प्राइवसी सैंडबॉक्स में हुई प्रोग्रेस (अक्टूबर 2021)

प्राइवसी सैंडबॉक्स में, 'प्रोग्रेस के अक्टूबर एडिशन' में आपका स्वागत है. यहां, Chrome में तीसरे पक्ष की कुकी का इस्तेमाल बंद करने और ज़्यादा निजी वेब को उपलब्ध कराने की दिशा में अहम कदम उठाए गए हैं. हम हर महीने प्राइवसी सैंडबॉक्स की टाइमलाइन में हुए अपडेट की खास जानकारी शेयर करेंगे. साथ ही, प्रोजेक्ट से जुड़ी खबरें भी शेयर करेंगे.

इवेंट

Chrome डेवलपर सम्मेलन का एजेंडा अब लाइव है. 3 नवंबर से वर्चुअल तौर पर शामिल हों

3 नवंबर से हम Chrome डेवलपर सममिट को होस्ट करेंगे. आपको प्राइवसी सैंडबॉक्स के बारे में अहम जानकारी मिलेगी. साथ ही, एएमए की लीडरशिप टीम से सवाल पूछने का मौका मिलेगा. साथ ही, ऑफ़िस में कामकाज के घंटों में इंजीनियरिंग टीमों से सवाल पूछे जाएंगे. आज ही साइन अप करें. हमें उम्मीद है कि हम आपको वहां मिलेंगे!

इस महीने में W3C की सालाना कॉन्फ़्रेंस भी शामिल हुई. आम तौर पर, इसे TPAC के नाम से जाना जाता है. इसमें W3C के अलग-अलग ग्रुप, पूरे वेब पर अलग-अलग विषयों पर चर्चा करने के लिए मिलते हैं. ब्रेकआउट सेशन के मिनट और वीडियो देखे जा सकते हैं. साथ ही, यहां प्राइवसी सैंडबॉक्स से जुड़े विषयों के बारे में भी बताया गया है.

कॉन्फ़्रेंस सीज़न को जारी रखते हुए, आईईटीएफ़ (इंटरनेट इंजीनियरिंग टास्क फ़ोर्स) नियमित तौर पर 112 ऑनलाइन तकनीकी स्तर पर काम करने वाले कार्यक्रम होस्ट कर रही है. TPAC की तरह, ऐसे कई अलग-अलग सेशन हैं जिनमें प्राइवसी सैंडबॉक्स के विषयों पर चर्चा की जाती है. जैसे, PRIV (प्राइवसी रिस्पेक्टिंग ऑफ़ वैल्यूज़), PEARG (प्राइवसी बेहतर बनाने और आकलन करने का रिसर्च ग्रुप), और MASQUE (QUIC एन्क्रिप्ट करने के ग्रुप पर मल्टीप्लेक्स ऐप्लिकेशन सबस्ट्रेट). यहां प्रोटोकॉल डिज़ाइन पर गहराई से तकनीकी चर्चाएं की गई हैं. अगर आपके पास इन चर्चाओं में काम करने की सही विशेषज्ञता और दिलचस्पी है, तो कृपया इसमें शामिल होने के बारे में सोचें.

क्रॉस-साइट की निजता की सीमाओं को मज़बूत बनाएं

तीसरे पक्ष की कुकी, क्रॉस-साइट ट्रैकिंग को चालू करने का मुख्य तरीका है. इन्हें धीरे-धीरे बंद करना एक बड़ी उपलब्धि है. हालांकि, हमें क्रॉस-साइट स्टोरेज या कम्यूनिकेशन के अन्य तरीकों से भी निपटना होगा.

फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई

फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट (FedCM) प्रस्ताव, WebID के लिए एक नया और ज़्यादा काम का नाम है. फ़ेडरेटेड आइडेंटिटी, वेब के लिए एक अहम सेवा है. हालांकि, दूसरी साइटों के साथ पहचान शेयर करने से जुड़ी खास जानकारी देने के लिए, क्रॉस-साइट ट्रैकिंग को भी बेहतर बनाया जा सकता है.

फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट प्रपोज़ल, मौजूदा समाधानों के लिए आसान माइग्रेशन पाथ से लेकर कम से कम जानकारी शेयर की गई सेवाओं से कनेक्ट करने के ज़्यादा निजी तरीकों के विकल्पों को एक्सप्लोर करता है.

