Witamy w październikowej edycji raportu „Postępy w Piaskownicy prywatności”. Opisuje on kamienie milowe na drodze do wycofania plików cookie innych firm z Chrome i działań na rzecz bardziej prywatnego internetu. Co miesiąc będziemy udostępniać omówienie zmian w harmonogramie Privacy Sandbox oraz informacje o tym projekcie.
Wydarzenia
Od 3 listopada będziemy organizować Chrome Developer Summit. W ramach prezentacji otworzą się przed Tobą nowe możliwości związane z Piaskownicą prywatności, a podczas sesji AMA będziesz mieć okazję zadać pytania zespołowi kierowniczemu. W ramach Office Hours będziesz też mieć czas na zadawanie bardziej szczegółowych pytań zespołom inżynierów. Zarejestruj się już dziś i do zobaczenia na spotkaniu.
W tym miesiącu odbyła się też coroczna konferencja W3C (zwykle nazywana TPAC), podczas której różne grupy W3C spotykają się, aby omówić różne tematy dotyczące całej sieci. Poniżej znajdziesz minuty i filmy z odrębnych sesji oraz konkretne sesje dotyczące Piaskownicy prywatności.
W ramach trwającego sezonu konferencyjnego IETF (Internet Engineering Task Force) organizuje regularne 112 online plenary technical. Podobnie jak w przypadku TPAC, jest wiele indywidualnych sesji, w których omawiane są tematy związane z Piaskownicą prywatności, takie jak PRIV (Privacy Respecting Incorporation of Values), PEARG (Privacy Enhancements and Assessments Research Group) czy MASQUE (Multiplexed Application Substrate over QUIC Encryption). To szczegółowe techniczne dyskusje na temat projektów protokołów. Jeśli masz odpowiednie doświadczenie i chcesz wziąć udział w tych rozmowach, zastanów się, czy chcesz dołączyć.
Wzmacnianie granic prywatności między witrynami
Pliki cookie innych firm to kluczowy mechanizm umożliwiający śledzenie między witrynami. Umożliwienie stopniowego wycofywania tych plików jest ważnym krokiem, ale musimy też zająć się innymi formami przechowywania i komunikacji między witrynami.
Interfejs Federated Credential Management API
Proponowana usługa zarządzania uwierzytelnieniami federacyjnymi (FedCM) to nowa, bardziej trafna nazwa usługi WebID. Tożsamość sfederowana jest kluczową usługą w internecie, ale biorąc pod uwagę, że chodzi w niej o udostępnianie aspektów tożsamości innym witrynom, niektóre szczegóły jej implementacji pokrywają się ze śledzeniem między witrynami.
Propozycja dotycząca zarządzania upoważnieniami federacyjnymi obejmuje szereg opcji, od prostych ścieżek migracji dla istniejących rozwiązań po bardziej prywatne metody łączenia się z usługami przy minimalnej liczbie udostępnianych informacji.
Ta propozycja jest jeszcze na wczesnym etapie, a dyskusję na jej temat można śledzić w grupie W3C Federated Identity Community. Grupa zorganizowała też sesję TPAC, podczas której omówiono propozycję. Dostępna jest też bardzo wczesna wersja prototypowa interfejsu API, która jest dostępna za pomocą flagi w Chrome 89. Jest to jednak wersja eksperymentalna, która ulegnie zmianie w trakcie dyskusji.
Pliki cookie
W miarę wdrażania propozycji dotyczących plików cookie warto sprawdzić własne pliki SameSite=None lub pliki cookie w wielu witrynach i zaplanować działania, które należy podjąć w swojej witrynie.
CHIPS
Jeśli ustawiasz pliki cookie, które są wysyłane w kontekście obejmującym wiele witryn, ale w relacji 1:1 (np. w ramach wstawiania iframe lub wywołań interfejsu API), postępuj zgodnie z propozycją CHIPS lub plikami cookie z niezależnym stanem partycji. Dzięki temu możesz oznaczać pliki cookie jako „Partycjonowane” i umieszczać je w oddzielnym magazynie plików cookie dla każdej witryny najwyższego poziomu.
Trwają prace nad CHIPS. Chociaż ta funkcja jest dostępna za pomocą flagi chrome://flags/#partitioned-cookies i flagi --partitioned-cookies w wierszu poleceń, nie można jej jeszcze w pełni testować. Gdy wdrożenie będzie bardziej kompletne, przekażemy szczegółowe informacje o testowaniu i debugowaniu.
Zestawy źródeł własnych
Jeśli ustawiasz pliki cookie w różnych kontekstach, ale tylko w swoich witrynach (np. hostujesz usługę w domenie .com, która jest używana przez Twoją domenę .co.uk), postępuj zgodnie z zestawami własnymi. Ta propozycja określa sposób deklarowania, które witryny mają tworzyć zestaw, a następnie oznaczania plików cookie jako „SameParty”, aby były wysyłane tylko w kontekście tego zestawu.
Zestawy danych własnych są dostępne dla lokalnych deweloperów na potrzeby testów za pomocą flag chrome://flags/#use-first-party-set i chrome://flags/#sameparty-cookies-considered-first-party. Dzięki temu możesz określić własny zestaw powiązanych witryn i eksperymentować z zachowaniem plików cookie w ich przypadku.
Partycjonowanie miejsca na dane
Platforma internetowa zawiera inne formy przechowywania, które mogą umożliwiać śledzenie między witrynami. Sesja TPAC na temat stanu partycjonowania pamięci przeglądarki zawiera przegląd postępów w przypadku Chrome oraz dyskusję z przedstawicielami innych firm oferujących przeglądarki.
