛在后果。盡管這可以幫助用戶做出有關(guān)授權(quán)的明智選擇，但仍不足夠。在提供沉浸式Web體驗時，我們需要將知情同意（披露，理解，自愿）的三個方面與四個PACE原則（漸進(jìn)，負(fù)責(zé)，舒適，匹配）相結(jié)合，支持用戶更好地控制與管理自己的隱私。

    Web的優(yōu)勢在于人們能夠隨意和短暫地瀏覽頁面和點擊鏈接，同時知道他們的瀏覽器會確保這項活動的安全。這是信任網(wǎng)絡(luò)的基礎(chǔ)。由于濫用私密數(shù)據(jù)的潛在新途徑出現(xiàn)，這一基礎(chǔ)在沉浸式網(wǎng)絡(luò)中變得更加重要。

    近來發(fā)生的一系列事件表明，違法采集數(shù)據(jù)十分猖獗，而且充斥著個人數(shù)據(jù)被濫用的風(fēng)險?；旌犀F(xiàn)實設(shè)備，以及它們生成的新類型數(shù)據(jù)提供了改變關(guān)于Web權(quán)限和授權(quán)對話的機會。

    我們提出PACE原則，鼓勵MR愛好者和隱私研究人員考慮采用新的數(shù)據(jù)采集方法，在尊重用戶時間和精力的同時為用戶提供信息和授權(quán)。這種解決方案并非全都與技術(shù)相關(guān)，但可能包括教育普及與倡導(dǎo)。隨著VR和AR設(shè)備進(jìn)入主流技術(shù)環(huán)境，我們應(yīng)該主動探索新方向的可行性，而不是等待和應(yīng)對未來數(shù)據(jù)泄露和濫用可能帶來的更嚴(yán)重后果。

           文章來源：映維網(wǎng) 如轉(zhuǎn)載請標(biāo)明出處

    原文鏈接 ： https://yivian.com/news/53094.html