इस प्रस्ताव पर अभी काम चल रहा है. W3C के फ़ेडरेटेड आइडेंटिटी कम्यूनिटी ग्रुप में इस पर चर्चा की जा सकती है. इस ग्रुप ने TPAC में ब्रेकआउट सेशन भी होस्ट किया. इसमें प्रस्ताव से जुड़ी खास जानकारी को एक्सप्लोर किया गया. Chrome 89 के फ़्लैग के पीछे एपीआई का बहुत शुरुआती प्रोटोटाइप वर्शन भी उपलब्ध है, लेकिन यह पूरी तरह से प्रयोग के लिए है. यह चर्चा के आगे बढ़ने के साथ-साथ बदल भी सकती है.

कुकी

कुकी से जुड़े प्रपोज़ल की प्रोग्रेस के साथ, आपको अपनी SameSite=None या क्रॉस-साइट कुकी का ऑडिट करना होगा और उस कार्रवाई की योजना बनानी होगी जिसकी ज़रूरत आपको अपनी साइट पर है.

सीएचआईपीएस

अगर आपने ऐसी कुकी सेट की हैं जो क्रॉस-साइट कॉन्टेक्स्ट में भेजी गई हैं, लेकिन 1:1 रिलेशनशिप में भेजी गई हैं, जैसे कि iframe एम्बेड या एपीआई कॉल, तो आपको सीएचआईपीएस प्रस्ताव या कुकी के लिए, इंडिपेंडेंट तौर पर बांटी गई स्थिति का पालन करना चाहिए. इससे आपको कुकी को "सेगमेंट में बांटी गई" के तौर पर मार्क करने की सुविधा मिलती है, ताकि उन्हें हर टॉप-लेवल साइट के लिए अलग-अलग कुकी जार में रखा जा सके.

सीएचआईपीएस पर काम चल रहा है. फ़िलहाल, यह सुविधा chrome://flags/#partitioned-cookies और --partitioned-cookies सीएलआई फ़्लैग के तहत उपलब्ध है. हालांकि, इसे अभी पूरी तरह से टेस्ट नहीं किया जा सकता. लागू होने के बाद, हम अपडेट की गई टेस्टिंग और डीबगिंग की जानकारी देंगे.

टॉप लेवल साइट, Green.com में Red.com. Red.com के लिए एक iframe है. यह 'Partitioned' एट्रिब्यूट के साथ, कुकी सेट करता है. अगर ब्राउज़र iframe के साथ blue.com पर है, तो कोई कुकी नहीं भेजी जाती! CHIPS हर टॉप-लेवल साइट के लिए एक बंटवारा बनाता है.

पहले पक्ष के सेट

अगर आपने अलग-अलग साइटों के लिए कुकी सेट की हैं, लेकिन सिर्फ़ अपने मालिकाना हक वाली साइटों के लिए, जैसे कि आपने .com पर ऐसी सेवा होस्ट की है जिसका इस्तेमाल .co.uk करता है, तो आपको पहले पक्ष के सेट का पालन करना चाहिए. इस प्रस्ताव में यह तय करने का एक तरीका बताया गया है कि आप किन साइटों का एक सेट बनाना चाहते हैं और फिर कुकी को "SameParty" के रूप में मार्क करना है, ताकि उन्हें सिर्फ़ उस सेट के अंदर संदर्भों के लिए भेजा जाए.

पहले पक्ष के सेट, chrome://flags/#use-first-party-set और chrome://flags/#sameparty-cookies-considered-first-party फ़्लैग के पीछे स्थानीय डेवलपर टेस्टिंग के लिए उपलब्ध होते हैं. इससे आपको मिलती-जुलती साइटों का अपना सेट तय करने और उनमें कुकी के व्यवहार की जांच करने की सुविधा मिलती है.

स्टोरेज के पार्टीशन करना

वेब प्लैटफ़ॉर्म में स्टोरेज के ऐसे दूसरे तरीके शामिल होते हैं जिनसे क्रॉस-साइट ट्रैकिंग चालू हो सकती है. ब्राउज़र के स्टोरेज के पार्टीशन की स्थिति पर बने TPAC ब्रेकआउट सेशन में, Chrome की प्रोग्रेस के बारे में खास जानकारी मिलती है. साथ ही, अन्य ब्राउज़र वेंडर की बातचीत की जानकारी भी मिलती है.

