Esta é a edição de outubro do Progress in the Privacy Sandbox, que acompanha os marcos no caminho para eliminar gradualmente os cookies de terceiros no Chrome e trabalhar para uma Web mais privada. Todo mês, vamos compartilhar uma visão geral das atualizações da linha do tempo do Sandbox de privacidade e notícias sobre o projeto.
Eventos
A partir de 3 de novembro, vamos realizar o Chrome Developer Summit. Você vai receber uma atualização sobre o Sandbox de privacidade na palestra principal, além de ter a oportunidade de fazer perguntas à equipe de liderança no AMA e tempo para perguntas mais detalhadas com as equipes de engenharia no Office Hours. Inscreva-se hoje e esperamos você lá!
Este mês também incluiu a Conferência Anual do W3C (conhecida como TPAC), em que todos os grupos do W3C se reúnem para discutir vários tópicos em toda a Web. Confira os minutos e vídeos das sessões de discussão e sessões específicas, incluindo tópicos do Sandbox de privacidade, abaixo.
Continuando a temporada de conferências, a IETF (Internet Engineering Task Force) está hospedando a 112ª sessão plenária técnica on-line. Assim como o TPAC, há várias sessões individuais em que os tópicos do Sandbox de privacidade são discutidos, como PRIV (Privacy Respecting Incorporation of Values), PEARG (Privacy Enhancements and Assessments Research Group) e os grupos de trabalho MASQUE (Multiplexed Application Substrate over QUIC Encryption). Essas são discussões técnicas aprofundadas sobre designs de protocolo. Se você tiver a especialização adequada e quiser contribuir com essas discussões, participe.
Reforçar os limites de privacidade entre sites
Os cookies de terceiros são um mecanismo importante que permite o rastreamento entre sites. Ser capaz de eliminá-los gradualmente é um marco importante, mas também precisamos lidar com outras formas de armazenamento ou comunicação entre sites.
API Federated Credential Management
A proposta de gerenciamento de credenciais federadas (FedCM, na sigla em inglês) é o novo nome mais significativo para o WebID. A identidade federada é um serviço essencial para a Web, mas, como ela se refere explicitamente ao compartilhamento de aspectos da identidade com outros sites, há detalhes de implementação que se sobrepõem ao rastreamento entre sites.
A proposta de gerenciamento de credenciais federadas explora várias opções, desde caminhos de migração simples para soluções atuais até métodos mais privados de conexão a serviços com o mínimo de informações compartilhadas.
Essa proposta ainda está em um estágio inicial, e a discussão pode ser acompanhada no Grupo da comunidade de identidade federada do W3C. O grupo também organizou uma sessão de discussão no TPAC, que apresentou uma visão geral da proposta. Há também uma versão de protótipo muito inicial da API disponível por trás de uma flag do Chrome 89, mas isso é puramente para experimentação e vai mudar à medida que a discussão avança.
Cookies
À medida que as propostas relacionadas a cookies progridem, você precisa auditar seus próprios
SameSite=None ou cookies entre sites e planejar a ação que precisará
fazer no seu site.
CHIPS
Se você definir cookies que são enviados em contextos entre sites, mas em relacionamentos 1:1, como incorporações de iframe ou chamadas de API, siga a proposta CHIPS (link em inglês) ou Cookies com estado particionado independente. Isso permite que você marque os cookies como "Partitioned", colocando-os em um cookie jar separado por site de nível superior.
O trabalho está progredindo em CHIPS e, embora o recurso esteja disponível atrás
de chrome://flags/#partitioned-cookies e da flag --partitioned-cookies da CLI,
ele ainda não está em um estado totalmente testável. Vamos fornecer detalhes atualizados sobre testes e
depuração quando a implementação estiver mais completa.
Conjuntos próprios
Se você definir cookies para contextos entre sites, mas apenas nos sites que você possui, por exemplo, hospedar um serviço no seu .com que é usado pelo seu .co.uk, siga as conjuntos primários. Essa proposta define uma maneira de declarar quais sites você quer formar um conjunto e, em seguida, marcar os cookies como "SameParty" para que eles sejam enviados apenas para contextos dentro desse conjunto.
Os conjuntos próprios estão disponíveis para testes de
desenvolvedores locais com as flags
chrome://flags/#use-first-party-set e
chrome://flags/#sameparty-cookies-considered-first-party, permitindo que você
especifique seu próprio conjunto de sites relacionados e teste o comportamento dos cookies
nesses sites.
Particionamento de armazenamento
A plataforma da Web inclui outras formas de armazenamento que podem permitir o rastreamento entre sites. A sessão de discussão do TPAC sobre o estado da partição de armazenamento do navegador oferece uma visão geral do progresso do Chrome e discussões de outros fornecedores de navegadores.
