דף זה תורגם על ידי Cloud Translation API.

ההתקדמות בארגז החול לפרטיות (אוקטובר 2021)
bookmark_border קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

ברוכים הבאים למהדורת אוקטובר של 'ההתקדמות בארגז החול לפרטיות', שבה אנחנו עוקבים אחרי אבני הדרך בדרך להפסקת השימוש בקובצי Cookie של צד שלישי ב-Chrome וליצירת אינטרנט פרטי יותר. בכל חודש נשתף סקירה כללית של העדכונים בלוח הזמנים של ארגז החול לפרטיות, יחד עם חדשות מהפרויקט.

אירועים

'Chrome פיתוח': סדר היום זמין עכשיו, אפשר להשתתף באופן וירטואלי החל מ-3 בנובמבר

החל מ-3 בנובמבר נעביר את פסגת המפתחים של Chrome. תוכלו לקבל עדכון על ארגז החול לפרטיות בנאום הפתיחה, לשלוח שאלות לצוות ההנהלה בשיחה הפתוח ולשאול שאלות מפורטות יותר לצוותים של מהנדסי Google בשעות הפעילות. נשמח לראות אותך שם.

בחודש הזה התקיים גם הכנס השנתי של W3C (שנקרא בדרך כלל TPAC), שבו כל הקבוצות השונות ב-W3C נפגשות כדי לדון במגוון נושאים שקשורים לאינטרנט. בהמשך מופיעים הסרטונים והדוחות של הסשנים הנפרדים, וגם סשנים ספציפיים שכוללים נושאים של ארגז החול לפרטיות.

בהמשך עונת הכנסים, IETF (ארגון התקינה בנושאי האינטרנט) מארח את האסיפה הכללית הטכנית ה-112 באינטרנט. בדומה ל-TPAC, יש מספר סשנים נפרדים שבהם מתקיים דיון בנושאים של ארגז החול לפרטיות, כמו קבוצות העבודה PRIV‏ (Privacy Respecting Incorporation of Values), PEARG‏ (Privacy Enhancements and Assessments Research Group) ו-MASQUE‏ (Multiplexed Application Substrate over QUIC Encryption). אלה דיונים טכניים מעמיקים על עיצוב פרוטוקולים. אם יש לכם את המומחיות המתאימה ואתם רוצים להשתתף בדיונים האלה, כדאי לכם להצטרף.

חיזוק גבולות הפרטיות באתרים שונים

קובצי cookie של צד שלישי הם מנגנון מפתח שמאפשר מעקב בכמה אתרים. היכולת להפסיק להשתמש בהם בהדרגה היא ציון דרך חשוב, אבל אנחנו צריכים לטפל גם בסוגים אחרים של אחסון או תקשורת בין אתרים.

Federated Credentials Management API

הצעה לניהול פרטי כניסה מאוחדים (FedCM) הוא השם החדש והמשמעותי יותר של WebID. זהות מאוחדת היא שירות קריטי באינטרנט, אבל מכיוון שהיא עוסקת במפורש בשיתוף היבטים של הזהות עם אתרים אחרים, יש פרטי הטמעה שמצטברים עם מעקב בכמה אתרים.

בהצעה לניהול פרטי כניסה מאוחדים מוצגות מגוון אפשרויות, החל מנתיבי העברה פשוטים לפתרונות קיימים ועד לשיטות פרטיות יותר להתחברות לשירותים, עם שיתוף המינימום הנדרש של מידע.

ההצעה הזו עדיין בשלב מוקדם, וניתן לעקוב אחרי הדיון בקבוצת הקהילה של W3C בנושא זהויות מאוחדות. הקבוצה גם אירחה סשן בנושא ב-TPAC, שבו ניתנה סקירה כללית של ההצעה. יש גם גרסת אב טיפוס מוקדמת מאוד של ה-API שזמינה מאחורי דגל ב-Chrome 89, אבל היא מיועדת לניסוי בלבד ותשתנה ככל שהדיון יתקדם.

עוגיות

ככל שההצעות שקשורות לקובצי cookie יתקדמו, כדאי לבדוק את קובצי ה-SameSite=None או את קובצי ה-cookie בכמה אתרים שלכם ולתכנן את הפעולות שצריך לבצע באתר.

