חלק מהטכנולוגיות של ארגז החול לפרטיות יוצאות משימוש.

אפשר לעיין בעדכון שלנו בנושא התוכניות לשימוש בטכנולוגיות של ארגז החול לפרטיות.

סטטוס התכונות של ארגז החול לפרטיות מספק מידע נוסף על הסטטוס של ממשקי API ותכונות פלטפורמה ספציפיים.

דף זה תורגם על ידי Cloud Translation API.

ההתקדמות בארגז החול לפרטיות (אוקטובר 2021)

ברוכים הבאים למהדורת אוקטובר של 'ההתקדמות בארגז החול לפרטיות', שבה אנחנו עוקבים אחרי אבני הדרך בתהליך ההוצאה משימוש של קובצי Cookie של צד שלישי ב-Chrome, ועובדים לקראת אינטרנט פרטי יותר. בכל חודש נשתף סקירה כללית של העדכונים בלוח הזמנים של ארגז החול לפרטיות, יחד עם חדשות מהפרויקט.

אירועים

התוכנית של Chrome Dev Summit זמינה עכשיו. תוכלו להשתתף בו באופן וירטואלי החל מ-3 בנובמבר.

החל מ-3 בנובמבר נעביר את פסגת המפתחים של Chrome. תוכלו לקבל עדכון על ארגז החול לפרטיות בנאום הפתיחה, לשלוח שאלות לצוות ההנהלה בשיחה הפתוח ולשאול שאלות מפורטות יותר לצוותים של מהנדסי Google בשעות הפעילות. נשמח לראות אותך שם.

בחודש הזה התקיים גם הכנס השנתי של W3C (שנקרא בדרך כלל TPAC), שבו כל הקבוצות השונות ב-W3C נפגשות כדי לדון במגוון נושאים שקשורים לאינטרנט. בהמשך מופיעים הסרטונים והדוחות של הסשנים הנפרדים, וגם סשנים ספציפיים שכוללים נושאים שקשורים לארגז החול לפרטיות.

בהמשך עונת הכנסים, IETF (ארגון התקינה בנושאי האינטרנט) מארח את האסיפה הכללית הטכנית ה-112 באינטרנט. בדומה ל-TPAC, יש כמה סשנים נפרדים שבהם מדברים על נושאים שקשורים לארגז החול לפרטיות, כמו PRIV‏ (Privacy Respecting Incorporation of Values), PEARG‏ (Privacy Enhancements and Assessments Research Group) וקבוצות העבודה MASQUE‏ (Multiplexed Application Substrate over QUIC Encryption). אלה דיונים טכניים מעמיקים על עיצוב פרוטוקולים. אם יש לכם את המומחיות המתאימה ואתם רוצים להשתתף בדיונים האלה, כדאי לכם להצטרף.

חיזוק גבולות הפרטיות באתרים שונים

קובצי cookie של צד שלישי הם מנגנון מפתח שמאפשר מעקב בכמה אתרים. היכולת להפסיק להשתמש בהם בהדרגה היא ציון דרך חשוב, אבל אנחנו צריכים לטפל גם בסוגים אחרים של אחסון או תקשורת בין אתרים.

Federated Credentials Management API

הצעה לניהול פרטי כניסה מאוחדים (FedCM) הוא השם החדש והמשמעותי יותר של WebID. זהות מאוחדת היא שירות קריטי באינטרנט, אבל מכיוון שהיא עוסקת במפורש בשיתוף היבטים של הזהות עם אתרים אחרים, יש פרטי הטמעה שמצטברים עם מעקב בכמה אתרים.

ההצעה של Federated Credentials Management בוחנת מגוון אפשרויות, החל מנתיבי העברה פשוטים לפתרונות קיימים ועד לשיטות פרטיות יותר להתחברות לשירותים, עם שיתוף המינימום הנדרש של מידע.

ההצעה הזו עדיין בשלב מוקדם, וניתן לעקוב אחרי הדיון בקבוצת הקהילה של W3C בנושא זהויות מאוחדות. הקבוצה גם אירחה סשן בנושא ב-TPAC, שבו ניתנה סקירה כללית של ההצעה. יש גם גרסת אב טיפוס מוקדמת מאוד של ה-API שזמינה מאחורי דגל ב-Chrome 89, אבל היא מיועדת לניסוי בלבד ותשתנה ככל שהדיון יתקדם.

עוגיות

ככל שההצעות שקשורות לקובצי cookie יתקדמו, כדאי לבדוק את קובצי ה-SameSite=None או את קובצי ה-cookie בכמה אתרים שלכם ולתכנן את הפעולות שצריך לבצע באתר.

