Chrome에서 서드 파티 쿠키를 단계적으로 지원 중단하고 더 프라이버시가 보호되는 웹을 만들기 위한 여정에서의 주요 기록을 추적하는 10월호 개인 정보 보호 샌드박스 진행 상황 업데이트에 오신 것을 환영합니다. 매달 개인 정보 보호 샌드박스 타임라인 업데이트 개요와 프로젝트 전반의 소식을 공유합니다.
이벤트
11월 3일부터 Chrome 개발자 Summit이 개최됩니다. 기조연설에서 개인 정보 보호 샌드박스에 대한 업데이트를 확인하고 AMA에서 경영진에게 질문할 수 있으며, Office Hours에서는 엔지니어링팀에 더 자세한 질문을 할 수 있습니다. 지금 신청하여 이벤트에 참여해 주세요.
이번 달에는 W3C의 모든 다양한 그룹이 모여 웹 전반의 다양한 주제를 논의하는 W3C 연례 컨퍼런스 (일반적으로 TPAC라고 함)도 열렸습니다. 세부 세션의 회의록 및 동영상을 확인할 수 있으며 개인 정보 보호 샌드박스 주제를 포함한 특정 세션은 아래에 포함되어 있습니다.
컨퍼런스 시즌이 계속되는 가운데 IETF (Internet Engineering Task Force)는 정기적인 112차 온라인 기술 본회의를 개최합니다. TPAC과 마찬가지로 PRIV (개인 정보 보호를 고려한 가치 통합), PEARG (개인 정보 보호 개선 및 평가 연구 그룹), MASQUE(QUIC 암호화를 통한 다중화된 애플리케이션 하위 시스템) 워킹 그룹과 같이 개인 정보 보호 샌드박스 주제가 논의되는 여러 개별 세션이 있습니다. 프로토콜 설계와 관련된 심층적인 기술적 논의입니다. 적절한 전문 지식을 보유하고 있으며 이러한 논의에 참여하고자 하는 경우 참여해 보세요.
크로스 사이트 개인 정보 보호 경계선 강화
서드 파티 쿠키는 교차 사이트 추적을 사용 설정하는 핵심 메커니즘입니다. 이를 단계적으로 중단할 수 있다는 것은 중요한 이정표이지만, 다른 형태의 교차 사이트 저장소 또는 통신도 해결해야 합니다.
Federated Credential Management API
제휴 사용자 인증 정보 관리 (FedCM) 제안서는 WebID의 더 의미 있는 새로운 이름입니다. 제휴 ID는 웹에 중요한 서비스이지만, ID의 측면을 다른 사이트와 공유하는 것과 관련이 있으므로 교차 사이트 추적과 겹치는 구현 세부정보가 있습니다.
제휴 사용자 인증 정보 관리 제안서에서는 기존 솔루션의 간단한 이전 경로부터 최소한의 정보만 공유하여 서비스에 연결하는 더 비공개적인 방법에 이르기까지 다양한 옵션을 살펴봅니다.
이 제안은 아직 초기 단계이며 W3C의 제휴 ID 커뮤니티 그룹에서 논의를 진행할 수 있습니다. 또한 그룹은 TPAC에서 제안서 개요를 살펴보는 브레이크아웃 세션을 주최했습니다. Chrome 89의 플래그 뒤에서 사용할 수 있는 API의 초기 프로토타입 버전도 있지만, 이는 순전히 실험용이며 논의가 진행되면 변경될 예정입니다.
쿠키
쿠키 관련 제안이 진행되는 동안 자체 SameSite=None 또는 교차 사이트 쿠키를 감사하고 사이트에서 취해야 할 조치를 계획해야 합니다.
CHIPS
교차 사이트 컨텍스트에서 전송되지만 1:1 관계(예: iframe 삽입 또는 API 호출)에 있는 쿠키를 설정하는 경우 CHIPS 제안서 또는 독립적인 파티션화된 상태의 쿠키를 따라야 합니다. 이렇게 하면 쿠키를 '분할됨'으로 표시하여 최상위 사이트별로 별도의 쿠키 저장소에 보관할 수 있습니다.
CHIPS 작업이 진행 중이며 이 기능은 chrome://flags/#partitioned-cookies 및 --partitioned-cookies CLI 플래그 뒤에서 사용할 수 있지만 아직 완전히 테스트 가능한 상태는 아닙니다. 구현이 더 완료되면 업데이트된 테스트 및 디버깅 세부정보를 제공할 예정입니다.
퍼스트 파티 세트
크로스 사이트 컨텍스트에 쿠키를 설정하지만 소유한 사이트에서만 설정하는 경우(예: .com에서 .co.uk에서 사용하는 서비스를 호스팅하는 경우) 퍼스트 파티 세트를 따라야 합니다. 이 제안서에서는 집합을 구성할 사이트를 선언한 다음 쿠키가 해당 집합 내 컨텍스트에 대해서만 전송되도록 'SameParty'로 표시하는 방법을 정의합니다.
퍼스트 파티 세트는 chrome://flags/#use-first-party-set 및 chrome://flags/#sameparty-cookies-considered-first-party 플래그 뒤에서 로컬 개발자 테스트에 사용할 수 있습니다. 이를 통해 자체 관련 사이트 세트를 지정하고 여러 사이트에서 쿠키 동작을 실험할 수 있습니다.
저장용량 파티셔닝
웹 플랫폼에는 교차 사이트 추적을 지원할 수 있는 다른 형태의 저장소가 포함되어 있습니다. 브라우저 저장소 파티셔닝 상태에 관한 TPAC 브레이크아웃 세션에서는 Chrome의 진행 상황을 간략히 살펴보고 다른 브라우저 공급업체의 논의를 다룹니다.
