Witamy w październikowej edycji raportu „Postępy w Piaskownicy prywatności”. Opisuje on kamienie milowe na drodze do wycofania plików cookie innych firm z Chrome i działań na rzecz bardziej prywatnego internetu. Co miesiąc będziemy udostępniać omówienie zmian w harmonogramie Sandbox prywatności oraz informacje o tym projekcie.
Wydarzenia
Od 3 listopada będziemy organizować Chrome Developer Summit. W ramach prezentacji głównej otrzymasz najnowsze informacje o Piaskownicy prywatności, a podczas sesji AMA będziesz mieć możliwość zadawania pytań zespołowi kierowniczemu. W ramach sesji Office Hours będziesz też mieć możliwość zadawania bardziej szczegółowych pytań zespołom inżynierów. Zarejestruj się już dziś i do zobaczenia na miejscu.
W tym miesiącu odbyła się też doroczna konferencja W3C (zwykle nazywana TPAC), podczas której różne grupy z W3C spotykają się, aby omówić różne tematy dotyczące całego internetu. Poniżej znajdziesz minuty i filmy z odrębnych sesji oraz konkretne sesje dotyczące Piaskownicy prywatności.
W ramach trwającego sezonu konferencyjnego IETF (Internet Engineering Task Force) organizuje regularne 112 online plenary technical. Podobnie jak w przypadku TPAC, jest wiele indywidualnych sesji, w których omawiane są tematy związane z Piaskownicą prywatności, np. PRIV (Privacy Respecting Incorporation of Values), PEARG (Privacy Enhancements and Assessments Research Group) oraz MASQUE (Multiplexed Application Substrate over QUIC Encryption). To szczegółowe dyskusje techniczne na temat projektów protokołów. Jeśli masz odpowiednie umiejętności i chcesz wziąć udział w tych rozmowach, zastanów się nad dołączeniem do nich.
Wzmocnienie granic prywatności między witrynami
Pliki cookie innych firm to kluczowy mechanizm umożliwiający śledzenie między witrynami. Możliwość wycofania ich z użycia jest ważnym krokiem, ale musimy też zająć się innymi formami przechowywania danych i komunikacji między witrynami.
Interfejs Federated Credential Management API
Proponowana usługa zarządzania uwierzytelnieniami federacyjnymi (FedCM) to nowa, bardziej trafna nazwa usługi WebID. Tożsamość sfederowana jest kluczową usługą w internecie, ale biorąc pod uwagę, że chodzi w niej o udostępnianie aspektów tożsamości innym witrynom, niektóre szczegóły jej implementacji pokrywają się ze śledzeniem między witrynami.
Propozycja dotycząca zarządzania sfederowanymi danymi logowania zawiera różne opcje, od prostych ścieżek migracji dla istniejących rozwiązań po bardziej prywatne metody łączenia się z usługami przy minimalnej ilości udostępnianych informacji.
Ta propozycja jest jeszcze na wczesnym etapie, a dyskusję na jej temat można śledzić w grupie W3C Federated Identity Community. Grupa zorganizowała też sesję warsztatową w TPAC, podczas której przedstawiono ogólne informacje o propozycji. Dostępna jest też bardzo wczesna wersja prototypowa interfejsu API, która jest dostępna za pomocą flagi w Chrome 89. Jest to jednak wersja eksperymentalna, która ulegnie zmianie w trakcie dyskusji.
Pliki cookie
W miarę wdrażania propozycji dotyczących plików cookie warto sprawdzić własne pliki SameSite=None lub pliki cookie w wielu witrynach i zaplanować działania, które należy podjąć w swojej witrynie.
CHIPS
Jeśli ustawiasz pliki cookie, które są wysyłane w kontekście wielu witryn, ale w relacji 1:1, np. w ramach wstawiania iframe lub wywołań interfejsu API, postępuj zgodnie z propozycją CHIPS lub plikami cookie z niezależnym stanem partycji. Dzięki temu możesz oznaczać pliki cookie jako „Partycjonowane” i umieszczać je w oddzielnym pliku cookie na każdą witrynę najwyższego poziomu.
