Добро пожаловать в октябрьский выпуск журнала Progress in Privacy Sandbox, в котором отслеживаются вехи на пути к поэтапному отказу от сторонних файлов cookie в Chrome и работе над созданием более конфиденциальной сети. Каждый месяц мы будем публиковать обзор обновлений временной шкалы Privacy Sandbox, а также новости со всего проекта.
События
С 3 ноября мы будем проводить Саммит разработчиков Chrome . Вы сможете получить обновленную информацию о Privacy Sandbox в своем выступлении, а также возможность задать вопросы руководству AMA и дать время для более подробных вопросов инженерным группам в рабочее время. Зарегистрируйтесь сегодня , и мы надеемся увидеть вас там!
В этом месяце также прошла Ежегодная конференция W3C (широко известная как TPAC ), на которой встречаются все различные группы W3C, чтобы обсудить различные темы во всей сети. Вы можете просмотреть протоколы и видео секционных заседаний , а конкретные сеансы, включая темы Privacy Sandbox, приведены ниже.
Продолжая сезон конференций, IETF (Интернет-инженерная целевая группа) проводит очередное 112 онлайн-пленарных заседаний по техническим вопросам . Как и в случае с TPAC, существует ряд отдельных сессий, на которых обсуждаются темы Privacy Sandbox, такие как рабочие группы PRIV (Уважение конфиденциальности, включение ценностей) , PEARG (Исследовательская группа по улучшению и оценке конфиденциальности) и MASQUE (Субстрат мультиплексированных приложений поверх шифрования QUIC). . Это глубокие технические дискуссии по разработке протоколов. Если у вас есть соответствующий опыт и вы заинтересованы в участии в этих обсуждениях, рассмотрите возможность присоединиться.
Укрепите границы конфиденциальности между сайтами
Сторонние файлы cookie — это ключевой механизм, обеспечивающий межсайтовое отслеживание. Возможность поэтапного отказа от них является важной вехой, но нам также необходимо заняться другими формами межсайтового хранения или связи.
API управления федеративными учетными данными
Предложение Federated Credentials Management (FedCM) — это новое, более значимое название для WebID. Федеративная идентификация является критически важной службой для Интернета, но, учитывая, что она явно связана с обменом аспектами идентификации с другими сайтами, существуют детали реализации, которые пересекаются с межсайтовым отслеживанием.
Предложение по федеративному управлению учетными данными рассматривает ряд вариантов: от простых путей миграции существующих решений до более конфиденциальных методов подключения к службам с минимальным обменом информацией.
Это предложение все еще находится на ранней стадии, и за его обсуждением можно следить в группе сообщества федеративной идентификации W3C . Группа также провела секционное заседание в TPAC, на котором был рассмотрен обзор предложения. Существует также очень ранняя версия прототипа API, доступная под флагом Chrome 89, но она предназначена исключительно для экспериментов и будет меняться по мере обсуждения.
Печенье
По мере рассмотрения предложений, связанных с файлами cookie, вам следует проверять свои собственные SameSite=None или межсайтовые файлы cookie и планировать действия, которые вам необходимо предпринять на своем сайте.
ЧИПСЫ
Если вы устанавливаете файлы cookie, которые отправляются в межсайтовом контексте, но в отношениях 1:1 — например, встраивание iframe или вызовы API — вам следует следовать предложению CHIPS или файлам cookie, имеющим независимое разделенное состояние. Это позволяет вам помечать файлы cookie как «разделенные», помещая их в отдельную банку файлов cookie для каждого сайта верхнего уровня.
Работа над CHIPS продолжается, и хотя эта функция доступна за chrome://flags/#partitioned-cookies и флагом CLI --partitioned-cookies , она еще не находится в полностью тестируемом состоянии. Мы предоставим обновленную информацию о тестировании и отладке, как только реализация будет завершена.
Собственные наборы
Если вы устанавливаете файлы cookie для межсайтового контекста, но только на тех сайтах, которыми вы владеете (например, вы размещаете службу на своем домене .com, которая используется вашим доменом .co.uk), вам следует использовать собственные наборы файлов . Это предложение определяет способ объявления того, какие сайты вы хотите сформировать набор, а затем пометки файлов cookie как «SameParty», чтобы они отправлялись только для контекстов внутри этого набора.
Собственные наборы доступны для тестирования локальными разработчиками с помощью chrome://flags/#use-first-party-set и chrome://flags/#sameparty-cookies-considered-first-party , что позволяет вам указать свои собственный набор связанных сайтов и экспериментируйте с поведением файлов cookie на них.
Разделение хранилища
Веб-платформа включает в себя другие формы хранения, которые могут обеспечить межсайтовое отслеживание. Секционное заседание TPAC, посвященное состоянию разделения памяти браузера , дает обзор прогресса Chrome, а также обсуждения других поставщиков браузеров.