CHIPS

אם מגדירים קובצי Cookie שנשלחים בהקשרים שונים באתרים שונים, אבל ביחסי 1:1 – כמו הטמעות של iframe או קריאות ל-API – צריך לפעול בהתאם להצעה של CHIPS או ל-Cookies Having Independent Partitioned State. כך תוכלו לסמן קובצי Cookie כ'מחולקים למחיצות' ולהעביר אותם לצנצנת עוגיות נפרדת לכל אתר ברמה העליונה.

אנחנו ממשיכים לעבוד על CHIPS, והתכונה זמינה דרך chrome://flags/#partitioned-cookies ודגל ה-CLI --partitioned-cookies, אבל היא עדיין לא במצב שניתן לבדוק אותו באופן מלא. נעדכן את פרטי הבדיקה והניפוי באגים כשהטמעת התכונה תהיה מושלמת יותר.

באתר ברמה העליונה, green.com, יש iframe אל red.com. ב-red.com מוגדר קובץ cookie עם המאפיין 'Partitioned'. כשהדפדפן נמצא ב-blue.com עם iframe אל red.com, לא נשלח קובץ cookie. CHIPS יוצר מחיצה לכל אתר ברמה העליונה.

קבוצות מאינטראקציה ישירה (First-Party Sets)

אם אתם מגדירים קובצי cookie להקשרים שונים באתרים, אבל רק באתרים שבבעלותכם – לדוגמה, אתם מארחים שירות בדומיין ‎ .com שמשמש את הדומיין ‎ .co.uk – עליכם לפעול בהתאם לקבוצות של צד ראשון. ההצעה הזו מגדירה דרך להצהיר על האתרים שרוצים ליצור מהם קבוצה, ואז לסמן את קובצי ה-cookie בתור 'אותו צד' כדי שהם יישלחו רק בהקשרים בתוך הקבוצה הזו.

קבוצות של אינטראקציות ישירות זמינות למפתחים לצורך בדיקה מקומית באמצעות הדגלים chrome://flags/#use-first-party-set ו-chrome://flags/#sameparty-cookies-considered-first-party. כך תוכלו לציין קבוצה משלכם של אתרים קשורים ולנסות התנהגות של קובצי cookie באתרים האלה.

חלוקת האחסון למחיצות

פלטפורמת האינטרנט כוללת שיטות אחסון אחרות שעשויות לאפשר מעקב בכמה אתרים. בסשן העמקה בנושא הסטטוס של חלוקת האחסון בדפדפנים תוכלו לקבל סקירה כללית על ההתקדמות של Chrome, וגם לשמוע דיון של ספקי דפדפנים אחרים.

אין צורך מיידי בפעולה מצד המפתחים, אבל אם אתם משתמשים ב-SharedWorker, ב-Web Storage, ב-IndexedDB, ב-CacheStorage, ב-FileSystem API, ב-BroadcastChannel, ב-Web Locks API, ב-Storage Buckets או בפורמט אחר של אחסון או API תקשורת שבו אתם מסתמכים על גישה לנתונים האלה בכמה אתרים, כדאי לעקוב אחרי הנושא הזה לקבלת עדכונים עתידיים.

מניעת מעקב סמוי

ככל שאנחנו מצמצמים את האפשרויות למעקב מפורש בכמה אתרים, אנחנו צריכים לטפל גם באזורים בפלטפורמת האינטרנט שמחשפים פרטים מזהים שמאפשרים ביצוע טביעת אצבע או מעקב סמוי אחרי משתמשים.

הפחתת המחרוזות של הסוכן המשתמש ורמזים על הלקוח (Client Hints) לגבי הסוכן המשתמש

הרחבנו את גרסת המקור לניסיון לבדיקה של הפורמט המופחת של סוכן המשתמש ב-Chrome כדי לכלול הטמעות של צד שלישי. אם אתם מספקים בעיקר תוכן באתרים שונים לשירותים אחרים, תוכלו להפעיל את האפשרות של צד שלישי כשאתם נרשמים לגרסת הטרום-השקה של המקור כדי לקבל את הפורמט המופחת בבקשות למשאבים שלכם.

אתם יכולים לעקוב אחרי לוח הזמנים המלא להפחתת סוכן המשתמש של Chrome, עם דוגמאות נוספות ופרטי שלבי ההשקה. תצטרכו גם להעביר את ההנחיות ללקוח של סוכן המשתמש (UA-CH) אם אתם מסתמכים על פרטי גרסת הפלטפורמה, המכשיר או גרסת ה-build המלאה בפורמט הנוכחי User-Agent.

