Bem-vindo à edição de outubro do Progresso no Sandbox de privacidade, acompanhando os marcos na desativação dos cookies de terceiros no Chrome e trabalhando para tornar a Web mais privada. Todo mês, vamos compartilhar uma visão geral das atualizações no cronograma do Sandbox de privacidade, além de novidades do projeto.
Eventos
A partir de 3 de novembro, realizaremos a Conferência para desenvolvedores do Chrome. Você vai receber atualizações sobre o Sandbox de privacidade na palestra de abertura, além de poder fazer perguntas à equipe de liderança na AMA e ter tempo para perguntas mais detalhadas com as equipes de engenharia durante o horário de atendimento. Inscreva-se hoje e esperamos encontrar você lá.
Este mês também incluiu a Conferência anual do W3C (também conhecida como TPAC), em que todos os vários grupos do W3C se reúnem para discutir vários tópicos em toda a Web. Confira os minutos e vídeos das sessões temáticas e sessões específicas, incluindo temas do Sandbox de privacidade, abaixo.
Durante a temporada de conferências, a IETF (Internet Engineering Task Force) (link em inglês) organiza seu plenário técnico on-line regular. Da mesma forma que o TPAC, há várias sessões individuais em que os tópicos do Sandbox de privacidade são discutidos, como os grupos de trabalho PRIV (Privacidade que respeitam a incorporação de valores), PEARG (Privacy Enhancements and Assessments Research Group) e MASQUE (multiplexed Application Substrate over QUIC). Essas são discussões técnicas aprofundadas sobre projetos de protocolo. Se você tiver o conhecimento adequado e tiver interesse em contribuir com essas discussões, participe.
Fortaleça os limites de privacidade entre sites
Cookies de terceiros são um mecanismo importante que permite o rastreamento entre sites. A possibilidade de eliminar esses recursos é um marco importante, mas também precisamos lidar com outras formas de armazenamento ou comunicação entre locais.
API Federated Credentials Management
A proposta de gerenciamento de credenciais federadas (FedCM, na sigla em inglês) é o novo nome mais significativo do WebID. A identidade federada é um serviço essencial para a Web, mas, como ela aborda explicitamente o compartilhamento de aspectos de identidade com outros sites, há detalhes de implementação que se sobrepõem ao rastreamento entre sites.
A proposta do gerenciamento de credenciais federadas explora uma variedade de opções, desde caminhos de migração simples para soluções atuais até métodos mais particulares de conexão a serviços com o mínimo de informações compartilhadas.
Essa proposta ainda está em estágio inicial, e a discussão pode ser seguida no Grupo da comunidade de identidade federada do W3C (link em inglês). O grupo também organizou uma sessão no TPAC que explorou uma visão geral da proposta. Há também uma versão de protótipo muito antiga da API disponível por trás de uma sinalização do Chrome 89, mas ela é meramente experimental e mudará à medida que a discussão avançar.
Cookies
À medida que as propostas relacionadas a cookies avançam, é necessário auditar seus próprios
SameSite=None ou cookies entre sites e planejar a ação necessária
no site.
ÍNDICE
Se você definir cookies que são enviados em contextos entre sites, mas em relações individuais, como incorporações de iframe ou chamadas de API, siga a proposta CHIPS (link em inglês) ou "Cookies com estado particionado independente". Isso permite marcar os cookies como "Particionados", colocando-os em um cookie jar separado por site de nível superior.
O trabalho está progredindo nos CHIPS e, embora o recurso esteja disponível atrás de
chrome://flags/#partitioned-cookies e da flag --partitioned-cookies da CLI,
ele ainda não está em um estado totalmente testável. Vamos disponibilizar detalhes atualizados de teste e
depuração quando a implementação for mais concluída.
Conjuntos primários
Se você definir cookies para contextos entre sites, mas apenas entre sites seus (por exemplo, se você hospedar um serviço no seu .com que é usado por seu .co.uk), siga os conjuntos primários. Essa proposta define uma maneira de declarar quais sites você quer formar um conjunto e marcar cookies como "SameParty", para que eles sejam enviados somente para contextos dentro desse conjunto.
Os conjuntos primários estão disponíveis para testes de
desenvolvedores locais por trás das flags
chrome://flags/#use-first-party-set e
chrome://flags/#sameparty-cookies-considered-first-party, permitindo que você
especifique seu próprio conjunto de sites relacionados e teste o comportamento de cookies
neles.
Particionamento de armazenamento
A plataforma da Web inclui outras formas de armazenamento que podem permitir o rastreamento entre sites. A sessão temática do TPAC sobre o estado do particionamento de armazenamento do navegador oferece uma visão geral do progresso do Chrome, além da discussão com outros fornecedores de navegadores.
