Bienvenue dans l'édition d'octobre de Progresser dans la Privacy Sandbox, qui vous permettra de suivre les étapes clés de l'abandon progressif des cookies tiers dans Chrome et de notre progression vers un Web plus respectueux de la confidentialité. Chaque mois, nous vous présenterons les modifications apportées au calendrier de la Privacy Sandbox, ainsi que les informations concernant l'ensemble du projet.
Événements
Le Sommet des développeurs Chrome aura lieu le 3 novembre. Lors du discours d'ouverture, vous pourrez obtenir des informations sur la Privacy Sandbox lors du discours d'ouverture. Vous pourrez également poser des questions à l'équipe de direction de l'AMA et poser des questions plus détaillées aux équipes d'ingénieurs pendant les permanences. Inscrivez-vous dès aujourd'hui. Nous espérons vous compter parmi nous !
Ce mois-ci a également inclus la conférence annuelle du W3C (communément appelée TPAC), au cours de laquelle les différents groupes du W3C se réunissent pour discuter de sujets variés sur l'ensemble du Web. Vous pouvez consulter les minutes et vidéos des sessions en petits groupes. Vous trouverez ci-dessous des sessions spécifiques abordant les sujets liés à la Privacy Sandbox.
Dans la continuité de la saison de conférence, l'IETF (Internet Engineering Task Force) organise régulièrement ses 112 séances plénières en ligne. Comme pour le TPAC, il existe plusieurs sessions individuelles au cours desquelles des sujets concernant la Privacy Sandbox sont abordés, par exemple les groupes de travail QUIC (PRIV (Privacy Respecting Incorporation of Values)), PEARG (Privacy Enhancements and Assessments Research Group) et MASQUE (Multiplexed Application Substrate over Encryption). Il s'agit de discussions techniques approfondies sur la conception de protocoles. Si vous disposez de l'expertise appropriée et souhaitez participer à ces discussions, n'hésitez pas à y participer.
Renforcer les limites de confidentialité intersites
Les cookies tiers constituent un mécanisme clé qui permet le suivi intersites. Être en mesure de les supprimer progressivement est une étape majeure, mais nous devons également nous pencher sur d'autres formes de stockage ou de communication intersites.
API Federated Credentials Management
La proposition FedCM (Federated Credentials Management) est le nouveau nom plus explicite de WebID. L'identité fédérée est un service essentiel pour le Web. Toutefois, étant donné qu'elle vise explicitement à partager certains aspects de l'identité avec d'autres sites, certains détails de mise en œuvre chevauchent le suivi intersites.
La proposition Federated Credentials Management explore un éventail d'options, des chemins de migration simples pour les solutions existantes aux méthodes plus privées de connexion aux services avec le strict minimum d'informations partagées.
Cette proposition n'en est qu'à ses débuts. Vous pouvez suivre la discussion au sein du Groupe de la communauté d'identité fédérée du W3C. Le groupe a également organisé une session en petit groupe au cours du TPAC au cours de laquelle nous avons présenté la proposition. Une très première version de prototype de l'API est également disponible derrière un indicateur de Chrome 89, mais elle est uniquement destinée à des fins d'expérimentation et changera au fur et à mesure de la discussion.
Cookies
Au fur et à mesure de l'avancement des propositions liées aux cookies, vous devez auditer vos propres cookies SameSite=None ou intersites et planifier les actions à effectuer sur votre site.
CHIPS
Si vous définissez des cookies qui sont envoyés dans des contextes intersites, mais dans des relations 1:1 (telles que des intégrations iFrame ou des appels d'API), vous devez suivre la proposition CHIPS ou les cookies ayant un état partitionné indépendant. Cela vous permet de marquer les cookies comme "partitionnés" et de les placer dans un boîtier à cookies distinct pour chaque site de premier niveau.
Le travail progresse sur CHIPS. Bien que cette fonctionnalité soit disponible derrière chrome://flags/#partitioned-cookies et l'option CLI --partitioned-cookies, elle n'est pas encore entièrement testable. Nous vous fournirons des informations à jour concernant les tests et le débogage une fois l'implémentation terminée.
Ensembles internes
Si vous définissez des cookies pour des contextes intersites, mais uniquement sur des sites dont vous êtes le propriétaire (par exemple, si vous hébergez sur votre domaine .com un service qui est utilisé par votre domaine .co.uk), vous devez suivre les ensembles internes. Cette proposition définit une façon de déclarer les sites que vous souhaitez former, puis de marquer les cookies comme "SameParty" afin qu'ils ne soient envoyés que pour des contextes situés à l'intérieur de cet ensemble.
Les ensembles internes sont disponibles pour les tests des développeurs locaux avec les indicateurs chrome://flags/#use-first-party-set et chrome://flags/#sameparty-cookies-considered-first-party. Ils vous permettent de spécifier votre propre ensemble de sites associés et de tester le comportement des cookies sur ces sites.
Storage Partitioning
La plate-forme Web inclut d'autres formes de stockage pouvant permettre le suivi intersite. La session en petit groupe du TPAC sur l'état du partitionnement du stockage du navigateur offre un aperçu de la progression de Chrome ainsi que des discussions avec d'autres fournisseurs de navigateurs.
