개인 정보 보호 샌드박스의 Progress 11월 버전에 오신 것을 환영합니다. Chrome에서 서드 파티 쿠키를 단계적으로 지원 중단하고 더욱 안전한 웹을 만들기 위해 노력하는 과정에서 이룬 주요 기록을 살펴보세요. 매월 개인 정보 보호 샌드박스 타임라인 업데이트의 개요와 프로젝트 전체의 소식이 공유됩니다. 또한 영국 경쟁시장청 (CMA)과 정보위원회 (ICO)의 규제 감독과 의견을 바탕으로 제안서가 설계, 개발, 구현되도록 하기 위해 개인 정보 보호 샌드박스 약정에 관한 업데이트도 제공했습니다.
이벤트
11월 초 Google은 Chrome Developer Summit을 개최했으며, 기조연설의 개인 정보 보호 샌드박스 세그먼트와 AAM (Ask Me Anything) 세션의 몇 가지 관련 질문이 모두 포함되었습니다. 제안이 논의, 테스트 및 확장된 채택 단계를 통해 진행될 때 예상되는 활동 및 예시에 관한 내용을 읽거나 볼 수 있는 요약 내용을 추가했습니다.
크로스 사이트 개인 정보 보호 경계 강화
서드 파티 쿠키는 크로스 사이트 추적을 가능하게 하는 핵심 메커니즘입니다. 이를 단계적으로 해제하는 것은 중요한 마일스톤이지만 다른 형태의 크로스 사이트 저장 또는 통신도 해결해야 합니다.
Federated Credentials Management API
Federated Credentials Management (FedCM)는 WebID 제안서의 더 의미 있는 새로운 이름입니다. 이 변경사항이 개인 정보 보호 샌드박스 타임라인에 반영되었습니다. 제휴 ID는 웹에서 중요한 서비스이지만 다른 사이트 간에 ID의 여러 측면을 공유하는 데 명시적으로 사용된다는 점을 고려하면 크로스 사이트 추적과 중복되는 구현 세부정보가 있습니다.
Federated Credentials Management 제안서는 기존 솔루션의 간단한 이전 경로부터 최소한의 정보 공유로 서비스에 연결하는 보다 비공개적인 방법에 이르기까지 다양한 옵션을 탐색합니다.
11월에는 반기별 BlinkOn 회의도 포함되었습니다. Blink는 Chromium에서 사용하는 렌더링 엔진이며 BlinkOn은 참여자들이 현재 프로젝트에 관한 엔지니어링 프레젠테이션 및 토론을 위해 모이는 곳입니다. 11월 BlinkOn에는 FedCM에 관한 개요 및 Q&A 세션이 포함되어 있습니다. YouTube에서 녹화 영상을 시청할 수 있습니다.
은밀한 추적 방지
명시적인 크로스 사이트 추적 옵션이 줄어들면서 사용자 디지털 지문 수집 또는 은밀한 추적을 가능하게 하는 식별 정보를 노출하는 웹 플랫폼의 영역도 해결해야 합니다.
사용자 에이전트 문자열 축소 및 사용자 에이전트 클라이언트 힌트
Chrome의 사용자 에이전트 문자열에서 기본적으로 제공되는 정보를 줄이고 사용자 에이전트 클라이언트 힌트를 통해 해당 데이터를 요청하는 개선된 활성 메서드를 지속적으로 제공하고 있습니다. 모든 최신 안내 및 업데이트를 수집할 수 있도록 새로운 사용자 에이전트 축소 개요를 추가했습니다.
Google은 변경사항에 대비하는 데 도움이 되는 새로운 테스트 리소스를 게시했습니다. 사용자 에이전트 축소 코드 스니펫은 현재 Chrome 사용자 에이전트 문자열을 축소된 형식으로 변환하는 몇 가지 예를 제공합니다. 새로운 chrome://flags/#force-major-version-to-100 항목도 있습니다. 이를 통해 3자리 메이저 버전으로의 전환으로 인해 사이트가 오작동하거나 중단되는지 확인할 수 있습니다.
Google에서는 Sec-CH-UA-Full-Version-List의 배송 의도를 게시했습니다. 이는 기존 Sec-CH-UA-Full-Version이 단일 값만 제공하기 때문에 기본 브라우저 브랜드에 너무 밀접하게 결합되어 있다는 생태계 의견에 대응합니다. 예를 들어 현재 구현은 다음을 보여줍니다.
