Privacy Sandbox की प्रोग्रेस के अक्टूबर के अंक में आपका स्वागत है. इसमें, Chrome में तीसरे पक्ष की कुकी के इस्तेमाल को बंद करने के मकसद से, Privacy Sandbox के तहत किए जा रहे काम के बारे में बताया गया है. साथ ही, वेब को ज़्यादा निजी बनाने के लिए किए जा रहे काम के बारे में भी बताया गया है. हम हर महीने, प्राइवसी सैंडबॉक्स की टाइमलाइन में हुए अपडेट की खास जानकारी शेयर करेंगे. साथ ही, इस प्रोजेक्ट से जुड़ी अन्य खबरें भी शेयर करेंगे.
इवेंट
हम 3 नवंबर से Chrome डेवलपर सम्मिट का आयोजन करेंगे. आपको मुख्य भाषण में, प्राइवसी सैंडबॉक्स के बारे में अपडेट मिलेगा. साथ ही, आपके पास एएमए में लीडरशिप टीम से सवाल पूछने का मौका होगा. इसके अलावा, ऑफ़िस के खुले होने के दौरान, इंजीनियरिंग टीम से ज़्यादा जानकारी के लिए सवाल पूछे जा सकेंगे. आज साइन अप करें और हमें उम्मीद है कि आप वहां मौजूद होंगे!
इस महीने W3C का सालाना कॉन्फ़्रेंस (आम तौर पर इसे TPAC कहा जाता है) भी हुआ. इसमें W3C के सभी ग्रुप, वेब से जुड़े अलग-अलग विषयों पर चर्चा करने के लिए इकट्ठा होते हैं. ब्रेकआउट सेशन के लिए मिनट और वीडियो देखे जा सकते हैं. साथ ही, यहां Privacy Sandbox के विषयों वाले खास सेशन भी शामिल हैं.
कॉन्फ़्रेंस का सीज़न जारी है. आईईटीएफ़ (इंटरनेट इंजीनियरिंग टास्क फ़ोर्स), अपनी नियमित 112 ऑनलाइन टेक्निकल प्लैनरी की मेज़बानी कर रहा है. TPAC की तरह ही, यहां भी कई अलग-अलग सेशन में Privacy Sandbox के विषयों पर चर्चा की जाती है. जैसे, PRIV (Privacy Respecting Incorporation of Values), PEARG (Privacy Enhancements and Assessments Research Group), और MASQUE (Multiplexed Application Substrate over QUIC Encryption) वर्किंग ग्रुप. ये प्रोटोकॉल डिज़ाइन के बारे में गहरी तकनीकी बातचीत हैं. अगर आपके पास इस विषय में ज़रूरी विशेषज्ञता है और आपको इन बातचीत में योगदान देना है, तो कृपया इसमें शामिल हों.
अलग-अलग साइटों पर निजता की सीमाओं को बेहतर बनाना
तीसरे पक्ष की कुकी, एक अहम तरीका है जो अलग-अलग साइटों पर ट्रैकिंग की सुविधा चालू करती है. इन्हें हटाना एक अहम उपलब्धि है. हालांकि, हमें क्रॉस-साइट स्टोरेज या कम्यूनिकेशन के दूसरे तरीकों से भी निपटना होगा.
Federated Credentials Management API
फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट (FedCM) का प्रस्ताव, WebID का नया और ज़्यादा काम का नाम है. फ़ेडरेटेड आइडेंटिटी, वेब के लिए एक ज़रूरी सेवा है. हालांकि, यह सेवा अन्य साइटों के साथ पहचान के पहलुओं को शेयर करने के बारे में साफ़ तौर पर बताती है. इसलिए, इसे लागू करने की जानकारी, क्रॉस-साइट ट्रैकिंग से ओवरलैप होती है.
Federated Credential Management के प्रस्ताव में कई विकल्पों के बारे में बताया गया है. इनमें, मौजूदा सलूशन के लिए माइग्रेशन के आसान पाथ से लेकर, सेवाओं से कनेक्ट करने के ज़्यादा निजी तरीकों तक शामिल हैं. इन तरीकों में, ज़रूरत के मुताबिक कम से कम जानकारी शेयर की जाती है.