Programiści nie muszą nic robić, ale jeśli korzystasz z interfejsów SharedWorker, Web Storage, IndexedDB, CacheStorage, FileSystem API, BroadcastChannel, Web Locks API, Storage Buckets lub innych interfejsów API do przechowywania danych i komunikacji, które wymagają dostępu do tych danych w wielu witrynach, powinieneś śledzić ten temat, aby otrzymywać przyszłe aktualizacje.
Zapobieganie śledzonym skryptom
Ponieważ ograniczamy opcje jawnego śledzenia w wielu witrynach, musimy też zająć się obszarami platformy internetowej, które ujawniają informacje umożliwiające identyfikację i umożliwiające odciski palców lub ukryte śledzenie użytkowników.
Redukcja ciągu tekstowego klienta użytkownika i wskazówki dotyczące klienta użytkownika
Rozszerzyliśmy testowanie wersji próbnej origin, aby w Chrome testować ograniczony format User-Agent tak, aby obejmował wtyczki innych firm. Jeśli przede wszystkim udostępniasz treści w wielu witrynach dla innych usług, możesz włączyć opcję zewnętrzną podczas rejestracji w wersji próbnej pochodzenia, aby otrzymywać żądania w formacie skompresowanym.
Możesz śledzić pełną oś czasu dotyczącą redukcji klienta użytkownika w Chrome, w tym dodatkowe przykłady i szczegóły dotyczące faz wdrażania. Musisz też przejść na wskazówki dotyczące klienta użytkownika (UA-CH), jeśli korzystasz z informacji o wersji platformy, urządzenia lub pełnej wersji kompilacji w bieżącym formacie User-Agent.
Nadal standardyzujemy istniejące nazwy w sugestiach dla klienta, dodając w miejscach, w których brakuje prefiksu nagłówka Sec-CH-. W przypadku zatwierdzenia planujemy rozszerzyć zakres znaków GREASE w UA-CH.
Wyświetlanie odpowiednich treści i reklam
W drodze do wycofania plików cookie innych firm musimy wprowadzić interfejsy API, które umożliwią przypadki użycia, które na nich polegały, ale bez zezwalania na śledzenie między witrynami.
sfederowane uczenie się kohort : FLoC
FLoC to propozycja umożliwiająca wyświetlanie reklam opartych na zainteresowaniach bez konieczności śledzenia poszczególnych użytkowników w różnych witrynach. Zanim przejdziemy do dalszych testów w ekosystemie, analizowaliśmy opinie z wcześniejszego testu źródłowego FLoC. Podczas gdy nadal pracujemy nad kolejnymi krokami i decyzjami dotyczącymi FLoC, w krótce w bazie kodu Chromium powinien pojawić się kod eksploracyjny dotyczący koncepcji tematów (wcześniej). Ponieważ cały proces rozwoju Chrome odbywa się publicznie, te prace będą widoczne, ale nie będzie można ich od razu wykorzystać do testowania przez deweloperów (nie dotyczy to też użytkowników). Mamy nadzieję, że nadal będziesz uczestniczyć w tych dyskusjach i poznawać najnowsze informacje na nowej stronie PATCG (Private Advertising Technology Community Group).
Pomiar skuteczności reklam cyfrowych
W ramach wyświetlania reklam bez śledzenia w witrynach potrzebujemy mechanizmów ochrony prywatności, które pozwolą nam mierzyć skuteczność tych reklam.
Interfejs Attribution Reporting API
Interfejs Attribution Reporting API umożliwia pomiar zdarzeń w jednej witrynie, np. kliknięcia lub wyświetlenia reklamy, które prowadzą do konwersji w innej witrynie, bez włączania śledzenia między witrynami.
Chcemy kontynuować testowanie interfejsu Attribution Reporting API i planujemy rozszerzenie próbnego stosowania funkcji pochodzenia do wersji Chrome 97. Tokeny próbne bieżącego źródła wygasły 12 października, więc aby kontynuować testowanie, musisz poprosić o aktualne tokeny.
Zwalczanie spamu i oszustw w internecie
Innym wyzwaniem, które pojawia się, gdy ograniczamy możliwości śledzenia w witrynach, jest to, że te same techniki rozpoznawania są często wykorzystywane do ochrony przed spamem i oszustwami. Tutaj również potrzebujemy alternatyw chroniących prywatność.
Tokeny zaufania
Interfejs tokenu zaufania to propozycja, która umożliwia jednej witrynie udostępnianie informacji o użytkowniku (np. „Uważam, że jest to człowiek”) i zezwalanie innym witrynom na weryfikację tych informacji bez konieczności identyfikowania danej osoby.
Tokeny zaufania są częścią ogólnej strategii zwalczania spamu i oszustw w internecie. Podczas sesji „Zwalczanie oszustw w internecie” w ramach konferencji TPAC przedstawiciele całego ekosystemu omawiali obecne problemy i metody ich rozwiązywania.
Prześlij opinię
Ponieważ będziemy nadal publikować te miesięczne aktualizacje i wprowadzać zmiany w Privacy Sandbox, chcemy mieć pewność, że jako deweloper otrzymasz od nas niezbędne informacje i pomoc. Jeśli w tej serii jest coś, co możemy poprawić, daj nam znać na Twitterze @ChromiumDev. Wykorzystamy Twoje uwagi, aby dalej ulepszać ten format.
Dodaliśmy też często zadawane pytania dotyczące Piaskownicy prywatności, które będziemy dalej rozwijać na podstawie problemów przesyłanych przez deweloperów do repozytorium pomocy dla deweloperów. Jeśli masz pytania dotyczące testowania lub wdrażania któregoś z tych propozycji, skontaktuj się z nami.