11 月の「Progress in the Privacy Sandbox」は、Chrome のサードパーティ Cookie を段階的に廃止し、ウェブのプライバシー保護を強化する取り組みの進捗状況を辿っています。毎月、プライバシー サンドボックスのタイムラインの更新の概要と、プロジェクト全体のニュースをお伝えします。また、提案が英国競争・市場庁(CMA)および情報コミッショナーズ オフィス(ICO)による規制の監視と入力を受けて設計、開発、実装されるようにするため、プライバシー サンドボックスに関するコミットメントの更新もお伝えしました。
イベント
11 月の初めに Chrome Developer Summit を開催しました。このサミットでは、基調講演でのプライバシー サンドボックスのセグメントと Ask Me Anything(AMA)セッションに関連するいくつかの質問の両方を行いました。ディスカッション、テスト、大規模導入の各フェーズで提案が進むにつれ、アクティビティや想定される例を取り上げた概要を追加しました。
クロスサイト プライバシーの境界を強化する
サードパーティ Cookie は、クロスサイト トラッキングを可能にする重要なメカニズムです。段階的な廃止は大きなマイルストーンですが、他の形式のクロスサイト ストレージや通信にも取り組む必要があります。
Federated Credentials Management API
Federated Credentials Management(FedCM)は、WebID 提案の新しい名前で、より意味のある名前になっています。この変更はプライバシー サンドボックスのタイムラインに反映されています。フェデレーション ID はウェブに不可欠なサービスですが、他のサイト間で ID の側面を共有するために明示的に使用されることを考えると、実装の詳細はクロスサイト トラッキングと重複する場合があります。
Federated Credentials Management の提案では、既存のソリューションのシンプルな移行パスから、最小限の情報でサービスに接続するプライバシーに配慮した方法まで、さまざまなオプションが検討されています。
11 月には、年 2 回の BlinkOn カンファレンスも開催されました。Blink は Chromium で使用されているレンダリング エンジンです。BlinkOn は、技術に関するプレゼンテーションや現在のプロジェクトに関するディスカッションのために、コントリビューターが集う場所です。11 月の BlinkOn では、FedCM の概要と Q&A セッションが開催されました。YouTube で録画をご覧いただけます。
隠れたトラッキングの防止
明示的なクロスサイト トラッキングのオプションを減らすにつれ、ユーザーのフィンガープリントや隠れたトラッキングを可能にする、識別情報が公開されるウェブ プラットフォーム領域に対処する必要もあります。
ユーザー エージェント文字列の削減とユーザー エージェント クライアント ヒント
引き続き、Chrome のユーザー エージェント文字列でデフォルトで利用可能な情報を削減し、User-Agent Client Hints を介してデータをリクエストする方法を改善し、アクティブにしています。現在のすべてのガイダンスと更新を照合するため、新しいユーザー エージェントの情報量削減の概要を追加しました。
この変更への準備に役立つ新しいテストリソースを公開しました。ユーザー エージェントの情報量削減コード スニペットには、現在の Chrome ユーザー エージェント文字列を削減された形式に変換するさまざまな例が含まれています。また、新しい chrome://flags/#force-major-version-to-100 エントリもあり、3 桁のメジャー バージョンへの切り替えによってサイトの誤動作や障害が発生したかどうか調べることができます。
Sec-CH-UA-Full-Version-List の出荷の意向を公開しました。 これにより、既存の Sec-CH-UA-Full-Version は単一の値しか提供しないため、プライマリ ブラウザ ブランドに厳しくバインドされているというエコシステムからのフィードバックに対処します。たとえば、現在の実装は次のようになります。
⬇️ サーバー レスポンス ヘッダー
Accept-CH: Sec-CH-UA-Full-Version
⬆️ ブラウザ リクエスト ヘッダー
Sec-CH-UA: "Chromium";v="94", "Google Chrome";v="94", ";Not A Brand";v="99"
Sec-CH-UA-Full-Version: "94.0.4606.124"
更新されたバージョンでは、以下のようになります。
⬇️ サーバー レスポンス ヘッダー
Accept-CH: Sec-CH-UA-Full-Version-List
⬆️ ブラウザ リクエスト ヘッダー
Sec-CH-UA: "Chromium";v="94", "Google Chrome";v="94", "Other browser";v="99"
Sec-CH-UA-Full-Version-List: "Chromium";v="94.0.4606.124", "Google Chrome";v="94.0.4606.124", "Other browser";v="99.88.77.66"
IP ブラインドネス
IP アドレスは、その性質上、クライアントがブラウザとサーバー間で必要な通信を可能にする一意の識別子を提供します。ただし、時間の経過とともに IP アドレスが安定しているため、クロスサイト トラッキングに使用できる大量の情報が受動的に提供されます。
IP ブラインドネス提案(Global Network Address Translation と、監査済みで信頼できる CDN または HTTP プロキシによる再識別化または Gnatcatcher を組み合わせたグローバル ネットワーク アドレス変換とも呼ばれる)では、この問題への 2 方面からのアプローチについて詳しく説明しています。1 つ目は Near-Path NAT です。これは、アクセス先のサイトからブラウザの IP アドレスを隠す IP プライベート化サービスを介して、ブラウザの接続を効果的に転送します。2 番目のオプションは、インターネットの多層的な性質に基づいており、IP アドレスに依存するインフラストラクチャは、その上で実行されるアプリケーションから完全に分離できます。Willful IP Blindness 提案では、この分離を作成および維持するための監査可能なポリシーを定義する方法について説明します。
どちらのアイデアも議論の初期段階にあり、最近投稿された意図的な IP ブラインドネスの原則など、リポジトリで積極的に開発が進められています。ディスカッションはそこで継続する予定です。ネットワーク レベルの詳細については、IETF の「Multiplexed Application Substrate over QUIC Encryption(MASQUE)」ワーキング グループをご覧ください。
デジタル広告を測定する
クロスサイト トラッキングなしで広告を表示するためには、広告の効果を測定できるプライバシー保護メカニズムが必要です。
Attribution Reporting API
Attribution Reporting API は、クロスサイト トラッキングを有効にすることなく、1 つのサイトで発生したイベント(広告のクリックや表示など)で別のサイトでのコンバージョンに至ったイベントを測定する機能を作成します。
Google は API のテストを継続しており、Chrome 97 までオリジン トライアルが延長されています。現在のオリジン トライアル トークンは 10 月 12 日に期限が切れたため、既存のテスターがテストを継続するには、更新されたトークンを申請する必要があります。
API のイベントレベル レポートに関する最新情報は、新たに 2 つのブログ投稿でお知らせします。Attribution Reporting API のイベントレベル レポートではコンセプトとプロセスを紹介し、Attribution Reporting API でイベントレベル レポートを使用するでは実装の詳細をデモコードとデモコードとともに説明します。
フィードバック
Google は、毎月のアップデートを今後も公開し、プライバシー サンドボックス全体を進めていく中で、デベロッパーの皆様が必要とする情報とサポートを確実にお届けしたいと考えています。このシリーズで改善すべき点があれば、@ChromiumDev Twitter からお知らせください。いただいたご意見は、フォーマットの改善に活用させていただきます。
プライバシー サンドボックスに関するよくある質問をご確認ください。プライバシー サンドボックスに関するよくある質問は、デベロッパー サポート担当にお送りした問題に基づいて継続的に拡大されています。提案のテストや実装についてご質問がございましたら、お問い合わせください。