यह प्रस्ताव अभी शुरुआती चरण में है. इस बारे में W3C के फ़ेडरेटेड आइडेंटिटी कम्यूनिटी ग्रुप में चर्चा की जा सकती है. इस ग्रुप ने TPAC में एक ब्रेकआउट सेशन भी होस्ट किया. इसमें प्रस्ताव की खास जानकारी दी गई. Chrome 89 में एक फ़्लैग के पीछे, एपीआई का बहुत ही शुरुआती प्रोटोटाइप वर्शन भी उपलब्ध है. हालांकि, यह सिर्फ़ एक्सपेरिमेंट के लिए है और चर्चा के आगे बढ़ने के साथ बदल जाएगा.
कुकी
कुकी से जुड़े प्रस्तावों के आगे बढ़ने के साथ, आपको अपनी SameSite=None या क्रॉस-साइट कुकी की ऑडिटिंग करनी चाहिए. साथ ही, अपनी साइट पर की जाने वाली कार्रवाई की योजना बनानी चाहिए.
सीएचआईपीएस
अगर आपने ऐसी कुकी सेट की हैं जो अलग-अलग साइटों के कॉन्टेक्स्ट में भेजी जाती हैं, लेकिन 1:1 संबंधों में—जैसे, iframe एम्बेड या एपीआई कॉल—तो आपको सीएचआईपीएस के प्रस्ताव या अलग-अलग सेक्शन में बांटी गई कुकी का पालन करना चाहिए. इसकी मदद से, कुकी को "अलग-अलग हिस्सों में बांटा गया" के तौर पर मार्क किया जा सकता है. साथ ही, हर टॉप-लेवल साइट के लिए, उन्हें अलग-अलग कुकी जार में रखा जा सकता है.
CHIPS पर काम जारी है. यह सुविधा chrome://flags/#partitioned-cookies और --partitioned-cookies सीएलआई फ़्लैग के पीछे उपलब्ध है. हालांकि, इसे अभी तक पूरी तरह से टेस्ट नहीं किया जा सकता. लागू होने के बाद, हम टेस्टिंग और डिबग करने के बारे में अपडेट की जानकारी देंगे.
पहले पक्ष के सेट
अगर आपने अलग-अलग साइटों के कॉन्टेक्स्ट के लिए कुकी सेट की हैं, लेकिन सिर्फ़ उन साइटों पर जो आपके मालिकाना हक वाली हैं, तो आपको पहले पक्ष के सेट का पालन करना चाहिए. उदाहरण के लिए, आपने .com पर एक सेवा होस्ट की है जिसका इस्तेमाल .co.uk पर किया जाता है. इस प्रस्ताव में यह बताने का तरीका बताया गया है कि आपको किन साइटों का सेट बनाना है. इसके बाद, कुकी को "SameParty" के तौर पर मार्क किया जाता है, ताकि उन्हें सिर्फ़ उस सेट के कॉन्टेक्स्ट के लिए भेजा जा सके.
पहले पक्ष के सेट, chrome://flags/#use-first-party-set और chrome://flags/#sameparty-cookies-considered-first-party फ़्लैग के पीछे लोकल डेवलपर की जांच के लिए उपलब्ध हैं. इनकी मदद से, मिलती-जुलती साइटों का अपना सेट तय किया जा सकता है. साथ ही, उन सभी साइटों पर कुकी के व्यवहार के साथ प्रयोग किया जा सकता है.
तीसरे पक्ष के स्टोरेज का पार्टिशन
वेब प्लैटफ़ॉर्म में स्टोरेज के ऐसे अन्य तरीके शामिल होते हैं जिनसे क्रॉस-साइट ट्रैकिंग की सुविधा चालू हो सकती है. ब्राउज़र के स्टोरेज को अलग-अलग हिस्सों में बांटने की सुविधा की स्थिति पर आधारित टीपीएसी ब्रेकआउट सेशन में, Chrome की प्रोग्रेस के बारे में खास जानकारी दी गई है. साथ ही, इसमें अन्य ब्राउज़र वेंडर की चर्चा भी शामिल है.
