Privacy Sandbox 计划提出了一组可保护隐私的 API,以支持在没有第三方 Cookie 等跟踪机制的情况下为开放网络提供资金的业务模式。它于 2019 年推出,Chrome 于去年的 1 月和 10 月分享了最新动态。
经过一年的孵化后,2021 年将是持续测试的一年,还有继续参与 Web 生态系统的机会。这篇博文提供有关 Privacy Sandbox API 和相关提案的最新状态。
关键应用场景的进展
在网站上投放相关广告
发布商和广告主希望提供用户相关且感兴趣的内容(包括广告)。在当今的网络中,衡量用户兴趣的方式通常是通过观察他们访问的网站或页面,依靠第三方 Cookie 或透明度较低且不需要的机制(例如设备数字“指纹”收集)。
今年 3 月份,对于版本 89,Chrome 将针对 Federated Learning of Cohorts API (FLoC) 启动源试用。FLoC 提出了一种通过相关内容和广告覆盖用户的新方法,方法是将具有类似浏览模式的大量用户聚集在一起,将个人隐藏在“人群中”并在浏览器中保留用户的网络历史记录。今天,Google Ads 将分享他们在 FLoC 算法测试中做出的一项更新,这些更新表明,在投放针对用户兴趣的广告方面,所提议的 API 可以像第三方 Cookie 一样有效。
构建第一方受众群体
关于公司可以如何构建受众群体并通过再营销吸引之前访问过其网站的用户,在标准社区中讨论得非常热烈。去年,Chrome 推出了 TURTLEDOVE,该提案可满足此用例,同时提供与其他提案相同的隐私保护。网站可能会要求浏览器存储一个兴趣组,包括有关出价和广告展示的信息,潜在广告买方的设备端出价将基于此兴趣组。
Chrome 的新 FLEDGE 提案(第一个“Locally-Executed Decision over Groups”实验)对 TURTLEDOVE 进行了扩展,其中纳入了许多其他贡献提案的新概念。FLEDGE 包含一种可让设备端出价算法使用专为此目的而设计的新可信服务器中的其他信息。为了帮助在新的可信服务器推出之前进行早期实验,我们提议了“自带服务器”模型,并预计在 2021 年发布第一个实验。
衡量广告效果
在投放广告系列时,营销者有必要了解有多少人看过每个广告,以及这是否会促使消费者采取购买或注册等操作。
2020 年 9 月,我们在 Chrome 源试用公开测试中开放了 Event Conversion Measurement API。它让营销者无需使用第三方 Cookie 就能衡量转化情况;浏览器会记录点击次数和转化次数,并分享匿名报告。此技术的未来版本也将支持“浏览型转化”(用户看到广告,但稍后对其进行操作)。
为了帮助营销者了解特定广告系列的受众群体覆盖面,我们在 2020 年 4 月发布了 Aggregate Measurement API,它有助于衡量唯一身份用户在多个网站上查看广告的次数,但不会泄露可用于识别个人身份的数据。实现这一点的方法是仅在数据达到特定的汇总阈值时报告数据。我们计划在今年上半年开放 Aggregate Measurement API,以供通过公开源试用进行测试。
防范欺诈
网站和发布商需要确保能够将垃圾内容发布者、欺诈者和漫游器与真实用户区分开来。去年 7 月,我们开放了 Trust Tokens API 进行测试。这支持评估用户的真实性以打击欺诈行为,而无需知道用户的身份。Chrome 89 引入了源试用功能,以支持一种新型信任令牌颁发者,该令牌可以改进对移动设备发起欺诈的检测,同时仍能保护用户隐私。
Cookie 安全性改进
2020 年,我们还提升了当前网络技术的安全性。Chrome 和 Edge 已采用 SameSite Cookie 政策,并且 Firefox 很快将支持将 Cookie 视为第一方 Cookie,除非开发者指明需要跨网站访问 Cookie。我们还针对 Android WebView 推出了这一功能,并希望从以 Android S 为目标平台的应用中开始强制执行“SameSite=Lax”默认处理方式。
本月的 Chrome 88 版本中新增了一项功能:我们将修改 SameSite 的定义,从而加强此政策,以防止某些形式的跨网站攻击,包括降低连接的安全性。现在,同一主机网域的安全版本和不安全版本(例如 https://site.example 和 http://site.example)彼此将被视为第三方上下文。
我们发现,现实世界中的网站可能会跨越多个网域或国家/地区代码网域(例如 .com、co.uk 和 .de)。在 Chrome 89 中,我们将在 Chrome 中推出第一方集作为源试用,以便网域所有者明确声明一组相关的网域属于同一组织,并将其视为彼此“同一方”。例如,即使购物网站会跨越多个网域,用户也可以在购物网站上保持登录状态。注册以试用。
阻止隐秘跟踪
此外,我们还在 Chrome 中做出了一些更改,以防范现有的侵扰性跟踪技术并实施缓解措施:
在未来几周内,我们将在 Chrome 中完成新的用户代理客户端提示 (UA-CH) API 的稳定发布,该 API 使开发者能够请求有关用户浏览器的特定信息,而不是默认获取所有信息。我们建议开发者开始迁移到 UA-CH API,因为 Chrome 最终将开始限制传统 User-Agent 字符串中目前可用于数字“指纹”收集的信息。
上周,我们推出了 Gnatcatcher,此方案允许成组的用户通过同一特权化服务器发送其流量,从而在网站主机上有效隐藏他们的 IP 地址。Gnatcatcher 还可以确保出于合法目的(例如防范滥用行为)需要访问 IP 地址的网站在接受认证和审核的情况下,能够做到这一点。
正如我们在去年 10 月分享的那样,我们还将关闭网站观察用户可能通过缓存机制访问的其他网站的功能。这样可以确保只有发出原始请求的网站才能访问缓存的资源,从而降低跨网站跟踪和搜索攻击等安全攻击的风险。此项变更将从 3 月份开始面向所有使用 Chrome 89 的 Chrome 用户推出。
了解详情
照片由 Aditya Saxena 提供,由 Unsplash 提供