Aucune action n'est requise de la part du développeur. Toutefois, si vous utilisez SharedWorker, Web Storage, IndexedDB, CacheStorage, une ou plusieurs API FileSystem, BroadcastChannel, l'API Web Locks, Storage Buckets ou une autre forme d'API de stockage ou de communication permettant d'accéder à ces données sur plusieurs sites, vous devez suivre ce sujet pour les prochaines mises à jour.
Empêcher le suivi dissimulé
À mesure que nous réduisons le nombre d'options de suivi intersites explicite, nous devons également corriger les zones de la plate-forme Web qui divulguent des informations d'identification permettant le fingerprinting ou le suivi dissimulé des utilisateurs.
Réduction de chaîne user-agent et indicateurs client user-agent
Nous avons étendu la phase d'évaluation pour tester le format user-agent réduit de Chrome afin d'inclure les éléments intégrés tiers. Si vous fournissez principalement du contenu intersite pour d'autres services, vous pouvez activer l'option tierce lorsque vous vous inscrivez à la phase d'évaluation pour recevoir le format réduit dans les requêtes adressées à vos ressources.
Vous pouvez suivre le calendrier complet de réduction du user-agent de Chrome, avec d'autres exemples et détails des phases de déploiement. Vous devez également migrer vers les indicateurs client User-Agent (UA-CH) si vous utilisez des informations sur la version de la plate-forme, l'appareil ou la version de compilation complète au format User-Agent actuel.
Nous continuons à standardiser les noms existants pour les indicateurs client en ajoutant le préfixe d'en-tête Sec-CH- lorsqu'il est manquant. En attente d'approbation, nous espérons élargir la plage de caractères GREASE pour UA-CH.
Afficher des annonces et des contenus pertinents
Alors que nous nous dirigeons vers l'abandon progressif des cookies tiers, nous devons introduire des API qui permettent les cas d'utilisation qui en dépendent, mais sans permettre le suivi intersites.
FLoC (Federated Learning of Cohorts)
FLoC est une proposition qui permet d'activer la publicité ciblée par centres d'intérêt sans avoir besoin d'effectuer un suivi intersites individuel. Nous avons examiné les commentaires de la précédente phase d'évaluation de FLoC avant de passer à d'autres tests dans l'écosystème. Pendant que nous continuons à travailler sur les prochaines étapes et décisions concernant FLoC, vous devriez voir du code exploratoire autour du concept de thèmes (précédemment référencé) qui s'affichera bientôt dans le code base de Chromium. Comme tout le développement de Chrome s'effectue à l'ouverture, ce travail est visible, mais il n'y a rien de immédiatement exploitable pour les tests des développeurs (cela ne s'applique pas non plus aux utilisateurs). Nous espérons continuer à partager ces discussions et informations avec le nouveau PATCG (Private Advertising Technology Community Group).
Mesurer les annonces numériques
Pour pouvoir diffuser des annonces sans suivi intersites, nous avons besoin de mécanismes de protection de la confidentialité pour mesurer leur efficacité.
API Attribution Reporting
L'API Attribution Reporting vous permet de mesurer les événements sur un site (clic sur une annonce, affichage d'une annonce, etc.) qui entraînent une conversion sur un autre site, sans avoir à activer le suivi intersites.
Nous souhaitons continuer à tester l'API Attribution Reporting et nous prévoyons de prolonger la phase d'évaluation jusqu'à Chrome 97. Les jetons d'évaluation actuels ont expiré le 12 octobre. Vous devez donc demander des jetons mis à jour pour continuer les tests.
Lutter contre le spam et la fraude sur le Web
L'autre difficulté, à mesure que nous réduisons les surfaces disponibles pour le suivi intersites, est que ces mêmes techniques de fingerprinting sont souvent utilisées pour la protection contre le spam et la fraude. Nous avons également besoin d'alternatives protégeant la confidentialité.
Jetons de confiance
L'API Trust Token est une proposition qui permet à un site de partager une affirmation concernant un visiteur (par exemple, "Je pense qu'il est humain") et d'autoriser d'autres sites à vérifier cette déclaration, encore une fois sans identifier l'individu.
Les jetons de confiance font partie d'une stratégie globale de lutte contre le spam et la fraude sur le Web. Lors de l'édition "Lutte contre la fraude pour le Web" du TPAC, des représentants de l'écosystème ont discuté de certains des défis et approches actuels.
Commentaires
Alors que nous continuons à publier ces mises à jour mensuelles et à progresser dans l'ensemble de la Privacy Sandbox, nous voulons nous assurer que vous, en tant que développeur, vous recevez les informations et l'assistance dont vous avez besoin. N'hésitez pas à nous contacter sur @ChromiumDev Twitter si vous souhaitez apporter des améliorations à cette série. Vos réponses nous permettront de continuer à améliorer le format.
Nous avons également ajouté des questions fréquentes sur la Privacy Sandbox que nous continuerons à développer en fonction des problèmes que vous envoyez dans le dépôt d'assistance pour les développeurs. Si vous avez des questions concernant les tests ou la mise en œuvre de l'une des propositions, n'hésitez pas à nous contacter.