Selamat datang di edisi Oktober Progres di Privacy Sandbox, yang melacak pencapaian dalam proses penghentian penggunaan cookie pihak ketiga di Chrome dan berupaya mewujudkan web yang lebih pribadi. Setiap bulan, kami akan membagikan ringkasan update pada linimasa Privacy Sandbox beserta berita dari seluruh project.
Acara
Mulai 3 November, kami akan menyelenggarakan Chrome Developer Summit. Anda akan mendapatkan info terbaru tentang Privacy Sandbox dalam presentasi utama beserta kesempatan untuk mengajukan pertanyaan kepada tim kepemimpinan dalam AMA, dan waktu untuk mengajukan pertanyaan yang lebih mendetail dengan tim engineering dalam Jam Kerja. Daftar sekarang dan sampai jumpa di sana.
Bulan ini juga mencakup Konferensi Tahunan W3C (umumnya dikenal sebagai TPAC) tempat berbagai grup di seluruh W3C bertemu untuk membahas berbagai topik di seluruh web. Anda dapat melihat menit dan video untuk sesi terpisah dan sesi tertentu termasuk topik Privacy Sandbox yang disertakan di bawah.
Melanjutkan musim konferensi, IETF (Internet Engineering Task Force) menyelenggarakan 112 pleno teknis online reguler. Serupa dengan TPAC, ada sejumlah sesi terpisah tempat topik Privacy Sandbox dibahas, seperti PRIV (Privacy Respecting Incorporation of Values), PEARG (Privacy Enhancements and Assessments Research Group), dan grup kerja MASQUE (Multiplexed Application Substrate over QUIC Encryption). Ini adalah diskusi teknis mendalam tentang desain protokol. Jika Anda memiliki keahlian yang sesuai dan tertarik untuk berkontribusi dalam diskusi ini, pertimbangkan untuk bergabung.
Memperkuat batasan privasi lintas situs
Cookie pihak ketiga adalah mekanisme utama yang memungkinkan pelacakan lintas situs. Kemampuan untuk menghentikannya secara bertahap adalah pencapaian besar, tetapi kita juga perlu mengatasi bentuk penyimpanan atau komunikasi lintas situs lainnya.
Federated Credentials Management API
Proposal Pengelolaan Kredensial Gabungan (FedCM) adalah nama baru yang lebih bermakna untuk WebID. Identitas gabungan adalah layanan penting untuk web, tetapi mengingat bahwa layanan ini secara eksplisit terkait dengan berbagi aspek identitas dengan situs lain, ada detail penerapan yang tumpang-tindih dengan pelacakan lintas situs.
Proposal Pengelolaan Kredensial Gabungan mengeksplorasi berbagai opsi, mulai dari jalur migrasi sederhana untuk solusi yang ada hingga metode koneksi yang lebih pribadi ke layanan dengan informasi minimum yang dibagikan.
Proposal ini masih dalam tahap awal dan diskusi dapat diikuti di Grup Komunitas Identitas Gabungan W3C. Grup ini juga menyelenggarakan sesi breakout di TPAC yang membahas ringkasan proposal. Ada juga versi prototipe awal API yang tersedia di balik tanda dari Chrome 89, tetapi ini murni untuk eksperimen dan akan berubah seiring diskusi berlangsung.
Kukis
Seiring progres proposal terkait cookie, Anda harus mengaudit SameSite=None atau cookie lintas situs Anda sendiri dan merencanakan tindakan yang perlu Anda lakukan di situs Anda.
CHIP
Jika Anda menetapkan cookie yang dikirim dalam konteks lintas situs, tetapi dalam hubungan 1:1—seperti penyematan iframe, atau panggilan API—Anda harus mengikuti proposal CHIPS, atau Cookie yang Memiliki Status Partisi Independen. Hal ini memungkinkan Anda menandai cookie sebagai "Dipartisi", yang menempatkannya dalam toples cookie terpisah per situs tingkat teratas.
Pekerjaan CHIPS sedang berlangsung dan meskipun fitur ini tersedia di balik
chrome://flags/#partitioned-cookies dan flag CLI --partitioned-cookies,
fitur ini belum dalam status yang dapat diuji sepenuhnya. Kami akan memberikan detail pengujian dan proses debug terbaru setelah penerapan lebih lengkap.
Set Pihak Pertama
Jika Anda menetapkan cookie untuk konteks lintas situs, tetapi hanya di seluruh situs yang Anda miliki—misalnya, Anda menghosting layanan di .com yang digunakan oleh .co.uk—Anda harus mengikuti Set Pihak Pertama. Proposal ini menentukan cara mendeklarasikan situs yang ingin Anda buat menjadi kumpulan, lalu menandai cookie sebagai "SameParty" sehingga cookie hanya dikirim untuk konteks di dalam kumpulan tersebut.
Set Pihak Pertama tersedia untuk pengujian developer lokal di balik tanda chrome://flags/#use-first-party-set dan chrome://flags/#sameparty-cookies-considered-first-party, yang memungkinkan Anda menentukan kumpulan situs terkait Anda sendiri, dan bereksperimen dengan perilaku cookie di seluruh situs tersebut.
Partisi Penyimpanan
Platform web mencakup bentuk penyimpanan lain yang dapat mengaktifkan pelacakan lintas situs. Sesi terpisah TPAC tentang status partisi penyimpanan browser memberikan ringkasan progres Chrome beserta diskusi dari vendor browser lainnya.
