Bienvenue dans cette édition du rapport "Progress in the Privacy Sandbox", qui couvre les mois de mai et juin 2022. Nous suivons les étapes de l'abandon progressif des cookies tiers dans Chrome et de la transition vers un Web plus respectueux de la confidentialité. Dans chaque édition, nous proposons un aperçu des mises à jour et des actualités de la Privacy Sandbox.
Phase d'évaluation pour la mesure et la pertinence de la Privacy Sandbox
Nous continuons d'exécuter la phase d'évaluation combinée pour Attribution Reporting, FLEDGE et Topics. Nous allons également l'étendre pour inclure les cadres cloisonnés et le stockage partagé. Les cadres cloisonnés fournissent un conteneur limité pour l'affichage du contenu que FLEDGE utilise pour afficher des annonces. Le stockage partagé complète les trames cloisonnées en permettant l'accès à une forme soigneusement contrôlée de stockage non partitionné, dans laquelle les données stockées peuvent être utilisées dans le cadre du processus de sélection des annonces.
La phase d'évaluation est désormais étendue à 50% des utilisateurs de la version bêta de Chrome. À ce stade, l'accent est toujours mis sur la configuration de l'infrastructure, l'expérience des développeurs et l'interface utilisateur, avant de passer aux tests d'efficacité ou d'utilité à plus grande échelle. Lors de ces tests, nous avons détecté et corrigé un bug qui survenait dans Topics, qui empêchait la gestion correcte d'une valeur nulle. Dans ces premières étapes de test, il est courant de rencontrer des problèmes lorsque nous commençons à exécuter du trafic réel via la fonctionnalité. C'est l'une des raisons pour lesquelles nous commençons avec une petite partie du trafic global à découvrir des problèmes tout en minimisant leur impact. Toutefois, comme cela pouvait faire planter le navigateur pour ce petit groupe d'utilisateurs, nous avons désactivé l'API Topics lors de la phase d'évaluation lors du déploiement du correctif. Ce correctif est maintenant terminé et Topics est réactivé lors de la phase d'évaluation.
Vos commentaires et vos tests à ce stade sont essentiels pour nous assurer que nous proposons et développons la fonctionnalité dont vous avez besoin. Si vous participez dès maintenant à la phase d'évaluation, vous devriez recevoir des mises à jour régulières du code à mesure que nous répondons aux commentaires et que nous apportons des problèmes, et que nous étendons les fonctionnalités disponibles.
Vous pouvez vous inscrire à la phase d'évaluation dès maintenant. Nous vous proposons des instructions complètes sur la participation, les tests, les démonstrations à explorer et où envoyer des commentaires sur les différents aspects de l'essai.
Commentaires
Les commentaires d'un ensemble diversifié d'intervenants dans l'écosystème Web sont essentiels à l'initiative Privacy Sandbox dans son ensemble. La section dédiée aux commentaires fournit un aperçu des canaux publics existants. Vous pouvez suivre les discussions ou y contribuer, ainsi qu'un formulaire de commentaires pour vous assurer de toujours pouvoir contacter directement l'équipe Chrome.
Nous avons compilé un résumé de vos commentaires et de nos réponses dans un rapport "Vue d'ensemble des commentaires" du 1er trimestre 2022. Il y a beaucoup de choses. Vous seriez donc pardonné de ne pas lire l'intégralité de cet e-mail. Nous espérons néanmoins que vous comprendrez mieux les types de questions et de problèmes soulevés, ainsi que la façon dont nous les traitons. Notre objectif est de rendre ces itinéraires faciles et accessibles pour les développeurs. Si vous avez une question ou un élément à clarifier, n'hésitez pas à nous en faire part.
Nous continuons à proposer notre série d'heures de permanence Privacy Sandbox avec une session de présentation d'Attribution Reporting. C'est l'occasion pour vous de poser vos questions directement à l'équipe d'implémentation. Nous prévoyons également d'organiser une version de cette session en japonais, et une autre pour une démonstration actualisée. D'autres éditions couvriront d'autres API et aspects du projet. Nous les diffuserons sur les listes de diffusion, les blogs et Twitter.
Renforcer les limites de confidentialité intersites
Les cookies tiers constituent un mécanisme clé qui permet le suivi intersites. Être en mesure de les supprimer progressivement est une étape importante, mais nous devons également aborder d'autres formes de stockage ou de communication intersites.
