Im Rahmen der Privacy Sandbox-Initiative werden eine Reihe datenschutzfreundlicher APIs zur Unterstützung von Geschäftsmodellen vorgeschlagen, die das offene Web ohne Tracking-Mechanismen wie Drittanbieter-Cookies finanzieren. Sie wurde 2019 eingeführt und im Januar und Oktober letzten Jahres gab es in Chrome Updates zu den Fortschritten.
Nach einem Jahr der Inkubation ist 2021 ein Jahr der Tests mit weiteren Möglichkeiten für das Web, sich einzubringen. In diesem Beitrag finden Sie aktuelle Informationen zum Status der Privacy Sandbox APIs und Vorschläge.
Fortschritte bei wichtigen Anwendungsfällen
Platzieren relevanter Anzeigen auf einer Website
Publisher und Werbetreibende möchten Inhalte (einschließlich Anzeigen) bereitstellen, die für den Nutzer relevant und interessant sind. Im heutigen Web werden die Interessen von Nutzern oft anhand von Drittanbieter-Cookies oder weniger transparenten und unerwünschten Mechanismen wie dem Fingerprinting gemessen, indem festgestellt wird, welche Websites oder Seiten sie besuchen.
Im März startet Chrome mit Version 89 einen Ursprungstest für die Federated Learning of Cohorts API (FLoC). FLoC bietet eine neue Möglichkeit, Nutzer mit relevanten Inhalten und Anzeigen zu erreichen. Dazu werden große Gruppen von Nutzern mit ähnlichen Suchmustern in Gruppen zusammengefasst, Personen „in der Menge“ verborgen und ihr Webprotokoll im Browser gespeichert. Heute haben wir ein Update aus den Tests des FLoC-Algorithmus veröffentlicht, die zeigen, dass die vorgeschlagene API bei der Auslieferung relevanter interessenbezogener Anzeigen ähnlich effektiv sein kann wie Drittanbieter-Cookies.
Zielgruppen mit selbst erhobenen Daten erstellen
In der Standards-Community gab es bereits spannende Diskussionen darüber, wie Unternehmen Zielgruppen aufbauen und frühere Besucher ihrer Websites durch Remarketing erreichen können. Letztes Jahr hat Chrome TURTLEDOVE vorgestellt, einen Vorschlag, der diesen Anwendungsfall bereits berücksichtigt und gleichzeitig dieselben Datenschutzbestimmungen wie die anderen Vorschläge bietet. Eine Website kann den Browser auffordern, eine Interessengruppe zu speichern, einschließlich Informationen zu Geboten und Anzeigendarstellung. On-Device-Gebote von potenziellen Anzeigenkäufern basieren dann auf dieser Interessengruppe.
Das neue FLEDGE-Angebot von Chrome ( erstes Experiment mit „Lokal ausgeführte Entscheidung über Gruppen“) erweitert TURTLEDOVE durch die Einbindung neuer Konzepte aus vielen anderen eingereichten Vorschlägen. FLEDGE bietet eine Möglichkeit für On-Device-Gebotsalgorithmen, zusätzliche Informationen von einem neuen vertrauenswürdigen Server zu verwenden, der ausschließlich für diesen Zweck entwickelt wurde. Um erste Tests zu erleichtern, bevor die neuen vertrauenswürdigen Server verfügbar sind, schlagen wir ein Modell „Eigenen Server verwenden“ vor. Dieser erste Test wird voraussichtlich im Jahr 2021 veröffentlicht.
Effektivität der Werbung messen
Wenn ein Werbetreibender eine Werbekampagne durchführt, muss er wissen, wie viele Nutzer die einzelnen Anzeigen sehen und ob dies zu einer Nutzeraktion wie einem Kauf oder einer Anmeldung führt.
Im September 2020 haben wir die Event Conversion Measurement API für Tests in öffentlichen Chrome-Ursprungstests verfügbar gemacht. Werbetreibende können damit Conversions auch ohne den Einsatz von Drittanbieter-Cookies messen. Stattdessen werden im Browser Klicks und Conversions erfasst und ein anonymisierter Bericht zur Verfügung gestellt. Eine zukünftige Version dieser Technologie wird auch View-through-Conversions unterstützen, d. h., wenn Nutzer eine Anzeige sehen, aber später darauf reagieren.
Damit Werbetreibende die Zielgruppenreichweite einer bestimmten Werbekampagne besser nachvollziehen können, haben wir im April 2020 die Aggregate Measurement API veröffentlicht. Mit ihr lässt sich messen, wie oft einzelne Nutzer eine Anzeige auf mehreren Websites gesehen haben, ohne dabei Daten offenzulegen, mit denen sich einzelne Personen identifizieren lassen. Dazu werden Daten erst dann in Berichte aufgenommen, wenn sie einen bestimmten Grenzwert für die Aggregation erreicht haben. Wir planen, die Aggregate Measurement API in der ersten Jahreshälfte für Tests über öffentliche Ursprungstests zur Verfügung zu stellen.
