Witamy w październikowej edycji programu Postęp w Piaskownicy prywatności, w którym przedstawiamy etapy wycofywania plików cookie innych firm w Chrome i pracując nad zwiększaniem prywatności w internecie. Co miesiąc będziemy udostępniać podsumowanie aktualizacji harmonogramu Piaskownicy prywatności, a także wiadomości dotyczące całego projektu.
Wydarzenia
3 listopada odbędzie się Summit dla programistów Chrome. Podczas prezentacji uzyskasz nowe informacje na temat Piaskownicy prywatności, będziesz mieć możliwość zadawania pytań członkom kadry kierowniczej w AMA oraz czasu na bardziej szczegółowe pytania z zespołami inżynierów podczas konsultacji. Zarejestruj się już dziś. Do zobaczenia!
W tym miesiącu odbyła się również doroczna konferencja organizacji W3C (powszechnie znana jako TPAC), podczas której różne grupy z W3C omawiały różne tematy w całej sieci. Poniżej znajdziesz minuty i filmy dotyczące sesji w podgrupach. Poniżej znajdziesz też konkretne sesje, w tym tematy z Piaskownicy prywatności.
Do kontynuowania sezonu konferencyjnego IETF (Internet Engineering Task Force) organizuje swoje regularne 112 sesje plenerowych online. Podobnie jak w przypadku TPAC omawiane są tu różne tematy związane z Piaskownicą prywatności – na przykład grupy robocze PRIV (Privacy Respecting Incorporation of Values), PEARG (Privacy Ulepszenia i oceny Research Group) i MASQUE (Multiplexed Application Substrate over QUIC). To szczegółowe dyskusje techniczne na temat projektowania protokołów. Jeśli masz odpowiednią wiedzę i chcesz wziąć udział w tych dyskusjach, zapraszamy do udziału.
Wzmacnianie granic prywatności w witrynach
Pliki cookie innych firm to kluczowy mechanizm, który umożliwia śledzenie w witrynach. Możliwość ich wycofywania to ważny krok milowy, ale musimy też sprostać innym formom przechowywania danych lub komunikacji w różnych witrynach.
Interfejs API zarządzania sfederowanymi danymi logowania
Oferta pakietowa Federated Credentials Management (FedCM) to nowa, bardziej czytelna nazwa identyfikatora WebID. Tożsamość sfederowana ma kluczowe znaczenie w przypadku internetu, ale ze względu na to, że wyraźnie dotyczy ona udostępniania różnych aspektów tożsamości innym witrynom, podane są szczegóły implementacji, które pokrywają się ze śledzeniem w wielu witrynach.
Propozycja sfederowanego zarządzania danymi uwierzytelniającymi obejmuje szereg opcji – od prostych ścieżek migracji istniejących rozwiązań po bardziej prywatne metody łączenia się z usługami przy minimalnym udostępnianiu informacji.
Propozycja jest nadal na wczesnym etapie rozwoju. Możesz ją omówić w grupie sfederowanej tożsamości W3C. Grupa zorganizowała też podgrupę sesjęw TPAC, podczas której omówiono naszą ofertę. Istnieje również bardzo wczesna wersja prototypu interfejsu API dostępna za flagą Chrome 89, ale służy ona wyłącznie do eksperymentowania i będzie zmieniać się w miarę postępu dyskusji.
Ciastka
W miarę postępów w przygotowaniu ofert dotyczących plików cookie warto sprawdzać własne pliki cookie SameSite=None lub pliki cookie pochodzące z innych witryn i planować działania, jakie trzeba podjąć w witrynie.
ELEMENTY
Jeśli ustawiasz pliki cookie, które są wysyłane w kontekstach z innych witryn, ale w relacjach 1:1, np. w elementach iframe lub wywołaniach interfejsu API, postępuj zgodnie z propozycją CHIPS lub zasadami dotyczącymi plików cookie o niezależnym stanie partycjonowania. Dzięki temu możesz oznaczyć pliki cookie jako „partycjonowane” i umieścić je w osobnym słoiku plików cookie dla każdej witryny najwyższego poziomu.
Pracujemy nad CHIPS. Ta funkcja jest dostępna w interfejsie chrome://flags/#partitioned-cookies i flagie interfejsu wiersza poleceń --partitioned-cookies, ale nie jest jeszcze w pełni testowalna. Po zakończeniu wdrażania udostępnimy aktualne informacje na temat testów i debugowania.
Zestawy źródeł własnych
Jeśli ustawisz pliki cookie przeznaczone do użycia w różnych witrynach, ale tylko w swoich witrynach – na przykład hostujesz w domenie .com usługę używaną przez domenę .co.uk – musisz zastosować się do zestawów źródeł własnych. Ta propozycja definiuje sposób deklarowania, które witryny mają utworzyć zestaw, a następnie oznaczania plików cookie jako „SameParty”, tak aby były one wysyłane tylko w kontekstach wewnątrz tego zestawu.
Zestawy źródeł własnych są dostępne do lokalnego testowania przez programistów, które kryją się za flagami chrome://flags/#use-first-party-set i chrome://flags/#sameparty-cookies-considered-first-party. Dzięki temu możesz określić własny zestaw powiązanych witryn i eksperymentować z zachowaniem w nich plików cookie.
Partycjonowanie pamięci masowej
Platforma internetowa zawiera też inne sposoby przechowywania danych, które mogą umożliwiać śledzenie w witrynach. Podczas sesji w podgrupach TPAC na temat stanu partycjonowania pamięci przeglądarki omówimy postępy w Chrome oraz dyskusję na temat innych dostawców przeglądarek.