אנחנו ממשיכים להטמיע תקן לשמות הקיימים של הנחיות ללקוח על ידי הוספת הקידומת של הכותרת Sec-CH- במקרים שבהם היא חסרה. אנחנו מקווים שנוכל להרחיב את מגוון התווים של GREASE ב-UA-CH, בהתאם לאישור.

איך להציג מודעות ותכנים רלוונטיים

במסגרת המעבר להוצאה משימוש של קובצי cookie של צד שלישי, אנחנו צריכים להציג ממשקי API שמאפשרים את תרחישי השימוש שהתבססו עליהם, אבל בלי לאפשר מעקב בכמה אתרים.

FLoC

FLoC היא הצעה שמאפשרת לפרסם על סמך תחומי עניין בלי צורך במעקב ספציפי באתרים שונים. אנחנו בודקים את המשוב מהניסוי הקודם של FLoC במקור לפני שנמשיך לבדיקות נוספות בסביבה העסקית. אנחנו ממשיכים לעבוד על השלבים הבאים ועל ההחלטות לגבי FLoC, וצפוי בקרוב להופיע בבסיס הקוד של Chromium קוד ראשוני בנושא מושג הנושאים (שציינו קודם). כל הפיתוח של Chrome מתבצע באופן גלוי, כך שהעבודה הזו תהיה גלויה, אבל אין בה שום דבר שאפשר לבצע באופן מיידי לצורך בדיקה על ידי מפתחים (והיא לא רלוונטית למשתמשים). אנחנו מקווים שנמשיך לשתף את הדיונים והעדכונים האלה בקבוצה החדשה של קהילת טכנולוגיות הפרסום (PATCG).

מדידה של מודעות דיגיטליות

כדי להציג מודעות בלי מעקב באתרים שונים, אנחנו זקוקים למנגנונים לשמירה על הפרטיות כדי למדוד את היעילות של המודעות האלה.

Attribution Reporting API

Attribution Reporting API מאפשר למדוד אירועים באתר אחד, כמו לחיצה על מודעה או צפייה בה, שמובילים להמרה באתר אחר – בלי להפעיל מעקב בכמה אתרים.

אנחנו רוצים להמשיך לבדוק את Attribution Reporting API, ואנחנו מתכננים להאריך את תקופת הניסיון במקור עד ל-Chrome 97. התוקף של אסימוני הניסיון הנוכחיים למקור פג ב-12 באוקטובר, ולכן תצטרכו לבקש אסימונים מעודכנים כדי להמשיך את הבדיקה.

מאבק בספאם ובהונאות באינטרנט

האתגר השני שאנחנו מתמודדים איתו כשאנחנו מצמצמים את הפלטפורמות הזמינות למעקב בין-אתרים הוא שאותן שיטות ליצירת טביעות אצבע משמשות לעתים קרובות להגנה מפני ספאם והונאות. גם כאן נדרשות חלופות לשמירה על הפרטיות.

טוקנים לאימות

Trust Token API הוא הצעה שמאפשרת לאתר אחד לשתף טענה לגבי מבקר – למשל "אני חושב שהוא אדם" – ולאפשר לאתרים אחרים לאמת את הטענה הזו, שוב בלי לזהות את האדם.

אסימוני מהימנות הם חלק מהאסטרטגיה הכוללת שלנו לטיפול בספאם ובתרמיות באינטרנט. בסשן בנושא 'מניעת הונאות באינטרנט' ב-TPAC, נציגים מכל רחבי הסביבה העסקית דיברו על חלק מהאתגרים והגישות הנוכחיים.

משוב

אנחנו ממשיכים לפרסם את העדכונים החודשיים האלה ולהמשיך את התהליך של ארגז החול לפרטיות, ואנחנו רוצים לוודא שפיתוחים מקבלים את המידע והתמיכה שהם צריכים. אם יש משהו שאנחנו יכולים לשפר בסדרה הזו, נשמח לשמוע מכם בטוויטר ‎@ChromiumDev. המשוב שלכם יעזור לנו להמשיך לשפר את הפורמט.

הוספנו גם שאלות נפוצות על ארגז החול לפרטיות, ואנחנו נמשיך להרחיב את השאלות על סמך הבעיות שתשלחו למאגר התמיכה למפתחים. אם יש לכם שאלות לגבי בדיקה או הטמעה של אחת מההצעות, תוכלו לפנות אלינו שם.