⬇️ 서버 응답 헤더
Accept-CH: Sec-CH-UA-Full-Version
📊️ 브라우저 요청 헤더
Sec-CH-UA: "Chromium";v="94", "Google Chrome";v="94", ";Not A Brand";v="99"
Sec-CH-UA-Full-Version: "94.0.4606.124"
업데이트된 버전에서는 다음을 제공합니다.
⬇️ 서버 응답 헤더
Accept-CH: Sec-CH-UA-Full-Version-List
📊️ 브라우저 요청 헤더
Sec-CH-UA: "Chromium";v="94", "Google Chrome";v="94", "Other browser";v="99"
Sec-CH-UA-Full-Version-List: "Chromium";v="94.0.4606.124", "Google Chrome";v="94.0.4606.124", "Other browser";v="99.88.77.66"
IP 무시
IP 주소는 특성상 브라우저와 서버 간에 필요한 통신을 가능하게 하는 클라이언트에 고유 식별자를 제공하는 경우가 많습니다. 하지만 이는 시간이 지남에 따라 안정적인 IP 주소가 크로스 사이트 추적에 사용할 수 있는 상당량의 정보를 수동적으로 제공한다는 것을 의미합니다.
IP 무시 제안서 (감사 및 신뢰할 수 있는 CDN 또는 HTTP 프록시 제거 재식별 제거 또는 Gnatcatcher와 결합된 전역 네트워크 주소 변환이라고도 함)에는 이 문제를 해결하기 위한 두 가지 접근 방식이 자세히 설명되어 있습니다. 첫 번째는 근거리 경로 NAT로, 방문 중인 사이트에서 브라우저의 IP 주소를 숨기는 IP 민간 서비스를 통해 브라우저의 연결을 효과적으로 전달합니다. 두 번째 옵션은 IP 주소에 의존하는 인프라가 그 위에서 실행되는 애플리케이션과 완전히 분리될 수 있는 인터넷의 계층적 특성에 기반합니다. Willful IP Blindness 제안서에서는 이러한 분리를 생성하고 유지관리하기 위해 감사 가능한 정책을 정의하는 방법을 살펴봅니다.
이 두 아이디어 모두 최근에 게시된 Willful IP Blindness 원칙과 같이 저장소에서 활발하게 진행되고 있는 논의 단계의 초기에 있습니다. 여기에서 계속 논의할 수 있습니다. 네트워크 수준의 세부정보에 관심이 있다면 IETF의 QUIC 암호화 (MASQUE)를 통한 멀티플렉스 애플리케이션 Substrate를 참조하세요.
디지털 광고 측정
크로스 사이트 추적 없이 광고를 표시하는 대신 광고 효과를 측정할 수 있는 개인 정보 보호 메커니즘이 필요합니다.
Attribution Reporting API
Attribution Reporting API는 크로스 사이트 추적을 사용 설정하지 않고 한 사이트에서 광고 클릭 또는 조회와 같이 다른 사이트에서 전환으로 이어지는 이벤트를 측정하는 기능을 만듭니다.
Google은 API를 계속 테스트하고 있으며 Chrome 97로 오리진 트라이얼이 연장되었습니다. 현재 오리진 트라이얼 토큰은 10월 12일에 만료되었으므로 기존 테스터가 테스트를 계속하려면 업데이트된 토큰을 신청해야 합니다.
API의 이벤트 수준 보고에 관한 최신 세부정보가 포함된 새 블로그 게시물이 2개 있습니다. Attribution Reporting API의 이벤트 수준 보고서에서는 개념과 프로세스를 소개하고, Attribution Reporting API에서 이벤트 수준 보고서 사용에서는 함께 제공되는 데모 및 데모 코드와 함께 구현 세부정보를 설명합니다.
의견
Google은 이러한 월간 업데이트를 계속 게시하고 개인 정보 보호 샌드박스를 전반적으로 진행하면서 개발자에게 필요한 정보와 지원을 제공하고자 합니다. 이 시리즈에서 개선할 수 있는 부분이 있으면 @ChromiumDev 트위터를 통해 알려주시기 바랍니다. 보내주신 의견은 형식을 지속적으로 개선하는 데 활용됩니다.
개인 정보 보호 샌드박스 FAQ를 확인하세요. 이 FAQ는 개발자 지원 저장소에 제출한 문제를 바탕으로 계속 확장되어 있습니다. 제안 테스트 또는 구현과 관련하여 궁금한 점이 있으면 Google에 문의하세요.