개발자가 즉시 취해야 할 조치는 없지만 SharedWorker, 웹 저장소, IndexedDB, CacheStorage, FileSystem API, BroadcastChannel, 웹 잠금 API, 저장소 버킷 또는 여러 사이트에서 해당 데이터에 액세스하는 데 사용하는 기타 저장소 또는 커뮤니케이션 API를 사용하는 경우 향후 업데이트를 위해 이 주제를 추적해야 합니다.
은밀한 추적 방지
명시적인 교차 사이트 추적 옵션을 줄이면서 사용자의 지문 식별 또는 은밀한 추적을 가능하게 하는 식별 정보를 노출하는 웹 플랫폼 영역도 해결해야 합니다.
사용자 에이전트 문자열 감소 및 사용자 에이전트 클라이언트 힌트
서드 파티 삽입을 포함하도록 Chrome의 축소된 사용자 에이전트 형식을 테스트하기 위한 오리진 트라이얼을 확대했습니다. 주로 다른 서비스에 교차 사이트 콘텐츠를 제공하는 경우 출처 체험판을 등록할 때 서드 파티 옵션을 사용 설정하여 리소스 요청 시 축소된 형식을 받을 수 있습니다.
출시 단계의 추가 예시와 세부정보를 통해 Chrome의 사용자 에이전트 축소 타임라인을 모두 추적할 수 있습니다. 또한 현재 User-Agent 형식의 플랫폼 버전, 기기 또는 전체 빌드 버전 정보를 사용하는 경우 User-Agent 클라이언트 힌트로 이전 (UA-CH)해야 합니다.
누락된 부분에 Sec-CH- 헤더 접두사를 추가하여 클라이언트 힌트의 기존 이름을 표준화하는 작업을 계속하고 있습니다. 승인을 기다리는 동안 UA-CH의 GREASE 문자 범위를 확대할 예정입니다.
관련성 높은 콘텐츠 및 광고 표시
서드 파티 쿠키를 단계적으로 지원 중단함에 따라 서드 파티 쿠키에 의존하는 사용 사례를 허용하면서 크로스 사이트 추적을 허용하지 않는 API를 도입해야 합니다.
FLoC : 동질 집단 제휴 학습(FLoC)
FLoC는 개별 교차 사이트 추적 없이 관심 기반 광고를 활성화하기 위한 제안입니다. Google은 추가 생태계 테스트를 진행하기 전에 FLoC의 이전 오리진 트라이얼에서 받은 의견을 평가하고 있습니다. Google은 FLoC의 다음 단계와 결정을 계속해서 진행하는 동안 곧 Chromium 코드베이스에 주제 개념 (이전에 참조)에 관한 몇 가지 탐색적 코드가 표시될 예정입니다. Chrome의 모든 개발이 공개적으로 이루어지므로 이 작업은 표시되지만 개발자 테스트를 위해 즉시 취할 수 있는 조치는 없습니다. 사용자에게도 적용되지 않습니다. 새로운 PATCG (Private Advertising Technology Community Group, 비공개 광고 기술 커뮤니티 그룹)에서 이러한 논의와 업데이트를 계속 공유할 수 있기를 바랍니다.
디지털 광고 측정
교차 사이트 추적 없이 광고를 표시하는 것과 함께 이러한 광고의 효과를 측정하기 위한 개인 정보 보호 메커니즘이 필요합니다.
Attribution Reporting API
Attribution Reporting API를 사용하면 크로스 사이트 추적을 사용 설정하지 않고도 광고 클릭 또는 조회와 같이 한 사이트에서 발생하여 다른 사이트에서 전환으로 이어지는 이벤트를 측정할 수 있습니다.
Attribution Reporting API 테스트를 계속 진행하고자 하며 Chrome 97까지 오리진 트라이얼을 연장할 계획입니다. 현재 출처 무료 체험 토큰은 10월 12일에 만료되었으므로 테스트를 계속하려면 업데이트된 토큰을 신청해야 합니다.
웹상의 스팸 및 사기 퇴치
교차 사이트 추적에 사용할 수 있는 노출 영역을 줄이면 이러한 동일한 지문 식별 기술이 스팸 및 사기 방지에도 종종 사용된다는 점이 또 다른 문제입니다. 여기에서도 개인 정보를 보호하는 대안이 필요합니다.
신뢰 토큰
Trust Token API는 한 사이트가 방문자에 대한 주장(예: '사람인 것 같습니다')을 공유하고 다른 사이트가 개인을 식별하지 않고도 해당 주장을 확인할 수 있도록 허용하는 제안입니다.
신뢰 토큰은 웹에서 스팸 및 사기를 해결하기 위한 전반적인 전략의 한 부분입니다. TPAC의 '웹용 사기 방지' 세션에서는 생태계 전반의 대표들이 현재의 몇 가지 문제와 접근 방식을 논의했습니다.
의견
Google은 이러한 월간 업데이트를 계속 게시하고 개인 정보 보호 샌드박스 전체를 진행하면서 개발자가 필요한 정보와 지원을 받을 수 있도록 최선을 다하고 있습니다. 이 시리즈에서 개선해야 할 점이 있다면 @ChromiumDev 트위터를 통해 알려주세요. 보내주신 의견은 형식을 계속 개선하는 데 사용됩니다.
개인 정보 보호 샌드박스 FAQ도 추가되었으며, 개발자 지원 저장소에 제출된 문제를 바탕으로 계속해서 확장할 예정입니다. 제안서와 관련하여 테스트 또는 구현에 관해 궁금한 점이 있으면 언제든지 문의해 주세요.