개인 정보 보호 샌드박스 Progress의 10월 버전에 오신 것을 환영합니다. Chrome에서 서드 파티 쿠키의 단계적 지원 중단과 개인 정보 보호가 강화된 웹을 향해 나아가는 과정의 주요 기록을 살펴보세요. 매월 개인 정보 보호 샌드박스 타임라인 업데이트의 개요와 프로젝트 전반의 소식을 공유합니다.
이벤트
11월 3일에 Chrome 개발자 서밋이 열립니다. 기조연설에서 개인 정보 보호 샌드박스에 관한 최신 소식을 확인할 수 있으며, AMA의 경영진에 질문할 수 있으며, 상담 시간에는 엔지니어링팀과 함께 자세한 내용을 질문할 수 있습니다. 지금 신청하세요. 이벤트에서 뵙기를 기대하겠습니다.
이번 달에는 W3C의 연례 컨퍼런스 (일반적으로 TPAC라고 함)가 포함되었으며, W3C의 다양한 그룹이 모여 웹 전반에서 다양한 주제에 대해 논의했습니다. 소그룹 세션 시간 및 동영상과 개인 정보 보호 샌드박스 관련 주제가 포함된 특정 세션을 아래에서 확인할 수 있습니다.
이어지는 콘퍼런스 시즌에 IETF (Internet Engineering Task Force)에서 정기 112 온라인 기술 총회를 개최합니다. TPAC와 마찬가지로 PRIV (Privacy Respecting Incorporation of Values), PEARG (Privacy Enhancements and Assessments Research Group) 및 MASQUE(Multiplexed Application Substrate over QUIC Encryption) 작업 그룹과 같이 개인 정보 보호 샌드박스 주제를 논의하는 여러 개별 세션이 있습니다. 프로토콜 설계에 관한 심층적인 기술적 논의입니다. 적절한 전문 지식과 이러한 논의에 기여하는 데 관심이 있다면 참여하는 것을 고려해 보세요.
크로스 사이트 개인 정보 보호 경계 강화
서드 파티 쿠키는 크로스 사이트 추적을 가능하게 하는 핵심 메커니즘입니다. 이를 단계적으로 중단할 수 있는 것은 중대한 이정표이지만, 다른 형태의 교차 사이트 저장 또는 통신도 해결해야 합니다.
Federated Credentials Management API
제휴 사용자 인증 정보 관리 (FedCM) 제안은 더 의미 있는 새로운 WebID 이름입니다. 제휴 ID는 웹에서 중요한 서비스이지만, ID의 측면을 다른 사이트와 공유하는 것이 명백하므로 크로스 사이트 추적과 중복되는 구현 세부정보가 있습니다.
제휴 사용자 인증 정보 관리 제안서에서는 기존 솔루션의 간단한 이전 경로부터 최소한의 정보를 공유하는 보다 비공개적인 서비스 연결 방법에 이르기까지 다양한 옵션을 살펴봅니다.
이 제안서는 아직 초기 단계이며 W3C 제휴 ID 커뮤니티 그룹에서 논의할 수 있습니다. 또한 TPAC에서 소그룹 세션 세션을 열어 제안서 개요를 살펴보았습니다. Chrome 89의 플래그 뒤에는 사용할 수 있는 초기 API 프로토타입 버전도 있지만 이는 순전히 실험용이며 토론이 진행됨에 따라 변경됩니다.
쿠키
쿠키 관련 제안이 진행됨에 따라 자체 SameSite=None 또는 크로스 사이트 쿠키를 감사하고 사이트에서 실행해야 하는 작업을 계획해야 합니다.
칩
교차 사이트 컨텍스트에서 전송되지만 iframe 삽입이나 API 호출과 같이 1:1 관계로 전송되는 쿠키를 설정하는 경우 CHIPS 제안 또는 Cookies Having Independent Partitioned State를 따라야 합니다. 이렇게 하면 쿠키를 '파티션을 나눈'으로 표시할 수 있으며, 최상위 사이트별로 별도의 쿠키 jar에 넣을 수 있습니다.
CHIPS에서 작업이 진행 중이며 chrome://flags/#partitioned-cookies 및 --partitioned-cookies CLI 플래그로 이 기능을 사용할 수 있지만 아직 완전히 테스트할 수 있는 상태는 아닙니다. 구현이 좀 더 완료되면 업데이트된 테스트 및 디버깅 세부정보를 제공할 예정입니다.
퍼스트 파티 세트
크로스 사이트 컨텍스트에 대해 쿠키를 설정하되 내가 소유한 사이트에만 설정하는 경우(예: .co .uk에서 사용하는.com에서 서비스를 호스팅하는 경우) 퍼스트 파티 세트를 따라야 합니다. 이 제안서는 세트를 구성할 사이트를 선언한 다음 쿠키를 'SameParty'로 표시해 해당 집합 내의 컨텍스트에 관해서만 전송되도록 하는 방법을 정의합니다.
퍼스트 파티 세트는 chrome://flags/#use-first-party-set 및 chrome://flags/#sameparty-cookies-considered-first-party 플래그 뒤에서 로컬 개발자 테스트에 사용할 수 있으므로 자체 관련 사이트 세트를 지정하고 이러한 사이트 간의 쿠키 동작을 실험할 수 있습니다.
저장용량 파티셔닝
웹 플랫폼에는 크로스 사이트 추적을 사용할 수 있는 다른 형태의 저장소가 포함되어 있습니다. 브라우저 저장용량 파티셔닝 상태에 관한 TPAC 소그룹 세션에서는 Chrome의 진행 상황에 관한 개요와 다른 브라우저 공급업체의 토론을 제공합니다.