डेवलपर की ओर से कार्रवाई करने की तुरंत कोई ज़रूरत नहीं है, लेकिन अगर SharedWorker, Web Storage, IndexedDB, कैशStorage, FileSystem API(s), BroadcastChannel, Web Locks API, स्टोरेज बकेट या अन्य तरह के स्टोरेज या कम्यूनिकेशन एपीआई का इस्तेमाल किया जाता है, जहां आपको कई साइटों से उस डेटा को ऐक्सेस करना होता है तो आपको आने वाले अपडेट के लिए इस विषय को ट्रैक करना चाहिए.

छिपे हुए ट्रैकिंग को रोकना

जैसे-जैसे हम क्रॉस-साइट ट्रैकिंग के विकल्पों को कम कर रहे हैं, वैसे-वैसे वेब प्लैटफ़ॉर्म के उन हिस्सों पर भी ध्यान देना होगा जहां ऐसी जानकारी सार्वजनिक होती है जिससे उपयोगकर्ताओं को फ़िंगरप्रिंटिंग या छिपकर ट्रैक करने की सुविधा मिलती है.

उपयोगकर्ता-एजेंट स्ट्रिंग को कम करना और उपयोगकर्ता-एजेंट क्लाइंट हिंट

हमने Chrome के कम किए गए उपयोगकर्ता-एजेंट फ़ॉर्मैट की टेस्टिंग के लिए, ऑरिजिन ट्रायल की सुविधा शुरू की है. इससे तीसरे पक्ष के एम्बेड को शामिल करने के लिए, ऑरिजिन ट्रायल लागू किए गए हैं. अगर आपने मुख्य रूप से दूसरी सेवाओं के लिए क्रॉस-साइट कॉन्टेंट उपलब्ध कराया है, तो ऑरिजिन ट्रायल के लिए रजिस्टर करते समय तीसरे पक्ष को विकल्प चालू किया जा सकता है. इससे, आपके संसाधनों के अनुरोधों पर कम किए गए फ़ॉर्मैट का इस्तेमाल किया जा सकेगा.

Chrome के उपयोगकर्ता-एजेंट को कम करने के लिए, टाइमलाइन को आगे के उदाहरणों और रोल आउट के चरणों की जानकारी के साथ ट्रैक किया जा सकता है. अगर आपको मौजूदा User-Agent फ़ॉर्मैट में, प्लैटफ़ॉर्म वर्शन, डिवाइस या बिल्ड के फ़ुल वर्शन की जानकारी का इस्तेमाल करना है, तो आपको User-Agent Client Hints पर माइग्रेट करें (UA-CH) चाहिए.

हम 'क्लाइंट हिंट' के मौजूदा नामों को मानक बनाने का काम जारी रखेंगे. इसके लिए, जहां भी कोई Sec-CH- हेडर प्रीफ़िक्स मौजूद नहीं होगा वहां इसे जोड़ा जा रहा है. मंज़ूरी मिलना बाकी है. हमें उम्मीद है कि UA-CH के लिए, GREASE वर्णों की सीमा बढ़ाई जाएगी.

काम का कॉन्टेंट और विज्ञापन दिखाएं

हम तीसरे पक्ष की कुकी का इस्तेमाल बंद करने की दिशा में काम कर रहे हैं. इसलिए, हमें ऐसे एपीआई लॉन्च करने होंगे जो क्रॉस-साइट ट्रैकिंग की अनुमति दिए बिना भी, इस्तेमाल के उदाहरणों की अनुमति दें.

FLoC

FLoC एक ऐसा प्रस्ताव है, जिसके ज़रिए अलग-अलग क्रॉस-साइट ट्रैकिंग की ज़रूरत के बिना, दिलचस्पी के हिसाब से विज्ञापन दिखाए जा सकते हैं. हम नेटवर्क टेस्टिंग की प्रक्रिया को बेहतर बनाने से पहले, FLoC को शुरू करने से पहले मिले ट्रायल के दौरान मिले सुझाव, शिकायत या राय का मूल्यांकन करते रहे हैं. हम FLoC को बेहतर बनाने के लिए लगातार काम कर रहे हैं. हालांकि, आपको विषयों के कॉन्सेप्ट से जुड़े कुछ एक्सप्लोरेट्री कोड (पहले बताए गए) दिखेंगे, ताकि यह जल्द ही Chromium कोड बेस में दिखे. Chrome की पूरी जानकारी ओपन में होती है, लेकिन डेवलपर को तुरंत इसके बारे में कुछ नहीं दिखेगा (न ही यह उपयोगकर्ताओं पर लागू होता है). हम उम्मीद करते हैं कि नए PATCG (प्राइवेट ऐडवर्टाइज़िंग टेक्नोलॉजी कम्यूनिटी ग्रुप) में, ये चर्चा और अपडेट शेयर करना जारी रखा जाएगा.