Немедленных действий разработчика не требуется, но если вы используете SharedWorker, Web Storage, IndexedDB, CacheStorage, API-интерфейсы файловой системы, BroadcastChannel, API веб-блокировок, Storage Buckets или другую форму API хранилища или связи, на которую вы полагаетесь. доступ к этим данным на нескольких сайтах, вам следует отслеживать эту тему на предмет будущих обновлений.
Предотвращение скрытого отслеживания
Поскольку мы сокращаем возможности явного межсайтового отслеживания, нам также необходимо заняться областями веб-платформы, которые раскрывают идентифицирующую информацию, позволяющую снимать отпечатки пальцев или скрыто отслеживать пользователей.
Сокращение строки User-Agent и подсказки для клиента User-Agent
Мы расширили пробную версию Origin для тестирования сокращенного формата User-Agent Chrome, включив в нее сторонние встраивания . Если вы в первую очередь предоставляете межсайтовый контент для других сервисов, вы можете включить стороннюю опцию при регистрации в пробной версии Origin, чтобы получать уменьшенный формат при запросах к вашим ресурсам.
Вы можете отслеживать полный график сокращения пользовательского агента Chrome с дополнительными примерами и подробностями этапов развертывания . Вам также потребуется перейти на подсказки клиента User-Agent (UA-CH), если вы полагаетесь на информацию о версии платформы, устройства или полной версии сборки в текущем формате User-Agent .
Мы продолжаем стандартизировать существующие имена для Client Hints , добавляя префикс заголовка Sec-CH- там, где он отсутствует. В ожидании одобрения мы надеемся расширить диапазон символов GREASE для UA-CH.
Показывайте релевантный контент и рекламу
По мере того, как мы движемся к постепенному отказу от сторонних файлов cookie, нам необходимо ввести API, которые позволяют использовать зависящие от них варианты использования, но не позволяют осуществлять межсайтовое отслеживание.
ФЛОК
FLoC — это предложение, позволяющее включать рекламу на основе интересов без необходимости индивидуального межсайтового отслеживания. Прежде чем перейти к дальнейшему тестированию экосистемы, мы оценили отзывы о предыдущем испытании FLoC. Пока мы продолжаем работать над следующими шагами и решениями для FLoC, вы должны увидеть некоторый исследовательский код, посвященный концепции тем ( упоминавшийся ранее ), который скоро появится в базе кода Chromium. Поскольку вся разработка Chrome происходит открыто, эта работа будет видна, но нет ничего, что можно было бы немедленно предпринять для тестирования разработчиками (и это не применимо к пользователям). Мы надеемся и дальше делиться этими обсуждениями и обновлениями в новой группе PATCG (Группа сообщества по технологиям частной рекламы) .
Измеряйте цифровую рекламу
В качестве дополнения к показу рекламы без межсайтового отслеживания нам нужны механизмы сохранения конфиденциальности для измерения эффективности этой рекламы.
API отчетов по атрибуции
API отчетов по атрибуции дает вам возможность измерять события на одном сайте, такие как нажатие или просмотр рекламы, которые приводят к конверсии на другом сайте, без включения межсайтового отслеживания.
Мы хотели бы продолжить тестирование API отчетов об атрибуции и планируем распространить пробную версию источника на Chrome 97. Срок действия текущих пробных токенов происхождения истек 12 октября, поэтому вам нужно будет подать заявку на получение обновленных токенов, чтобы продолжить тестирование.
Борьба со спамом и мошенничеством в сети
Другая проблема, связанная с уменьшением количества поверхностей, доступных для межсайтового отслеживания, заключается в том, что те же самые методы снятия отпечатков пальцев часто используются для защиты от спама и мошенничества. Здесь нам также нужны альтернативы, сохраняющие конфиденциальность.
Доверительные токены
API Trust Token — это предложение, которое позволяет одному сайту делиться утверждением о посетителе, например «Я думаю, что он человек», и позволяет другим сайтам проверять это утверждение, опять же без идентификации человека.
Токены доверия являются частью общей стратегии борьбы со спамом и мошенничеством в Интернете. В ходе дискуссии «Борьба с мошенничеством в Интернете» на конференции TPAC представители всей экосистемы обсудили некоторые текущие проблемы и подходы.
Обратная связь
Поскольку мы продолжаем публиковать эти ежемесячные обновления и улучшать Privacy Sandbox в целом, мы хотим быть уверены, что вы, как разработчик, получаете необходимую информацию и поддержку. Дайте нам знать в Твиттере @ChromiumDev, если есть что-то, что мы могли бы улучшить в этой серии. Мы будем использовать ваш вклад, чтобы продолжать совершенствовать формат.
Мы также добавили FAQ по Privacy Sandbox , который будем продолжать расширять с учетом проблем, которые вы отправляете в репозиторий поддержки разработчиков . Если у вас есть какие-либо вопросы по поводу тестирования или реализации любого из предложений, обращайтесь к нам.