Não é necessário que os desenvolvedores façam nada imediatamente, mas se você usa SharedWorker, Web Storage, IndexedDB, CacheStorage, APIs FileSystem, BroadcastChannel, API Web Locks, Buckets de armazenamento ou outra forma de armazenamento ou API de comunicação em que você precisa acessar esses dados em vários sites, acompanhe este tópico para futuras atualizações.
Como evitar o rastreamento oculto
Ao reduzir as opções de rastreamento cross-site explícito, também precisamos abordar as áreas da plataforma da Web que expõem informações de identificação que permitem a impressão digital ou o rastreamento oculto de usuários.
Redução na string do user agent e dicas de cliente HTTP do user agent
Ampliamos o teste de origem para testar o formato User-Agent reduzido do Chrome para incluir incorporações de terceiros. Se você fornece principalmente conteúdo entre sites para outros serviços, ative a opção de terceiros ao se registrar para o teste de origem para receber o formato reduzido nas solicitações aos seus recursos.
É possível acompanhar o cronograma completo para reduzir o
user-agent do Chrome,
com mais exemplos e detalhes das fases
de lançamento. Você também vai precisar
migrar para as dicas de cliente HTTP do user-agent (UA-CH, na sigla em inglês)
se depender das informações da versão da plataforma, do dispositivo ou da versão completa do build
no formato User-Agent atual.
Continuamos padronizando os nomes atuais das dicas de cliente
adicionando o prefixo de cabeçalho Sec-CH- onde ele estiver ausente. Aguardando aprovação, esperamos
ampliar o intervalo de caracteres
GREASE
para UA-CH.
Mostrar conteúdo e anúncios relevantes
À medida que avançamos para a desativação gradual dos cookies de terceiros, precisamos introduzir APIs que permitam os casos de uso que dependiam deles, mas sem permitir o rastreamento entre sites.
FLoC
O FLoC é uma proposta para ativar a publicidade com base em interesses sem a necessidade de rastreamento individual entre sites. Estamos avaliando o feedback do teste de origem anterior do FLoC antes de avançar para outros testes do ecossistema. Enquanto continuamos trabalhando nas próximas etapas e decisões para o FLoC, você vai notar algum código exploratório em torno do conceito de tópicos (já referenciados) para aparecer na base de código do Chromium em breve. Como todo o desenvolvimento do Chrome acontece aberto, esse trabalho vai ficar visível, mas não há nada que possa ser aplicado imediatamente para testes de desenvolvedor (nem para usuários). Esperamos continuar compartilhando essas discussões e atualizações no novo PATCG (grupo privado de publicidade de tecnologia).
Medir anúncios digitais
Como complemento para veicular anúncios sem o rastreamento entre sites, precisamos de mecanismos que preservem a privacidade para medir a eficácia desses anúncios.
API Attribution Reporting
A API Attribution Reporting permite medir eventos em um site, como clicar ou visualizar um anúncio, que levam a uma conversão em outro site, sem ativar o acompanhamento entre sites.
Queremos continuar testando a API Attribution Reporting e planejamos ampliar o teste de origem até o Chrome 97. Os tokens de teste de origem atuais expiraram em 12 de outubro. Portanto, é necessário solicitar tokens atualizados para continuar os testes.
Enfrentar spam e fraudes na Web
O outro desafio, à medida que reduzimos as superfícies disponíveis para o rastreamento entre sites, é que essas mesmas técnicas de impressão digital são frequentemente usadas para proteção contra spam e fraude. Também precisamos de alternativas que preservem a privacidade.
Tokens de confiança
A API Trust Token é uma proposta que permite que um site compartilhe uma declaração sobre um visitante, como "Eu acho que ele é humano", e permite que outros sites verifiquem essa declaração, novamente sem identificar o indivíduo.
Os tokens de confiança fazem parte da estratégia geral para lidar com spam e fraudes na Web. Na sessão "Antifraude para a Web" do TPAC, representantes de todo o ecossistema discutiram alguns dos desafios e abordagens atuais.
Feedback
À medida que continuamos publicando essas atualizações mensais e avançamos no Sandbox de privacidade como um todo, queremos garantir que você, desenvolvedor, receba as informações e o suporte necessários. Entre em contato com a gente pelo @ChromiumDev Twitter se houver algo que possamos melhorar nesta série. Vamos usar seu feedback para continuar melhorando o formato.
Também adicionamos um perguntas frequentes sobre o Sandbox de privacidade, que continuaremos expandindo com base nos problemas enviados ao repositório de suporte ao desenvolvedor. Se você tiver dúvidas sobre testes ou implementação em qualquer uma das propostas, entre em contato conosco.