डिजिटल विज्ञापनों की परफ़ॉर्मेंस मेज़र करना

क्रॉस-साइट ट्रैकिंग के बिना विज्ञापन दिखाने के साथी के तौर पर, हमें निजता बनाए रखने के तरीकों की ज़रूरत है, ताकि यह मापा जा सके कि ऐसे विज्ञापन कितने असरदार हैं.

Attribution Reporting API

Attribution Reporting API की मदद से, आपको किसी एक साइट पर होने वाले इवेंट को रिकॉर्ड करने की सुविधा मिलती है. जैसे, किसी विज्ञापन पर क्लिक करना या उसे देखना, जिससे किसी दूसरी साइट पर कन्वर्ज़न हुआ. इसके लिए, आपको क्रॉस-साइट ट्रैकिंग की सुविधा चालू करने की ज़रूरत नहीं है.

हम Attribution Reporting API की जांच जारी रखना चाहते हैं और हम चाहते हैं कि ऑरिजिन ट्रायल को Chrome 97 तक के लिए Chrome 97 तक बढ़ाया जाए. मौजूदा ऑरिजिन ट्रायल टोकन की समयसीमा 12 अक्टूबर को खत्म हो गई है. इसलिए, आपको टेस्ट जारी रखने के लिए, अपडेट किए गए टोकन के लिए आवेदन करना होगा.

वेब पर स्पैम और धोखाधड़ी को रोकना

क्रॉस-साइट ट्रैकिंग के लिए उपलब्ध प्लैटफ़ॉर्म को कम करने वाली दूसरी चुनौती यह है कि फ़िंगरप्रिंट की सुविधा इस्तेमाल करने की इन तकनीकों का इस्तेमाल, अक्सर स्पैम और धोखाधड़ी से सुरक्षा के लिए किया जाता है. हमें यहां भी निजता बनाए रखने के अन्य विकल्पों की ज़रूरत है.

ट्रस्ट टोकन

Trust Token एपीआई एक ऐसा प्रस्ताव है जिसकी मदद से एक साइट, वेबसाइट पर आने वाले लोगों के बारे में दावा शेयर कर सकती है, जैसे कि "मुझे लगता है कि वे इंसान हैं". साथ ही, यह दूसरी साइटों को व्यक्ति की पहचान किए बिना, इस दावे की पुष्टि करने की अनुमति देता है.

ट्रस्ट टोकन, वेब पर स्पैम और धोखाधड़ी से निपटने की रणनीति का एक अहम हिस्सा हैं. TPAC के ब्रेकआउट सेशन में, पूरे नेटवर्क के प्रतिनिधियों ने मौजूदा चुनौतियों और तरीकों के बारे में चर्चा की.

सुझाव/राय दें या शिकायत करें

हम प्राइवसी सैंडबॉक्स के ज़रिए, हर महीने होने वाले इन अपडेट और प्रोग्रेस को लगातार पब्लिश कर रहे हैं. साथ ही, हम यह पक्का करना चाहते हैं कि डेवलपर के तौर पर आपको ज़रूरी जानकारी और सहायता मिलती रहे. अगर इस सीरीज़ में कुछ ऐसा करना है जिसे हम बेहतर बना सकते हैं, तो हमें @ChromiumDev Twitter पर बताएं. हम फ़ॉर्मैट को बेहतर बनाने के लिए आपकी जानकारी का इस्तेमाल करेंगे.

हमने प्राइवसी सैंडबॉक्स के बारे में अक्सर पूछे जाने वाले सवाल भी जोड़े हैं. हम इन्हें डेवलपर सहायता रेपो में सबमिट की गई समस्याओं के आधार पर आगे बढ़ाते रहेंगे. अगर किसी भी प्रस्ताव की जांच करने या उसे लागू करने को लेकर आपका कोई सवाल है, तो हमसे संपर्क करें.