CHIPS

אם מגדירים קובצי cookie שנשלחים בהקשרים שונים באתרים שונים, אבל ביחסי 1:1 – כמו הטמעות של iframe או קריאות ל-API – צריך לפעול בהתאם להצעה של CHIPS או ל-Cookies Having Independent Partitioned State. כך תוכלו לסמן קובצי cookie כ'מופרדים' ולהעביר אותם לקופסה נפרדת של קובצי cookie לכל אתר ברמה העליונה.

אנחנו ממשיכים לעבוד על CHIPS, והתכונה זמינה דרך chrome://flags/#partitioned-cookies והדגל --partitioned-cookies ב-CLI, אבל היא עדיין לא במצב שניתן לבדוק אותו באופן מלא. נעדכן את פרטי הבדיקה והניפוי באגים כשהטמעת התכונה תהיה מושלמת יותר.

באתר ברמה העליונה, green.com, יש iframe אל red.com. ב-red.com מוגדר קובץ cookie עם המאפיין 'Partitioned'. כשהדפדפן נמצא ב-blue.com עם iframe אל red.com, לא נשלח קובץ cookie. CHIPS יוצר מחיצה לכל אתר ברמה העליונה.

קבוצות מאינטראקציה ישירה (First-Party Sets)

אם אתם מגדירים קובצי cookie להקשרים שונים באתרים, אבל רק באתרים שבבעלותכם – לדוגמה, אתם מארחים שירות בדומיין ‎ .com שמשמש את הדומיין ‎ .co.uk – עליכם לפעול בהתאם לקבוצות של צד ראשון. ההצעה הזו מגדירה דרך להצהיר על האתרים שרוצים ליצור מהם קבוצה, ואז לסמן את קובצי ה-cookie בתור 'אותו צד' כדי שהם יישלחו רק בהקשרים בתוך הקבוצה הזו.

קבוצות של אינטראקציות ישירות (First-Party) זמינות לבדיקה מקומית של מפתחים באמצעות הדגלים chrome://flags/#use-first-party-set ו-chrome://flags/#sameparty-cookies-considered-first-party. כך תוכלו לציין קבוצה משלכם של אתרים קשורים ולנסות התנהגות של קובצי cookie באתרים האלה.

חלוקת האחסון למחיצות

פלטפורמת האינטרנט כוללת שיטות אחסון אחרות שעשויות לאפשר מעקב בכמה אתרים. בסשן העמקה בנושא הסטטוס של חלוקת האחסון בדפדפנים תוכלו לקבל סקירה כללית על ההתקדמות של Chrome, וגם לשמוע דיון של ספקי דפדפנים אחרים.

אין צורך מיידי בפעולה מצד המפתחים, אבל אם אתם משתמשים ב-SharedWorker, ב-Web Storage, ב-IndexedDB, ב-CacheStorage, ב-FileSystem API, ב-BroadcastChannel, ב-Web Locks API, ב-Storage Buckets או בפורמט אחר של אחסון או API תקשורת שבו אתם מסתמכים על גישה לנתונים האלה בכמה אתרים, כדאי לעקוב אחרי הנושא הזה לקבלת עדכונים עתידיים.

מניעת מעקב סמוי

ככל שאנחנו מצמצמים את האפשרויות למעקב מפורש בכמה אתרים, אנחנו צריכים לטפל גם באזורים בפלטפורמת האינטרנט שמאפשרים חשיפה של פרטים מזהים שמאפשרים ביצוע יצירת טביעות אצבע או מעקב סמוי אחרי משתמשים.

הפחתת המחרוזות של הסוכן המשתמש ורמזים על הלקוח (Client Hints) לגבי הסוכן המשתמש

הרחבנו את גרסת המקור לניסיון לבדיקה של הפורמט המופחת של סוכן המשתמש ב-Chrome כדי לכלול הטמעות של צד שלישי. אם אתם מספקים בעיקר תוכן באתרים שונים לשירותים אחרים, תוכלו להפעיל את האפשרות של צד שלישי כשאתם נרשמים לגרסת הטרום-השקה של המקור כדי לקבל את הפורמט המופחת בבקשות למשאבים שלכם.

אתם יכולים לעקוב אחרי לוח הזמנים המלא להפחתת סוכן המשתמש של Chrome, עם דוגמאות נוספות ופרטי שלבי ההשקה. תצטרכו גם להעביר את ההנחיות ללקוח של סוכן המשתמש (UA-CH) אם אתם מסתמכים על פרטי גרסת הפלטפורמה, המכשיר או גרסת ה-build המלאה בפורמט הנוכחי User-Agent.