Tidak ada tindakan developer yang mendesak, tetapi jika Anda menggunakan SharedWorker, Web Storage, IndexedDB, CacheStorage, FileSystem API, BroadcastChannel, Web Locks API, Storage Buckets, atau bentuk penyimpanan atau API komunikasi lainnya yang Anda andalkan untuk mengakses data tersebut di beberapa situs, Anda harus melacak topik ini untuk update mendatang.
Mencegah pelacakan tersembunyi
Saat mengurangi opsi untuk pelacakan lintas situs yang eksplisit, kami juga perlu menangani area platform web yang mengekspos informasi identitas yang memungkinkan pelacakan sidik jari atau pelacakan tersembunyi terhadap pengguna.
Pengurangan string Agen Pengguna dan Petunjuk Klien Agen Pengguna
Kami telah memperluas uji coba origin untuk menguji format Agen Pengguna Chrome yang dikurangi agar menyertakan penyematan pihak ketiga. Jika Anda terutama menyediakan konten lintas situs untuk layanan lain, Anda dapat mengaktifkan opsi pihak ketiga saat mendaftar ke uji coba origin untuk menerima format yang diperkecil pada permintaan ke resource Anda.
Anda dapat melacak linimasa lengkap untuk mengurangi agen pengguna
Chrome,
dengan contoh dan detail lebih lanjut tentang fase
peluncuran. Anda juga harus
Bermigrasi ke Client Hints Agen Pengguna (UA-CH)
jika Anda mengandalkan informasi versi platform, perangkat, atau versi build lengkap
dalam format User-Agent saat ini.
Kami terus menstandarkan nama yang ada untuk Client
Hints dengan
menambahkan awalan header Sec-CH- jika tidak ada. Sambil menunggu persetujuan, kami berharap dapat
memperluas rentang karakter GREASE
untuk UA-CH.
Menampilkan konten dan iklan yang relevan
Seiring dengan upaya kami untuk menghentikan penggunaan cookie pihak ketiga secara bertahap, kami perlu memperkenalkan API yang memungkinkan kasus penggunaan yang bergantung pada cookie tersebut, tetapi tanpa mengizinkan pelacakan lintas situs.
FLoC
FLoC adalah proposal untuk mengaktifkan iklan berbasis minat tanpa memerlukan pelacakan lintas situs individual. Kami telah mengevaluasi masukan dari uji coba origin FLoC sebelumnya sebelum kami melanjutkan pengujian ekosistem lebih lanjut. Saat kami terus mengerjakan langkah dan keputusan berikutnya untuk FLoC, Anda akan melihat beberapa kode eksplorasi seputar konsep topik (yang sebelumnya direferensikan) yang akan segera muncul di code base Chromium. Karena semua pengembangan Chrome dilakukan secara terbuka, pekerjaan ini akan terlihat, tetapi tidak ada yang dapat langsung dilakukan untuk pengujian developer (dan ini juga tidak berlaku untuk pengguna). Kami berharap dapat terus membagikan diskusi dan info terbaru ini di PATCG (Private Advertising Technology Community Group) yang baru.
Mengukur iklan digital
Sebagai pendamping untuk menampilkan iklan tanpa pelacakan lintas situs, kami memerlukan mekanisme perlindungan privasi untuk mengukur efektivitas iklan tersebut.
Attribution Reporting API
Attribution Reporting API memberi Anda kemampuan untuk mengukur peristiwa di satu situs, seperti mengklik atau melihat iklan, yang mengarah ke konversi di situs lain—tanpa mengaktifkan pelacakan lintas situs.
Kami ingin terus menguji Attribution Reporting API dan kami berencana memperluas uji coba asal hingga Chrome 97. Token uji coba origin saat ini akan berakhir pada 12 Oktober, jadi Anda harus mengajukan permohonan token yang diperbarui untuk melanjutkan pengujian.
Melawan spam dan penipuan di web
Tantangan lainnya saat kami mengurangi platform yang tersedia untuk pelacakan lintas situs adalah teknik sidik jari yang sama ini sering digunakan untuk perlindungan spam dan penipuan. Kita juga memerlukan alternatif yang menjaga privasi di sini.
Trust Token
Trust Token API adalah proposal yang memungkinkan satu situs membagikan klaim tentang pengunjung—seperti "Saya pikir mereka manusia"—dan mengizinkan situs lain memverifikasi klaim tersebut, lagi-lagi tanpa mengidentifikasi individu tersebut.
Token Kepercayaan adalah salah satu bagian dari strategi keseluruhan untuk mengatasi spam dan penipuan di web. Dalam pembahasan"Anti-fraud for the web" di TPAC, perwakilan dari seluruh ekosistem membahas beberapa tantangan dan pendekatan saat ini.
Masukan
Seiring kami terus memublikasikan update bulanan ini dan melakukan progres di Privacy Sandbox secara keseluruhan, kami ingin memastikan bahwa Anda sebagai developer mendapatkan informasi dan dukungan yang Anda butuhkan. Beri tahu kami di Twitter@ChromiumDev jika ada hal yang dapat kami tingkatkan dalam seri ini. Kami akan menggunakan masukan Anda untuk terus meningkatkan kualitas format.
Kami juga telah menambahkan FAQ Privacy Sandbox yang akan terus kami perluas berdasarkan masalah yang Anda kirimkan ke repo dukungan developer. Jika ada pertanyaan terkait pengujian atau penerapan pada salah satu proposal, hubungi kami di sana.