欢迎参加 11 月版“Privacy Sandbox in Progress”课程,该课程旨在跟踪在 Chrome 中逐步淘汰第三方 Cookie 并努力打造更注重隐私保护的网络环境的过程中所取得的里程碑。每个月,我们都会分享 Privacy Sandbox 时间表最新动态以及整个项目的资讯。此外,我们还发布了有关 Privacy Sandbox 承诺的最新动态,以确保在设计、制定和实施提案时,英国竞争和市场管理局 (CMA) 及信息专员办公室 (ICO) 会给予监管监督和提供。
活动
11 月初,我们举办了 Chrome 开发者峰会,其中包括主旨演讲中的 Privacy Sandbox 部分以及“有问必答”(AMA) 会议中的一些相关问题。我们添加了一个摘要,供您阅读或观看,其中涵盖了提案在讨论、测试和大规模采用阶段的进展情况和后续影响示例。
强化跨网站隐私边界
第三方 Cookie 是实现跨网站跟踪的重要机制。 逐步淘汰它们是一个重大里程碑,但我们还需要解决其他形式的跨网站存储或通信问题。
Federated Credentials Management API
Federated Credentials Management (FedCM) 是适用于 WebID 提案且更有意义的新名称。我们已将此变更反映在 Privacy Sandbox 时间轴中。联合身份是 Web 的一项关键服务,但由于联合身份明确用于跨其他网站共享身份的各个方面,因此它存在与跨网站跟踪重叠的实现细节。
Federated Credentials Management 提案探索了一系列选项:从现有解决方案的简单迁移路径,到以最少共享信息连接到服务的更多私密方法。
11 月份,我们还安排了一年两次的 BlinkOn 大会。Blink 是 Chromium 使用的渲染引擎,BlinkOn 是贡献者聚集在这里,围绕当前项目进行工程演示和讨论的。11 月 BlinkOn 活动中新增了 FedCM 概览和问答环节:您可以在 YouTube 上观看录像。
阻止隐秘跟踪
随着我们减少用于明确跨网站跟踪的选项,我们还需要解决网络平台中会泄露身份信息来实现对用户进行数字“指纹”收集或隐秘跟踪的领域。
用户代理字符串缩减和用户代理客户端提示
我们在不断努力减少 Chrome 用户代理字符串中默认可用的信息,并提供经过改进的有效方法,以便通过用户代理客户端提示请求这些数据。我们添加了新的用户代理缩减概览,以整理当前的所有指南和更新。
我们发布了新的测试资源,以帮助您为这些变更做好准备。用户代理缩减代码段提供了一系列将当前 Chrome 用户代理字符串转换为简化格式的示例。此外,还有新的 chrome://flags/#force-major-version-to-100 条目,可让您检查切换到 3 位数的主要版本是否会导致您的网站出现故障或中断。
我们发布了有关 Sec-CH-UA-Full-Version-List 的发布意向。这解决了生态系统反馈中现有的 Sec-CH-UA-Full-Version 与主要浏览器品牌绑定过于紧密的问题,因为它仅提供了一个值。例如,当前的实现方法显示:
🚌?️ 服务器响应标头
Accept-CH: Sec-CH-UA-Full-Version
⬆️ 浏览器请求标头
Sec-CH-UA: "Chromium";v="94", "Google Chrome";v="94", ";Not A Brand";v="99"
Sec-CH-UA-Full-Version: "94.0.4606.124"
更新版本将提供:
🚌?️ 服务器响应标头
Accept-CH: Sec-CH-UA-Full-Version-List
⬆️ 浏览器请求标头
Sec-CH-UA: "Chromium";v="94", "Google Chrome";v="94", "Other browser";v="99"
Sec-CH-UA-Full-Version-List: "Chromium";v="94.0.4606.124", "Google Chrome";v="94.0.4606.124", "Other browser";v="99.88.77.66"
IP 盲人
本质上的 IP 地址通常会为客户端提供唯一标识符,以实现浏览器与服务器之间的必要通信。不过,这也意味着,长期稳定的 IP 地址会被动地提供大量可用于跨网站跟踪的信息。
“IP 盲加密”提案(也称为“全局网络地址转换”与“经过审核的可信 CDN 或 HTTP 代理消除重标识”,简称 Gnatcatcher)详细介绍了解决此问题的一种双管齐下的方法。第一种方法是近路径 NAT,它通过 IP 特权服务实际转发浏览器的连接,这种服务对正在访问的网站隐藏浏览器的 IP 地址。第二种方案基于互联网的分层性质,在这种特性中,依赖于 IP 地址的基础架构可以与在其上运行的应用完全分开。意愿 IP 盲目提案探索了定义可审核政策以创建和维护这种分离的方法。
这两个想法都处于讨论阶段的早期,代码库中有积极进展,例如最近发布的意愿 IP 盲目原则。相关讨论应该会在那里继续进行;如果您有兴趣了解网络级详情,可以关注 IETF 中的基于 QUIC 加密的多路复用应用基板 (MASQUE) 工作组。
衡量数字广告的效果
作为在不显示跨网站跟踪的情况下展示广告的伴侣,我们需要借助隐私保护机制来衡量广告效果。
Attribution Reporting API
Attribution Reporting API 创建了一项功能来衡量一个网站上的事件(例如点击或查看广告),这些事件在另一个网站上促成了转化,而无需启用跨网站跟踪。
我们会继续测试该 API,源试用已延长至 Chrome 97。当前的源试用令牌已于 10 月 12 日到期,因此现有测试人员需要申请更新后的令牌才能继续测试。
这里有两篇新博文,其中包含有关 API 中事件级报告的最新详情。Attribution Reporting API 中的事件级报告介绍了相关概念和流程,而在 Attribution Reporting API 中使用事件级报告则深入介绍了实现细节以及随附的演示代码和演示代码。
反馈
我们将继续发布这些每月更新,并在 Privacy Sandbox 整体上不断完善,因此我们希望确保开发者能够获得他们所需的信息和支持。如果此系列中有任何我们可以改进之处,欢迎通过 @ChromiumDev Twitter 告诉我们。我们会参照您的反馈意见来改进广告格式。
请查看 Privacy Sandbox 常见问题解答,我们会根据您提交到开发者支持代码库的问题继续扩展该常见问题解答。如果您对测试或实施任何提案有任何疑问,欢迎与我们联系。