Bienvenue dans l'édition d'octobre de la progression dans la Privacy Sandbox. Nous vous présentons les étapes franchies vers l'abandon progressif des cookies tiers dans Chrome et la création d'un Web plus privé. Chaque mois, nous vous présenterons les mises à jour du calendrier de la Privacy Sandbox, ainsi que les actualités du projet.
Événements
À partir du 3 novembre, nous organiserons le Chrome Developer Summit. Vous pourrez obtenir des informations sur la Privacy Sandbox lors de la keynote, poser des questions à l'équipe de direction lors de la session de questions/réponses et poser des questions plus détaillées aux équipes d'ingénieurs lors des permanences techniques. Inscrivez-vous dès aujourd'hui et nous espérons vous y retrouver.
Ce mois-ci a également vu se tenir la conférence annuelle du W3C (communément appelée TPAC), au cours de laquelle tous les différents groupes du W3C se réunissent pour discuter de divers sujets concernant l'ensemble du Web. Vous pouvez consulter les durée et vidéos des sessions de travail en petits groupes, et des sessions spécifiques sur des sujets liés à la Privacy Sandbox sont incluses ci-dessous.
Poursuivant la saison des conférences, l'IETF (Internet Engineering Task Force) organise sa 112e réunion plénière technique en ligne. Comme pour le TPAC, un certain nombre de sessions individuelles sont consacrées à des sujets liés à la Privacy Sandbox, comme les groupes de travail PRIV (Privacy Respecting Incorporation of Values), PEARG (Privacy Enhancements and Assessments Research Group) et MASQUE (Multiplexed Application Substrate over QUIC Encryption). Il s'agit de discussions techniques approfondies sur les conceptions de protocoles. Si vous disposez de l'expertise appropriée et que vous souhaitez contribuer à ces discussions, n'hésitez pas à nous rejoindre.
Prévention du suivi intersites pour améliorer la confidentialité
Les cookies tiers sont un mécanisme clé qui permet le suivi intersites. La possibilité de les abandonner progressivement est un jalon important, mais nous devons également nous attaquer à d'autres formes de stockage ou de communication intersites.
API Federated Credential Management
La proposition Federated Credential Management (FedCM) est le nouveau nom plus pertinent de WebID. L'identité fédérée est un service essentiel pour le Web, mais étant donné qu'il s'agit explicitement de partager des aspects de l'identité avec d'autres sites, des détails d'implémentation se chevauchent avec le suivi intersites.
La proposition de gestion des identifiants fédérés explore un large éventail d'options, allant de chemins de migration simples pour les solutions existantes à des méthodes plus privées de connexion aux services avec un minimum d'informations partagées.
Cette proposition en est encore à ses débuts. Vous pouvez suivre les discussions dans le groupe de la communauté sur l'identité fédérée du W3C. Le groupe a également organisé une session d'atelier au TPAC, qui a permis de présenter la proposition. Une version prototype très précoce de l'API est également disponible derrière un indicateur à partir de Chrome 89, mais elle est uniquement destinée à des tests et sera modifiée au fur et à mesure de la discussion.
Cookies
À mesure que les propositions liées aux cookies progressent, vous devez auditer vos propres SameSite=None ou cookies intersites et planifier les mesures à prendre sur votre site.
CHIPS
Si vous définissez des cookies envoyés dans des contextes intersites, mais dans des relations individuelles (comme les iFrames intégrées ou les appels d'API), vous devez suivre la proposition CHIPS (Cookies Having Independent Partitioned State). Vous pouvez ainsi marquer les cookies comme "partitionnés" et les placer dans un pot à cookies distinct par site de premier niveau.
Les travaux sur CHIPS progressent. Bien que la fonctionnalité soit disponible derrière chrome://flags/#partitioned-cookies et l'indicateur de ligne de commande --partitioned-cookies, elle n'est pas encore complètement testable. Nous vous fournirons des informations à jour sur les tests et le débogage une fois l'implémentation plus complète.
Ensembles propriétaires
Si vous définissez des cookies pour des contextes intersites, mais uniquement sur les sites que vous possédez (par exemple, vous hébergez un service sur votre domaine .com qui est utilisé par votre domaine .co.uk), vous devez suivre les ensembles propriétaires. Cette proposition définit un moyen de déclarer les sites que vous souhaitez former en ensemble, puis de marquer les cookies comme "SameParty" afin qu'ils ne soient envoyés que pour les contextes de cet ensemble.
Les ensembles first party sont disponibles pour les tests locaux des développeurs derrière les indicateurs chrome://flags/#use-first-party-set et chrome://flags/#sameparty-cookies-considered-first-party. Ils vous permettent de spécifier votre propre ensemble de sites associés et d'expérimenter le comportement des cookies sur ces sites.
Storage Partitioning
La plate-forme Web inclut d'autres formes de stockage qui peuvent permettre le suivi intersites. La session de TPAC sur l'état de la partitionnement de l'espace de stockage du navigateur fournit un aperçu des progrès de Chrome, ainsi qu'une discussion avec d'autres fournisseurs de navigateurs.