Betrugsprävention
Websites und Publisher müssen in der Lage sein, Spammer, Betrüger und Bots von echten Nutzern zu unterscheiden. Letzten Juli haben wir die Trust Tokens API zum Testen zur Verfügung gestellt. Dies ermöglicht die Bewertung der Authentizität eines Nutzers im Hinblick auf Betrug, ohne die Identität des Nutzers kennen zu müssen. In Chrome 89 wird ein Ursprungstest eingeführt, um einen neuen Trust Token-Aussteller zu unterstützen. Dieser kann die Betrugserkennung auf Mobilgeräten verbessern und gleichzeitig die Privatsphäre der Nutzer schützen.
Verbesserungen der Cookie-Sicherheit
2020 haben wir außerdem die Sicherheit aktueller Webtechnologien verbessert. Die SameSite-Cookie-Richtlinie wurde von Chrome und Edge übernommen und ist bald auch in Firefox verfügbar. Cookies werden als eigene Cookies behandelt, es sei denn, der Entwickler gibt an, dass auf sie über Websites zugegriffen werden muss. Wir haben diese Funktion auch für Android WebView eingeführt und erwarten, die Standardbehandlung „SameSite=Lax“ in Apps, die auf Android S ausgerichtet sind, durchzusetzen.
Mit der neuen Version von Chrome 88 dieses Monats verstärken wir diese Richtlinie, indem wir die Definition von SameSite ändern, um einige Formen von websiteübergreifenden Angriffen zu verhindern, einschließlich Downgrades der Sicherheit einer Verbindung. Jetzt gelten sichere und unsichere Versionen derselben Hostdomain, wie https://site.example und http://site.example, als Drittanbieterkontext füreinander.
Wir wissen, dass echte Websites mehrere Domains oder Ländercode-Domains umfassen können (z. B. .com, .co.uk und .de). Mit Chrome 89 führen wir First-Party-Sets als Ursprungstest in Chrome ein. Damit können Domaininhaber eine Gruppe verwandter Webdomains explizit als derselben Organisation zugehörig erklären und gegenseitig als „gleiche Partei“ behandelt werden. Nutzer können dann beispielsweise auf einer Shopping-Website angemeldet bleiben, auch wenn die Website mehrere Domains umfasst. Registrieren Sie sich jetzt für die Testversion.
Verdecktes Tracking verhindern
Wir sind auch an Änderungen in Chrome dran, um vorhandene aufdringliche Tracking-Techniken zu verhindern und um mögliche Behelfslösungen zu ermöglichen:
In den kommenden Wochen wird die neue User-Agent Client Hints (UA-CH) API (User-Agent Client Hints) in Chrome als stabile Version eingeführt. Damit können Entwickler bestimmte Informationen zum Browser eines Nutzers anfordern, anstatt standardmäßig alle Daten zu erhalten. Wir empfehlen Entwicklern, zur UA-CH API zu migrieren, da Chrome irgendwann die im traditionellen User-Agent-String verfügbaren Informationen einschränken wird, die heute für Fingerprinting verwendet werden können.
Letzte Woche haben wir Gnatcatcher vorgestellt, einen Vorschlag, mit dem Nutzergruppen Traffic über denselben privatisierenden Server senden können, wobei ihre IP-Adressen vor dem Website-Host verborgen werden. Außerdem stellt Gnatcatcher sicher, dass Websites, die zu legitimen Zwecken wie Missbrauchsprävention Zugriff auf IP-Adressen benötigen, dies tun können. Dies unterliegt Zertifizierung und Prüfungen.
Wie bereits letzten Oktober angekündigt, wird es für eine Website außerdem nicht mehr möglich sein, andere Websites zu beobachten, die ein Nutzer möglicherweise über Caching-Mechanismen aufgerufen hat. Dadurch wird sichergestellt, dass auf im Cache gespeicherte Ressourcen nur die Website zugreifen kann, die die ursprüngliche Anfrage gestellt hat. Dadurch wird das Risiko von Sicherheitsangriffen wie websiteübergreifendem Tracking und Suchangriffen verringert. Diese Änderung wird ab März mit Chrome 89 für alle Chrome-Nutzer eingeführt.
Weitere Informationen
- Einführung in die Privacy Sandbox
- Die Privacy Sandbox
- Teilnahme an der Privacy Sandbox-Initiative
- Privacy Sandbox 2021: Datenschutz im Web testen
Foto von Aditya Saxena auf Unsplash