Não é necessária uma ação imediata do desenvolvedor, mas se você usa SharedWorker, Web Storage, IndexedDB, CacheStorage, APIs FileSystem, BroadcastChannel, API Web Locks, buckets de armazenamento ou outra forma de armazenamento ou API de comunicação em que você depende de acessar esses dados em vários sites, acompanhe esse tópico para atualizações futuras.
Como impedir rastreamento oculto
À medida que reduzimos as opções para rastreamento explícito entre sites, também precisamos abordar as áreas da plataforma da Web que expõem informações de identificação que permitem o rastreamento oculto de usuários ou a impressão digital.
Redução de strings do user agent e dicas do cliente do user agent
Ampliamos o teste de origem para testar o formato user agent reduzido do Chrome para incluir incorporações de terceiros. Se você fornece conteúdo entre sites principalmente para outros serviços, pode ativar a opção de terceiros ao se registrar para o teste de origem para receber o formato reduzido nas solicitações aos seus recursos.
É possível acompanhar todo o cronograma para reduzir o user agent do
Chrome,
com mais exemplos e detalhes das fases de
lançamento. Também será necessário
Migrar para as dicas de cliente do user agent (UA-CH)
se você confiar nas informações de versão da plataforma, dispositivo ou versão completa
no formato User-Agent atual.
Continuamos a padronizar os nomes atuais para as dicas
de cliente adicionando
o prefixo de cabeçalho Sec-CH- quando ausente. Com a aprovação pendente, esperamos
expandir o intervalo de caracteres GREASE
para UA-CH.
Mostrar conteúdo e anúncios relevantes
À medida que avançamos para a descontinuação gradual de cookies de terceiros, precisamos introduzir APIs que permitam os casos de uso que dependiam deles, mas sem permitir o rastreamento entre sites.
FLoC
O FLoC é uma proposta que permite a publicidade com base em interesses sem a necessidade de rastreamento individual entre sites. Estamos avaliando o feedback do teste de origem anterior do FLoC antes de avançar para outros testes do ecossistema. Enquanto continuamos trabalhando nas próximas etapas e decisões para o FLoC, você verá um código exploratório sobre o conceito de temas (mencionados anteriormente) para aparecer na base de código do Chromium em breve. Como todo o desenvolvimento do Chrome acontece aberto, esse trabalho vai ficar visível, mas não há nada imediatamente acionável para testes de desenvolvedores (nem isso é aplicável aos usuários). Esperamos continuar compartilhando essas discussões e atualizações no novo grupo da comunidade de tecnologia de publicidade privada (PATCG, na sigla em inglês).
Medir anúncios digitais
Como um complemento para mostrar anúncios sem rastreamento entre sites, precisamos de mecanismos que preservam a privacidade para medir a eficácia desses anúncios.
API Attribution Reporting
Com a API Attribution Reporting, você pode medir eventos em um site, como clicar ou visualizar um anúncio, que levam a uma conversão em outro, sem ativar o rastreamento entre sites.
Queremos continuar testando a API Attribution Reporting e planejamos estender o teste de origem para o Chrome 97. Os tokens do teste de origem atuais expiraram em 12 de outubro. Portanto, você precisará solicitar tokens atualizados para continuar o teste.
Combater spam e fraudes na Web
Outro desafio à medida que reduzimos as superfícies disponíveis para o rastreamento entre sites é que essas mesmas técnicas de impressão digital são frequentemente usadas para proteção contra spam e fraudes. Também precisamos de alternativas que preservem a privacidade.
Tokens de confiança
A API Trust Token é uma proposta que permite que um site compartilhe uma declaração sobre um visitante, como "Acho que eles são humanos", e que outros sites verifiquem essa declaração, mais uma vez sem identificar o indivíduo.
Os tokens de confiança são uma parte da estratégia geral para combater spam e fraudes na Web. No tópico"Antifraude para a Web" da TPAC, representantes de todo o ecossistema discutiram alguns dos desafios e abordagens atuais.
Feedback
Conforme publicamos essas atualizações mensais e o progresso no Sandbox de privacidade como um todo, queremos garantir que os desenvolvedores recebam as informações e o suporte de que precisam. Conte para nós no @ChromiumDev no Twitter se há algo que podemos melhorar nesta série. Vamos usar sua resposta para continuar melhorando o formato.
Também adicionamos as Perguntas frequentes sobre o Sandbox de privacidade, que continuaremos a expandir com base nos problemas enviados ao repositório de suporte para desenvolvedores. Se tiver dúvidas sobre testes ou implementação de qualquer uma das propostas, fale conosco.