개발자가 당장 조치를 취할 필요는 없지만 SharedWorker, 웹 스토리지, IndexedDB, CacheStorage, FileSystem API, BroadcastChannel, Web Locks API, Storage Buckets 또는 여러 사이트에서 해당 데이터에 액세스해야 하는 다른 형태의 저장소 또는 통신 API를 사용하는 경우 이 주제를 추적하여 향후 업데이트를 추적해야 합니다.
은밀한 추적 방지
명시적인 크로스 사이트 추적 옵션이 줄어들면서 사용자 디지털 지문 수집 또는 은밀한 사용자 추적을 가능하게 하는 식별 정보를 노출하는 웹 플랫폼의 영역도 해결해야 합니다.
사용자 에이전트 문자열 축소 및 사용자 에이전트 클라이언트 힌트
서드 파티 삽입을 포함하도록 Chrome의 축소된 User-Agent 형식을 테스트하기 위해 오리진 트라이얼을 확장했습니다. 다른 서비스에 주로 크로스 사이트 콘텐츠를 제공하는 경우 오리진 트라이얼에 등록할 때 서드 파티 옵션을 사용 설정하여 리소스 요청 시 축소된 형식을 받을 수 있습니다.
출시 단계의 추가 예와 세부정보와 함께 Chrome의 사용자 에이전트를 줄이는 일정의 전체 일정을 추적할 수 있습니다. 현재 User-Agent 형식의 플랫폼 버전, 기기 또는 전체 빌드 버전 정보를 사용하는 경우 User-Agent Client Hints로 이전 (UA-CH)도 해야 합니다.
누락된 Sec-CH- 헤더 접두사를 추가하여 계속해서 클라이언트 힌트의 기존 이름을 표준화하고 있습니다. 승인 대기 중이며 UA-CH의 GREASE 문자 범위를 확장하고자 합니다.
관련성 높은 콘텐츠와 광고 표시
서드 파티 쿠키의 단계적 지원 중단으로 나아가면서 크로스 사이트 추적은 허용하지 않지만 서드 파티 쿠키에 의존하는 사용 사례를 허용하는 API를 도입해야 합니다.
FLoC : 동질 집단 제휴 학습(FLoC)
FLoC는 개별 크로스 사이트 추적 없이 관심 기반 광고를 사용 설정하기 위한 제안입니다. Google은 추가 생태계 테스트를 진행하기 전에 FLoC의 초기 오리진 트라이얼에서 얻은 의견을 평가했습니다. Google은 FLoC에 관한 다음 단계와 결정을 계속 진행하는 동안 주제 개념 (이전에 참조)과 관련된 몇 가지 탐색적 코드를 곧 Chromium 코드베이스에 표시해야 합니다. Chrome의 모든 개발이 공개 상태에서 이루어지므로 이 작업은 표시되지만 개발자 테스트를 위해 즉시 실행할 수 있는 것은 없습니다 (사용자에게도 적용되지 않음). 새로운 PATCG (Private Advertising Technology Community Group)에서 이러한 토론과 업데이트를 계속 공유할 수 있기를 바랍니다.
디지털 광고 측정
크로스 사이트 추적 없이 광고를 표시할 때는 이러한 광고의 효과를 측정하기 위한 개인 정보 보호 메커니즘이 필요합니다.
Attribution Reporting API
Attribution Reporting API를 사용하면 크로스 사이트 추적을 사용 설정하지 않고도 한 사이트에서 발생하는 이벤트(예: 광고 클릭 또는 조회)를 측정할 수 있습니다.
Google은 Attribution Reporting API를 계속 테스트할 계획이며 Chrome 97로 오리진 트라이얼을 연장할 계획입니다. 현재 오리진 트라이얼 토큰은 10월 12일에 만료되었으므로 테스트를 계속하려면 업데이트된 토큰을 신청해야 합니다.
웹상의 스팸 및 사기 퇴치
크로스 사이트 추적에 사용할 수 있는 노출 영역을 줄이는 또 다른 문제는 동일한 디지털 지문 수집 기법이 스팸 및 사기 방지에도 자주 사용된다는 점입니다. 여기서도 개인 정보를 보호하는 대안이 필요합니다.
신뢰 토큰
Trust Token API는 한 사이트에서 방문자에 대한 주장(예: '사람이라고 생각함')을 공유하고 다른 사이트에서 개인을 식별하지 않고 이 주장을 다시 인증하도록 허용하는 제안서입니다.
신뢰 토큰은 웹에서 스팸 및 사기를 처리하기 위한 전반적인 전략의 일부입니다. TPAC의 '사기 방지' 브레이크아웃에서는 생태계 전반의 담당자들이 현재의 몇 가지 과제와 접근 방식에 대해 논의했습니다.
의견
Google은 개인 정보 보호 샌드박스를 통해 월간 업데이트와 진행 상황을 지속적으로 게시하면서 개발자에게 필요한 정보와 지원을 제공하고자 합니다. 이 시리즈에서 개선해야 할 점이 있다면 @ChromiumDev Twitter를 통해 알려주시기 바랍니다. 보내주신 의견은 형식을 지속적으로 개선하는 데 활용됩니다.
개인 정보 보호 샌드박스 FAQ도 추가되었으며 개발자 지원 저장소에 제출한 문제를 기반으로 계속 확장될 예정입니다. 제안서의 테스트 또는 구현과 관련해 궁금한 점이 있으면 Google에 문의하세요.