डेवलपर को तुरंत कोई कार्रवाई करने की ज़रूरत नहीं है. हालांकि, अगर आपने SharedWorker, वेब स्टोरेज, IndexedDB, CacheStorage, FileSystem API, BroadcastChannel, Web Locks API, स्टोरेज बकेट या स्टोरेज या कम्यूनिकेशन एपीआई के किसी अन्य फ़ॉर्म का इस्तेमाल किया है, तो आपको आने वाले समय में होने वाले अपडेट के लिए इस विषय को ट्रैक करना चाहिए.
गुप्त ट्रैकिंग को रोकना
हम अलग-अलग साइटों पर होने वाली ट्रैकिंग के विकल्पों को कम कर रहे हैं. साथ ही, हमें वेब प्लैटफ़ॉर्म के उन हिस्सों को भी ठीक करना होगा जिनमें उपयोगकर्ताओं की पहचान से जुड़ी जानकारी ज़ाहिर होती है. इससे उपयोगकर्ताओं की फ़िंगरप्रिंट या गुप्त ट्रैकिंग की सुविधा चालू होती है.
यूज़र-एजेंट स्ट्रिंग में जानकारी कम होने वाली है और यूज़र-एजेंट क्लाइंट हिंट
हमने Chrome के कम किए गए उपयोगकर्ता-एजेंट के फ़ॉर्मैट की जांच करने के लिए, ऑरिजिन ट्रायल का दायरा बढ़ाया है. इससे तीसरे पक्ष के एम्बेड को शामिल किया जा सकेगा. अगर आपका मुख्य मकसद, अन्य सेवाओं के लिए क्रॉस-साइट कॉन्टेंट उपलब्ध कराना है, तो ऑरिजिन ट्रायल के लिए रजिस्टर करते समय तीसरे पक्ष का विकल्प चालू किया जा सकता है. इससे, आपके संसाधनों के अनुरोधों पर कम फ़ॉर्मैट में डेटा मिलेगा.
Chrome के उपयोगकर्ता एजेंट को कम करने की टाइमलाइन को ट्रैक किया जा सकता है. इसमें, रोल आउट के चरणों के बारे में और उदाहरणों की जानकारी भी शामिल है. अगर आपको मौजूदा User-Agent फ़ॉर्मैट में, प्लैटफ़ॉर्म वर्शन, डिवाइस या पूरे बिल्ड वर्शन की जानकारी पर भरोसा है, तो आपको उपयोगकर्ता-एजेंट क्लाइंट हिंट (UA-CH) पर माइग्रेट करना होगा.
हम क्लाइंट के सुझावों के लिए मौजूदा नामों को स्टैंडर्ड बना रहे हैं. इसके लिए, हम Sec-CH- हेडर प्रीफ़िक्स को उन जगहों पर जोड़ रहे हैं जहां यह मौजूद नहीं है. अनुमति मिलने के बाद, हम UA-CH के लिए GREASE वर्णमाला के वर्णों की सीमा को बढ़ाने की उम्मीद करते हैं.
काम का कॉन्टेंट और विज्ञापन दिखाना
हम तीसरे पक्ष की कुकी को धीरे-धीरे बंद कर रहे हैं. इसलिए, हमें ऐसे एपीआई पेश करने होंगे जिनसे उन कुकी पर निर्भर रहने वाले इस्तेमाल के उदाहरणों को अनुमति मिल सके. हालांकि, इन एपीआई से क्रॉस-साइट ट्रैकिंग की अनुमति नहीं दी जानी चाहिए.
FLoC
FLoC, दिलचस्पी के आधार पर विज्ञापन दिखाने की सुविधा चालू करने का एक प्रस्ताव है. इसके लिए, अलग-अलग क्रॉस-साइट ट्रैकिंग की ज़रूरत नहीं होती. हम इकोसिस्टम की टेस्टिंग को आगे बढ़ाने से पहले, FLoC के शुरुआती ऑरिजिन ट्रायल से मिले सुझावों और राय का आकलन कर रहे हैं. हम FLoC के लिए अगले चरण और फ़ैसलों पर काम करते रहेंगे. इस दौरान, आपको विषयों (पहले से रेफ़र किए गए) के कॉन्सेप्ट के बारे में कुछ एक्सप्लोरेटरी कोड दिखेगा. यह कोड, जल्द ही Chromium कोड बेस में दिखेगा. Chrome का डेवलपमेंट सार्वजनिक तौर पर होता है. इसलिए, यह काम दिखेगा. हालांकि, डेवलपर टेस्टिंग के लिए, तुरंत कोई कार्रवाई नहीं की जा सकती. यह उपयोगकर्ताओं पर भी लागू नहीं होता. हमें उम्मीद है कि हम PATCG (Private Advertising Technology Community Group) में, इन चर्चाओं और अपडेट को शेयर करना जारी रखेंगे.
