Progresso no Sandbox de privacidade (setembro de 2021)

Esta é a edição de setembro do Progress in the Privacy Sandbox, que acompanha os marcos no caminho para eliminar gradualmente os cookies de terceiros no Chrome e trabalhar para uma Web mais privada. Todo mês, vamos compartilhar uma visão geral das atualizações da linha do tempo do Sandbox de privacidade e notícias sobre o projeto.

  • Evitar o rastreamento oculto
    • Cronograma de redução do user agent publicado. As mudanças começam no Chrome 101 (estável no segundo trimestre de 2022) e terminam no Chrome 113 (estável no segundo trimestre de 2023).
    • O registro de teste de origem para ativação antecipada da redução do user agent foi aberto
  • Reforçar os limites de privacidade dos sites
    • O teste de origem inicial para o First-Party Sets foi concluído
    • Melhoria na funcionalidade de cookies do DevTools
  • Mostrar conteúdo e anúncios relevantes
    • Ampliação do período de discussão geral para o 4º trimestre de 2021 e início do período de testes no 1º trimestre de 2022
    • Como destacar a flag de recurso atual para testes de desenvolvedores do FLEDGE
  • Medir anúncios digitais
    • O teste de origem da Attribution Reporting foi estendido para o Chrome 94
    • Melhoria na funcionalidade de relatórios de atribuição do DevTools
  • Combater spam e fraudes na Web
    • O teste de origem da API Trust Tokens foi estendido para o Chrome 101

Como evitar o rastreamento oculto

Ao reduzir as opções de rastreamento cross-site explícito, também precisamos abordar as áreas da plataforma da Web que expõem informações de identificação que permitem a impressão digital ou o rastreamento oculto de usuários.

Redução na string do user agent e dicas de cliente HTTP do user agent

Compartilhamos o cronograma completo para reduzir as informações do user-agent do Chrome e abrimos o registro para o teste de origem de ativação antecipada do novo formato.

O resultado final mantém o mesmo formato de string para minimizar problemas de compatibilidade, mas usa valores fixos para o modelo do dispositivo, a versão da plataforma e o build completo do Chrome.

Antigo

Mozilla/5.0 (Linux; Android 12; Pixel 5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.16 Mobile Safari/537.36

Novo

Mozilla/5.0 (Linux; Android 10; K) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.0.0 Mobile Safari/537.36

Confira mais exemplos e as fases de lançamento aqui.

As mudanças estão planejadas para começar no Chrome 101 (estável no 2º trimestre de 2022) e ser concluídas no Chrome 113 (estável no 2º trimestre de 2023). Embora as mudanças ainda estejam um pouco no futuro, as dicas de cliente do user agent já estão totalmente disponíveis no Chrome estável. Portanto, avalie ativamente qualquer impacto e implemente as mudanças agora.

Reforçar os limites de privacidade entre sites

Os cookies de terceiros são o principal mecanismo que permite o rastreamento entre sites. Conseguir eliminá-los gradualmente é um marco importante, mas também precisamos lidar com outras formas de armazenamento ou comunicação entre sites.

Cookies

À medida que as propostas relacionadas a cookies progridem, você precisará auditar seus próprios SameSite=None ou cookies entre sites e planejar a ação que precisará fazer no seu site.

CHIPS

Se você definir cookies que são enviados em contextos entre sites, mas em relacionamentos 1:1, como incorporações de iframe ou chamadas de API, siga a proposta CHIPS (link em inglês) ou Cookies com estado particionado independente. Isso permite que você marque os cookies como "Partitioned", colocando-os em um cookie jar separado por site de nível superior.

A Intent to Prototype (I2P) para CHIPS foi enviada em julho. Por isso, estamos escrevendo o código. O recurso vai estar disponível na próxima etapa. Você pode acompanhar isso na linha do tempo, e em breve teremos mais documentos e demonstrações.

Conjuntos próprios

Se você definir cookies para contextos entre sites, mas apenas nos sites que você possui, como hospedar um serviço no seu .com que é usado pelo seu .co.uk, siga os conjuntos próprios. Essa proposta define uma maneira de declarar quais sites você quer formar um conjunto e, em seguida, marcar os cookies como "SameParty" para que eles sejam enviados apenas para contextos dentro desse conjunto.

O teste inicial de origem para conjuntos próprios foi concluído neste mês, e o trabalho continua com base nesse feedback. Você ainda pode continuar testando com as flags de recursos, e vamos atualizar os documentos conforme o trabalho avança.

DevTools

Também estamos melhorando a funcionalidade das DevTools para a maioria desses testes iniciais. Agora é possível conferir o status do teste de origem, as descontinuações futuras e os valores do cabeçalho do cookie bruto. Confira mais detalhes com Jecelyn em Novidades do Chrome DevTools (Chrome 94).