Cookies
À mesure que les propositions liées aux cookies évoluent, vous devez auditer vos propres cookies SameSite=None ou intersites et planifier les actions à effectuer sur votre site.
CHIPS
CHIPS (Cookies Has Independent Partitioned State) permet aux développeurs d'enregistrer un cookie dans un espace de stockage "partitionné", avec un fichier de cookies séparé pour chaque site de premier niveau. Nous étendons la phase d'évaluation actuelle à la fin de Chrome 104 vers la fin du mois d'août. Vous pouvez vous inscrire à la phase d'évaluation de CHIPS dès maintenant. Des instructions destinées aux développeurs sont disponibles pour vous permettre de tester les cookies avec l'attribut Partitioned sur votre propre site de production.
Mises à jour supplémentaires des cookies
Nous continuons également de nettoyer et d'améliorer la fonctionnalité générale par défaut des cookies, ainsi que les modifications apportées à la bannière Privacy Sandbox.
Nous avons envoyé I2P (Intent to Prototype) pour les cookies liés à l'origine (par défaut), ce qui donnerait des valeurs par défaut plus sécurisées pour un cookie. Bien que la modification précédente SameSite=Lax par défaut signifiait que les cookies étaient limités au même site (ou "propriétaires") par défaut, ils peuvent toujours être envoyés via différents ports ou schémas d'URL. Cette mise à jour signifierait que les cookies ne sont envoyés qu'à l'origine exacte sur laquelle ils ont été définis, sauf si l'attribut Domain l'autorise explicitement.
Par ailleurs, nous harmonisons Chrome avec la spécification Fetch en bloquant l'en-tête Set-Cookie sur les requêtes de récupération sortantes.
Les rapports indiquent que l'utilisation de cette fonctionnalité est extrêmement faible, mais vous devez savoir que si vous utilisez cette fonctionnalité, ces cookies cesseront bientôt d'être définis.
Stockage partagé
Le stockage partagé permet aux sites de stocker des données non partitionnées, mais ne les lit que dans un environnement sécurisé doté de portes de sortie soigneusement conçues. Le stockage partagé est associé à des frames clôturés, ce qui fournit un environnement sécurisé permettant des cas d'utilisation tels que des tests A/B sur une campagne.
La solution I2E pour le stockage partagé la rend disponible pour des tests dans le cadre de la phase d'évaluation plus large de la pertinence et des mesures de la Privacy Sandbox. La documentation destinée aux développeurs couvre les cas d'utilisation et les tests.
Empêcher le suivi dissimulé
À mesure que nous réduisons le nombre d'options de suivi intersites explicite, nous devons prendre en compte les domaines de la plate-forme Web qui divulguent des informations d'identification permettant l'empreinte numérique ou le suivi dissimulé des utilisateurs.
Réduction de chaîne user-agent et indicateurs client user-agent
Nous continuons à réduire progressivement les informations disponibles de manière passive dans la chaîne user-agent de Chrome et à fournir d'autres indicateurs client User-Agent (UA-CH) pour les sites qui doivent demander activement ces informations. La phase initiale consistant à réduire le numéro de version mineure à zéro est maintenant entièrement déployée dans Chrome 101 et versions ultérieures.
Mozilla/5.0 (Linux; Android 12; Pixel 6) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/101.0.4638.16 Mobile Safari/537.36
Mozilla/5.0 (Linux ; Android 12 ; Pixel 6) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/101.0.0.0 Mobile Safari/537.36
Nous continuons d'affiner et de mettre à jour le comportement général des indications client. Cela inclut le nettoyage de la valeur par défaut des anciens indices (dpr, width, viewport-width et device-memory) afin qu'ils ne soient pas envoyés à des sous-ressources tierces par défaut.
Accepter la réduction de langue
L'en-tête Accept-Language envoie les préférences linguistiques d'un utilisateur à un site, ce qui est utile pour fournir du contenu localisé, mais peut représenter une source d'informations sur le fingerprinting passive, en particulier lorsque l'utilisateur a plusieurs langues acceptées. Nous avons envoyé un I2P pour réduire la surface de fingerprinting dans l'en-tête Accept-Language.