डिजिटल विज्ञापनों को मेज़र करना
क्रॉस-साइट ट्रैकिंग के बिना विज्ञापन दिखाने के लिए, हमें उन विज्ञापनों के असर का आकलन करने के लिए, निजता बनाए रखने वाले तरीकों की ज़रूरत है.
Attribution Reporting API
Attribution Reporting API की मदद से, किसी साइट पर होने वाले इवेंट को मेज़र किया जा सकता है. जैसे, किसी विज्ञापन पर क्लिक करना या उसे देखना. इससे, किसी दूसरी साइट पर कन्वर्ज़न होता है. इसके लिए, क्रॉस-साइट ट्रैकिंग की ज़रूरत नहीं होती.
हम Attribution Reporting API की टेस्टिंग जारी रखना चाहते हैं. साथ ही, हमारा प्लान है कि हम ओरिजिन ट्रायल की अवधि को बढ़ाकर Chrome 97 तक कर दें. ऑरिजिन ट्रायल के मौजूदा टोकन की समयसीमा 12 अक्टूबर को खत्म हो गई है. इसलिए, जांच जारी रखने के लिए आपको अपडेट किए गए टोकन के लिए आवेदन करना होगा.
वेब पर स्पैम और धोखाधड़ी से निपटना
क्रॉस-साइट ट्रैकिंग के लिए उपलब्ध प्लैटफ़ॉर्म को कम करने के साथ ही, एक और समस्या आ रही है. यह समस्या यह है कि फ़िंगरप्रिंट की इन तकनीकों का इस्तेमाल, अक्सर स्पैम और धोखाधड़ी से बचाव के लिए किया जाता है. हमें यहां भी निजता बनाए रखने वाले विकल्पों की ज़रूरत है.
ट्रस्ट टोकन
ट्रस्ट टोकन एपीआई एक ऐसा प्रस्ताव है जिसकी मदद से, एक साइट किसी वेबसाइट पर आने वाले व्यक्ति के बारे में दावा कर सकती है. जैसे, "मुझे लगता है कि वह व्यक्ति इंसान है". साथ ही, अन्य साइटों को उस दावे की पुष्टि करने की अनुमति देती है. यह पुष्टि, व्यक्ति की पहचान ज़ाहिर किए बिना की जाती है.
वेब पर स्पैम और धोखाधड़ी से निपटने के लिए बनी रणनीति का एक हिस्सा, ट्रस्ट टोकन है. TPAC में"वेब पर धोखाधड़ी रोकने के लिए" ब्रेकआउट में, पूरे नेटवर्क के प्रतिनिधियों ने मौजूदा कुछ चुनौतियों और तरीकों के बारे में बातचीत की.
सुझाव/राय दें या शिकायत करें
हम हर महीने ये अपडेट पब्लिश करते रहेंगे और Privacy Sandbox को बेहतर बनाते रहेंगे. साथ ही, हम यह पक्का करना चाहते हैं कि डेवलपर के तौर पर आपको ज़रूरी जानकारी और सहायता मिल रही हो. अगर आपको लगता है कि इस सीरीज़ में कुछ और बेहतर किया जा सकता है, तो हमें @ChromiumDev के Twitter पर बताएं. हम इस फ़ॉर्मैट को बेहतर बनाने के लिए, आपके इनपुट का इस्तेमाल करेंगे.
हमने Privacy Sandbox के बारे में अक्सर पूछे जाने वाले सवाल भी जोड़े हैं. हम डेवलपर के लिए सहायता वाले रेपो में सबमिट की गई समस्याओं के आधार पर, इस सेक्शन को आगे भी बढ़ाते रहेंगे. अगर आपके पास किसी भी सुझाव को टेस्ट करने या लागू करने के बारे में कोई सवाल है, तो वहां आकर हमसे बात करें.