אנחנו ממשיכים להטמיע תקן לשמות הקיימים של הנחיות ללקוח על ידי הוספת הקידומת של הכותרת Sec-CH- במקרים שבהם היא חסרה. אנחנו מקווים שנוכל להרחיב את מגוון התווים של GREASE ב-UA-CH, בהתאם לאישור.

הצגת תוכן ומודעות רלוונטיים

במסגרת המעבר להוצאה משימוש של קובצי cookie של צד שלישי, אנחנו צריכים להציג ממשקי API שמאפשרים את תרחישי השימוש שהתבססו עליהם, אבל בלי לאפשר מעקב בכמה אתרים.

FLoC

FLoC היא הצעה להפעלת פרסום מבוסס-עניין בלי צורך במעקב ספציפי באתרים שונים. אנחנו בודקים את המשוב מהניסוי הקודם של FLoC במקור לפני שנמשיך לבדיקות נוספות בסביבה העסקית. אנחנו ממשיכים לעבוד על השלבים הבאים ועל ההחלטות לגבי FLoC, וצפוי בקרוב להופיע בבסיס הקוד של Chromium קוד ראשוני בנושא מושג הנושאים (שציינו קודם). כל הפיתוח של Chrome מתבצע באופן גלוי, כך שהעבודה הזו תהיה גלויה, אבל אין בה שום דבר שאפשר לבצע באופן מיידי לצורך בדיקה על ידי מפתחים (והיא לא רלוונטית למשתמשים). אנחנו מקווים שנמשיך לשתף את הדיונים והעדכונים האלה בקבוצה החדשה של קהילת טכנולוגיות הפרסום (PATCG).

מדידת מודעות דיגיטליות

כדי להציג מודעות ללא מעקב בכמה אתרים, אנחנו זקוקים למנגנונים לשמירה על הפרטיות כדי למדוד את היעילות של המודעות האלה.

Attribution Reporting API

Attribution Reporting API מאפשר לכם למדוד אירועים באתר אחד, כמו לחיצה על מודעה או צפייה בה, שמובילים להמרה באתר אחר – בלי להפעיל מעקב בכמה אתרים.

אנחנו רוצים להמשיך לבדוק את Attribution Reporting API, ואנחנו מתכננים להאריך את תקופת הניסיון במקור עד ל-Chrome 97. התוקף של אסימוני הניסיון הנוכחיים למקור פג ב-12 באוקטובר, ולכן תצטרכו לבקש אסימונים מעודכנים כדי להמשיך את הבדיקה.

מאבק בספאם ובהונאות באינטרנט

האתגר השני שאנחנו מתמודדים איתו כשאנחנו מצמצמים את הפלטפורמות הזמינות למעקב בין-אתרים הוא שאותן שיטות ליצירת טביעות אצבע משמשות לעתים קרובות להגנה מפני ספאם והונאות. גם כאן נדרשות חלופות לשמירה על הפרטיות.

טוקנים לאימות

ה-API של Trust Token הוא הצעה שמאפשרת לאתר אחד לשתף טענה לגבי מבקר – למשל "אני חושב שהוא אדם" – ולאפשר לאתרים אחרים לאמת את הטענה הזו, שוב בלי לזהות את האדם.

אסימוני מהימנות הם חלק מהאסטרטגיה הכוללת שלנו לטיפול בספאם ובתרמיות באינטרנט. בסשן בנושא 'מניעת הונאות באינטרנט' ב-TPAC, נציגים מכל רחבי הסביבה העסקית דיברו על חלק מהאתגרים והגישות הקיימים.

משוב

אנחנו ממשיכים לפרסם את העדכונים החודשיים האלה ולהמשיך להתקדם ב-Privacy Sandbox בכללותו, ואנחנו רוצים לוודא שפיתוחים מקבלים את המידע והתמיכה שהם צריכים. אם יש משהו שאנחנו יכולים לשפר בסדרה הזו, נשמח לשמוע מכם בטוויטר ‎@ChromiumDev. המשוב שלכם יעזור לנו להמשיך לשפר את הפורמט.

הוספנו גם שאלות נפוצות בנושא ארגז החול לפרטיות, שנמשיך להרחיב על סמך הבעיות שתשלחו למאגר התמיכה למפתחים. אם יש לכם שאלות לגבי בדיקה או הטמעה של אחת מההצעות, תוכלו לפנות אלינו שם.