Programista nie musi podejmować żadnych działań, ale jeśli używasz interfejsów API SharedWorker, Web Storage, IndexedDB, CacheStorage, FileSystem API, BroadcastChannel, Web Locks API, zasobników Storage lub innych form przechowywania lub interfejsu API, które wymagają dostępu do tych danych z wielu witryn, warto śledzić ten temat na potrzeby przyszłych aktualizacji.
Zapobieganie ukrytemu śledzeniu
Ponieważ ograniczamy możliwość jednoznacznego śledzenia w witrynach, musimy też zająć się obszarami platformy internetowej, które ujawniają informacje umożliwiające identyfikację umożliwiające pobieranie odcisków cyfrowych lub ukryte śledzenie użytkowników.
Redukcja ciągu znaków klienta użytkownika i wskazówki dotyczące klienta użytkownika
Rozszerzyliśmy wersję próbną origin dotyczącą zredukowanego formatu User-Agent w Chrome o umieszczone treści innych firm. Jeśli dostarczasz treści z innych witryn głównie na potrzeby innych usług, podczas rejestracji w testach origin możesz włączyć opcję innej firmy, aby otrzymywać treści w obniżonym formacie w odpowiedzi na żądania wysyłane do Twoich zasobów.
Możesz śledzić pełny harmonogram redukcji liczby klientów użytkownika Chrome wraz z dalszymi przykładami i szczegółami faz wdrażania. Jeśli polegasz na informacjach o wersji platformy, urządzenia lub pełnej wersji kompilacji w bieżącym formacie User-Agent, musisz też przeprowadzić migrację do wskazówek klienta klienta użytkownika (UA-CH).
Nadal standaryzujemy istniejące nazwy wskazówek dotyczących klienta, dodając prefiks nagłówka Sec-CH- tam, gdzie go brakuje. Oczekując na zatwierdzenie, mamy nadzieję zwiększyć zakres znaków GREASE dla UA-CH.
Wyświetlaj trafne treści i reklamy
Przymierzając się do stopniowego wycofywania plików cookie innych firm, musimy wprowadzić interfejsy API, które pozwalają w zależności od nich, ale nie umożliwiają śledzenia w witrynach.
sfederowane uczenie się kohort : FLoC
FLoC to propozycja włączenia reklam opartych na zainteresowaniach bez konieczności indywidualnego śledzenia w witrynach. Sprawdziliśmy opinie z wcześniejszego testowania origin FLoC, zanim przejdziemy do dalszych testów ekosystemu. Nadal pracujemy nad kolejnymi krokami i decyzjami dotyczącymi FLoC, ale już wkrótce w bazie kodu Chromium pojawi się kod eksploracyjny dotyczący tematów (wspomnianych wcześniej). Programowanie Chrome odbywa się w wersji otwartej, więc ta praca będzie widoczna, ale deweloper nie będzie mógł od razu podjąć żadnych działań (dotyczy to też użytkowników). Mamy nadzieję, że będziemy nadal dzielić się tymi dyskusjami i aktualnymi informacjami w nowej grupie PATCG (Private Advertising Technology Community Group).
Pomiar skuteczności reklam cyfrowych
Wyświetlanie reklam bez śledzenia w witrynach wymaga stosowania mechanizmów chroniących prywatność, które mierzą skuteczność tych reklam.
Interfejs Attribution Reporting API
Interfejs Attribution Reporting API umożliwia pomiar zdarzeń w jednej witrynie, takich jak kliknięcie lub wyświetlenie reklamy, które prowadzą do konwersji w innej witrynie – bez włączania śledzenia w wielu witrynach.
Chcemy nadal testować interfejs Attribution Reporting API i planujemy przedłużyć okres testowania origin tak, aby obejmował on Chrome w wersji 97. Bieżące tokeny próbne origin wygasły 12 października. Aby kontynuować testowanie, należy poprosić o dostęp do zaktualizowanych tokenów.
Zwalczanie spamu i oszustw w internecie
Kolejnym problemem przy ograniczeniu przestrzeni dostępnych do śledzenia w witrynach jest to, że te same techniki odcisków cyfrowych są często stosowane do ochrony przed spamem i oszustwami. Tutaj potrzebujemy też alternatywnych rozwiązań chroniących prywatność.
Tokeny zaufania
Interfejs API Trust Token to usługa, dzięki której jedna witryna może zgłosić twierdzenie dotyczące użytkownika (np. „myślę, że jest człowiekiem”) i umożliwić innym witrynom weryfikację tego twierdzenia bez konieczności identyfikowania konkretnej osoby.
Tokeny zaufania to część ogólnej strategii zwalczania spamu i oszustw w internecie. Podczas sesji na temat przeciwdziałania oszustwom w internecie na konferencji TPAC przedstawiciele całego ekosystemu omówili niektóre bieżące wyzwania i podejścia.
Prześlij opinię
Cały czas publikujemy te comiesięczne aktualizacje i przeprowadzamy postępy w całej Piaskownicy prywatności. Chcemy mieć pewność, że jako deweloper otrzymujecie potrzebne informacje i wsparcie. Jeśli zauważysz, że możemy coś ulepszyć w tej serii, daj nam znać na @ChromiumDev na Twitterze. Dzięki Twoim odpowiedziom będziemy mogli pracować nad ulepszaniem tego formatu.
Dodaliśmy też najczęstsze pytania na temat Piaskownicy prywatności, które będziemy rozwijać w zależności od problemów, które zgłaszasz do repozytorium pomocy dla deweloperów. Jeśli macie jakieś pytania dotyczące testowania lub implementacji którejkolwiek z propozycji, proszę o kontakt.