L'objectif est que, lors de la première requête adressée à un site, le navigateur n'envoie que la langue préférée qui figure dans l'en-tête (par exemple, Accept-Language: fr). La réponse du site doit ensuite spécifier le Content-Language de la réponse et indiquer si plusieurs langues sont disponibles à l'aide des en-têtes Vary et Variants. Exemple :
Get / HTTP/1.1
Host: example.com
Accept-Language: fr
HTTP/1.1 200 OK
Content-Language: fr
Vary: Accept-Language
Variants: Accept-Language=(de en fr)
Le navigateur peut utiliser les informations Variants pour demander à nouveau du contenu dans la langue de votre choix si le premier choix n'est pas disponible. Les I2P sont délibérément envoyés au début du processus pour permettre de discuter de l'impact potentiel d'un tel changement et de nous assurer que nous avons mis en place des métriques appropriées pour surveiller cet impact.
Cadres cloisonnés
Un frame cloisonné (<fencedframe>) est un élément HTML proposé pour du contenu intégré, semblable à un iFrame. Contrairement aux iFrames, un frame cloisonné limite la communication avec son contexte de représentation vectorielle continue pour lui permettre d'accéder aux données intersites sans les partager avec le contexte de représentation vectorielle continue. Par exemple, dans FLEDGE, l'intent vise à diffuser des annonces dans un frame cloisonné.
Vous pouvez consulter le nouveau contenu de la présentation pour les développeurs. Nous avons publié le I2E pour les cadres cloisonnés. Vous pouvez désormais vous inscrire dans le cadre de la phase d'évaluation plus large de la pertinence et des mesures de la Privacy Sandbox.
Afficher des annonces et des contenus pertinents
Alors que nous nous dirigeons vers la suppression progressive des cookies tiers, nous lançons des API qui répondent aux principaux cas d'utilisation dont dépendaient les sites pour leur permettre de financer leur contenu sans continuer à permettre le suivi intersites.
Sujets
L'API Topics est une proposition permettant d'activer la publicité ciblée par centres d'intérêt sans suivi intersites. Nous vous avons envoyé un I2E pour inclure Topics dans la phase d'évaluation de la pertinence et des mesures de la Privacy Sandbox. Nous avons également ajouté de nouveaux conseils aux développeurs pour les tests et des commentaires sur Topics pendant la phase d'évaluation.
Étant donné qu'il s'agit d'un test préliminaire, nous découvrons et traitons activement les problèmes dans le code au fur et à mesure qu'ils surviennent. Nous avons détecté un bug qui plante dans Topics. Nous avons donc désactivé temporairement l'API pendant la phase d'évaluation pour déployer le correctif, sans nuire à l'expérience utilisateur. Une fois ce correctif terminé, l'API Topics est désormais activée pour 50% des utilisateurs de la version bêta de Chrome dans le cadre de la phase d'évaluation globale.
FLEDGE
FLEDGE permet des cas d'utilisation de remarketing et d'audiences personnalisées, comme la publicité qui peut exploiter des sites ou des produits précédemment consultés, sans s'appuyer sur un identifiant individuel. Nous avons envoyé un I2E pour FLEDGE afin de l'activer dans le cadre de la phase d'évaluation plus large de la pertinence et des mesures de la Privacy Sandbox. De même, vous trouverez une documentation destinée aux développeurs correspondant au test.
Mesurer les annonces numériques
Pour pouvoir diffuser des annonces sans suivi intersites, nous avons besoin d'outils protégeant la confidentialité pour mesurer leur efficacité.
API Attribution Reporting
L'API Attribution Reporting permet à la technologie publicitaire et aux annonceurs de mesurer les événements sur un site (par exemple, le clic ou l'affichage d'une annonce) qui entraînent une conversion sur un autre site, sans activer le suivi intersites. Comme vous l'avez peut-être deviné, il y avait également un I2E pour Attribution Reporting afin de continuer à étendre ses tests dans le cadre de la phase d'évaluation de la mesure et de la pertinence de la Privacy Sandbox.
Lors de la phase initiale de la phase d'évaluation, nous nous concentrons sur les commentaires concernant l'expérience des développeurs et l'intégration, comme le débogage. Cette phase s'étendra aux tests de bout en bout sur les rapports récapitulatifs et au niveau des événements.
Commentaires sur l'article
Alors que nous continuons à publier ces mises à jour et à progresser dans l'ensemble de la Privacy Sandbox, nous voulons nous assurer qu'en tant que développeur, vous recevez les informations et l'assistance dont vous avez besoin. N'hésitez pas à nous contacter sur @ChromiumDev Twitter si vous souhaitez apporter des améliorations à cette série. Vos réponses nous permettront de continuer à améliorer le format.