Captura de tela das Ferramentas do desenvolvedor mostrando o cabeçalho Set-Cookie bruto para um cookie com um problema

Mostrar conteúdo e anúncios relevantes

À medida que avançamos para a eliminação gradual de cookies de terceiros, precisamos introduzir APIs que ativem os casos de uso que dependiam deles, mas sem continuar ativando o rastreamento entre sites.

Considerando o feedback do ecossistema ativo, a fase de discussão do caso de uso Mostrar conteúdo e anúncios relevantes vai se estender até o quarto trimestre de 2021, enquanto trabalhamos nas mudanças nas propostas. A expectativa atual é que a FLoC e a FLEDGE estejam disponíveis para testes mais amplos até o primeiro trimestre de 2022.

FLoC

O FLoC é uma proposta para ativar a publicidade com base em interesses sem precisar de rastreamento individual entre sites. O teste de origem da primeira versão do FLoC terminou em meados de julho, e estamos avaliando melhorias para a próxima versão do FLoC antes de avançar para outros testes do ecossistema. Se você ainda estiver veiculando o token de teste de origem para o FLoC ou outro código experimental, é hora de limpar.

FLEDGE

O FLEDGE é um experimento inicial para ativar casos de uso de remarketing, mostrando anúncios com base nas interações anteriores do usuário com o site do anunciante, mas sem o rastreamento de terceiros.

Alguns conceitos importantes envolvem a execução do leilão de anúncios em um worklet restrito no dispositivo e o carregamento do anúncio em um frame restrito. Isso garante que apenas uma quantidade limitada de dados possa ser usada em cada fase. Sam tem uma nova visão geral em vídeo explicando os conceitos em mais detalhes.

O FLEDGE está disponível por flags CLI para testes iniciais de desenvolvedores (ao contrário de testes de usuários escalonados) e estamos atualizado o cronograma para tornar essas flags mais visíveis. O recurso está em desenvolvimento ativo. Portanto, execute-o em um build do Chrome Canary ou Dev para testar as mudanças mais recentes. O feedback dos desenvolvedores nesta fase inicial é útil para garantir que estamos indo na direção certa na preparação para os testes de origem, mas tenha em mente que este é um código muito recente e não será estável.

Medir anúncios digitais

Como complemento para veicular anúncios sem o rastreamento entre sites, precisamos de mecanismos que preservem a privacidade para permitir a medição da eficácia desses anúncios.

API Attribution Reporting

A API Attribution Reporting permite a funcionalidade de medir eventos em um site, como clicar ou visualizar um anúncio, que levam a uma conversão em outro site, tudo sem poder rastrear o indivíduo nessa jornada entre sites.

O feedback dos desenvolvedores tem sido muito ativo, com Yahoo! Japão, com um relatório detalhado sobre as descobertas do teste de origem. Também compartilhamos nossas próprias informações sobre os efeitos da limpeza de dados do site por usuários em relatórios pendentes. Para permitir mais testes de desenvolvedor, uma extensão do teste de origem da API Attribution Reporting foi aprovada para ser executada no Chrome 94.

Captura de tela do DevTools mostrando problemas da API Attribution Reporting

As Ferramentas do desenvolvedor adicionaram suporte a problemas para a API Attribution Reporting. Problemas comuns que podem bloquear o registro de fontes ou relatórios e impedir que você receba relatórios agora vão aparecer com dicas de como corrigi-los. Confira mais detalhes em Novidades do DevTools (Chrome 93).

Enfrentar spam e fraudes na Web

O outro desafio, à medida que reduzimos as superfícies disponíveis para o rastreamento entre sites, é que essas mesmas técnicas de impressão digital são frequentemente usadas para proteção contra spam e fraude. Também precisamos de alternativas que preservem a privacidade.

Tokens de confiança

A API Trust Token é uma proposta que permite que um site compartilhe uma declaração sobre um visitante, como "Eu acho que ele é humano", e permite que outros sites verifiquem essa declaração, novamente sem identificar o indivíduo.

Emitir seus próprios tokens requer a criação de um novo serviço, e o feedback do ecossistema indica que mais tempo de teste é necessário. Por isso, pedimos para estender o teste de origem do Trust Token até o Chrome 101. O registro para o teste de origem está disponível no site de testes de origem.

Feedback

À medida que continuamos publicando essas atualizações mensais e avançamos no Sandbox de privacidade como um todo, queremos garantir que você, como desenvolvedor, receba as informações e o suporte necessários. Entre em contato pelo @ChromiumDev Twitter se houver algo que possamos melhorar nesta série. Vamos usar sua contribuição para continuar melhorando o formato.

Também adicionamos uma seção de perguntas frequentes sobre o Sandbox de privacidade, que continuaremos expandindo com base nos problemas enviados ao repo do suporte a desenvolvedores. Se você tiver dúvidas sobre testes ou implementação em qualquer uma das propostas, entre em contato conosco.