Aucune action n'est requise de la part des développeurs pour le moment, mais si vous utilisez SharedWorker, Web Storage, IndexedDB, CacheStorage, une ou plusieurs API FileSystem, BroadcastChannel, l'API Web Locks, des buckets de stockage ou toute autre forme d'API de stockage ou de communication dans laquelle vous accédez à ces données sur plusieurs sites, vous devez suivre ce sujet pour les futures mises à jour.
Empêcher le suivi dissimulé
À mesure que nous réduisons les options de suivi intersites explicite, nous devons également nous attaquer aux zones de la plate-forme Web qui exposent des informations d'identification permettant l'empreinte digitale ou le suivi caché des utilisateurs.
Réduction de la chaîne user-agent et User-Agent Client Hints
Nous avons étendu la phase d'évaluation pour les origines afin de tester le format user-agent réduit de Chrome pour inclure les éléments intégrés tiers. Si vous fournissez principalement du contenu intersites pour d'autres services, vous pouvez activer l'option tierce lorsque vous vous inscrivez au test d'origine pour recevoir le format réduit sur les requêtes envoyées à vos ressources.
Vous pouvez suivre la chronologie complète de la réduction de l'user-agent de Chrome, avec d'autres exemples et détails sur les phases de déploiement. Vous devrez également migrer vers les hints client user-agent (UA-CH) si vous vous appuyez sur les informations sur la version de la plate-forme, de l'appareil ou de la version complète du build dans le format User-Agent actuel.
Nous continuons de standardiser les noms existants pour les indices client en ajoutant le préfixe d'en-tête Sec-CH- lorsqu'il est manquant. En attendant votre approbation, nous espérons élargir la gamme de caractères GREASE pour UA-CH.
Afficher des annonces et des contenus pertinents
À mesure que nous abandonnerons progressivement les cookies tiers, nous devrons introduire des API qui permettent les cas d'utilisation qui en dépendaient, mais sans autoriser le suivi intersites.
FLoC (Federated Learning of Cohorts)
FLoC est une proposition visant à activer la publicité ciblée par centres d'intérêt sans avoir besoin d'un suivi intersite individuel. Nous évaluons les commentaires de l'essai précédent sur l'origine du FLoC avant de passer à d'autres tests de l'écosystème. Alors que nous continuons de travailler sur les prochaines étapes et décisions concernant le FLoC, vous devriez bientôt voir du code exploratoire sur le concept de thèmes (références précédentes) apparaître dans la base de code Chromium. Comme tout le développement de Chrome se fait en public, ce travail sera visible, mais il n'y a rien à faire immédiatement pour les tests des développeurs (et cela ne s'applique pas aux utilisateurs). Nous espérons pouvoir continuer à partager ces discussions et mises à jour dans le nouveau PATCG (Private Advertising Technology Community Group).
Mesurer les annonces numériques
Pour accompagner la diffusion d'annonces sans suivi intersites, nous avons besoin de mécanismes respectueux de la confidentialité pour mesurer l'efficacité de ces annonces.
API Attribution Reporting
L'API Attribution Reporting vous permet de mesurer les événements sur un site (par exemple, un clic ou une visionnage d'annonce) qui entraînent une conversion sur un autre site, sans activer le suivi intersites.
Nous souhaitons poursuivre les tests de l'API Attribution Reporting et prévoyons d'prolonger la phase d'évaluation de l'origine jusqu'à Chrome 97. Les jetons d'essai d'origine actuels ont expiré le 12 octobre. Vous devrez donc demander des jetons mis à jour pour continuer les tests.
Lutte contre le spam et la fraude sur le Web
L'autre défi que nous rencontrons lorsque nous réduisons les surfaces disponibles pour le suivi intersites est que ces mêmes techniques d'empreinte digitale sont souvent utilisées pour la protection contre le spam et la fraude. Nous avons également besoin d'alternatives protégeant la confidentialité.
Trust Tokens
L'API Trust Token est une proposition qui permet à un site de partager une revendication concernant un visiteur (par exemple, "Je pense qu'il s'agit d'un humain") et d'autoriser d'autres sites à vérifier cette revendication, là encore sans identifier la personne.
Les jetons de confiance font partie de la stratégie globale visant à lutter contre le spam et la fraude sur le Web. Lors de la session "Anti-fraud for the web" (Lutte contre la fraude sur le Web) du TPAC, des représentants de l'ensemble de l'écosystème ont discuté de certains des défis et des approches actuels.
Commentaires
Alors que nous continuons de publier ces mises à jour mensuelles et de progresser dans la Privacy Sandbox dans son ensemble, nous voulons nous assurer que vous, en tant que développeur, recevez les informations et l'assistance dont vous avez besoin. N'hésitez pas à nous contacter sur Twitter@ChromiumDev si vous pensez que nous pourrions améliorer cette série. Nous utiliserons vos commentaires pour continuer à améliorer le format.
Nous avons également ajouté une FAQ sur la Privacy Sandbox que nous continuerons de développer en fonction des problèmes que vous envoyez au dépôt d'assistance pour les développeurs. Si vous avez des questions concernant les tests ou l'implémentation de l'une des propositions, n'hésitez pas à nous contacter.