Trwają prace nad CHIPS. Chociaż funkcja jest dostępna za pomocą flagi chrome://flags/#partitioned-cookies i flagi --partitioned-cookies w wierszu poleceń, nie można jej jeszcze w pełni testować. Gdy wdrożenie będzie bardziej kompletne, przekażemy szczegółowe informacje o testowaniu i debugowaniu.
Zestawy źródeł własnych
Jeśli ustawiasz pliki cookie w różnych kontekstach, ale tylko w swoich witrynach (np. hostujesz usługę w domenie .com, która jest używana przez Twoją domenę .co.uk), postępuj zgodnie z zestawami własnymi. Ta propozycja określa sposób deklarowania, które witryny mają tworzyć zestaw, a następnie oznaczania plików cookie jako „SameParty”, aby były wysyłane tylko w ramach kontekstów w danym zestawie.
Zestawy danych własnych są dostępne dla lokalnych deweloperów
do testowania za pomocą flag chrome://flags/#use-first-party-set i chrome://flags/#sameparty-cookies-considered-first-party. Dzięki nim możesz określić własny zestaw powiązanych witryn i eksperymentować z zachowaniem plików cookie w ich przypadku.
Partycjonowanie miejsca na dane
Platforma internetowa zawiera inne formy przechowywania, które mogą umożliwiać śledzenie między witrynami. Sesja TPAC na temat stanu partycjonowania pamięci przeglądarki zawiera omówienie postępów w Chrome oraz dyskusję z przedstawicielami innych firm oferujących przeglądarki.
Nie ma potrzeby, aby deweloperzy natychmiast coś robili, ale jeśli korzystasz z interfejsów SharedWorker, Web Storage, IndexedDB, CacheStorage, FileSystem API, BroadcastChannel, Web Locks API, Storage Buckets lub innych interfejsów API do przechowywania danych bądź komunikacji, które wymagają dostępu do tych danych w wielu witrynach, śledź ten temat, aby dowiedzieć się o kolejnych aktualizacjach.
Zapobieganie śledzeniu ukrytym
Ponieważ ograniczamy opcje jawnego śledzenia w wielu witrynach, musimy też zająć się obszarami platformy internetowej, które ujawniają informacje umożliwiające identyfikację i umożliwiające odciski palców lub ukryte śledzenie użytkowników.
Redukcja ciągu tekstowego klienta użytkownika i wskazówki dotyczące klienta użytkownika
Rozszerzyliśmy testowanie wersji próbnej origin, aby w Chrome testować ograniczony format User-Agent tak, aby obejmował wtyczki innych firm. Jeśli przede wszystkim udostępniasz treści w wielu witrynach innym usługom, możesz włączyć opcję zewnętrzną podczas rejestracji w wersji próbnej pochodzenia, aby otrzymywać żądania dotyczące Twoich zasobów w formacie skompresowanym.
Możesz śledzić pełną oś czasu dotyczącą redukcji klienta użytkownika w Chrome, w tym dodatkowe przykłady i szczegóły dotyczące faz wdrażania. Musisz też przejść na wskazówki dotyczące klienta użytkownika (UA-CH), jeśli korzystasz z informacji o wersji platformy, urządzenia lub pełnej wersji kompilacji w bieżącym formacie User-Agent.
Nadal ujednolicamy nazwy funkcji klienta w sekcji Wskazówki, dodając w razie potrzeby prefiks nagłówka Sec-CH-. W przypadku zatwierdzenia planujemy rozszerzyć zakres znaków GREASE w UA-CH.
wyświetlać odpowiednie treści i reklamy.
W drodze do wycofania plików cookie innych firm musimy wprowadzić interfejsy API, które umożliwią przypadki użycia, które na nich polegały, ale bez zezwalania na śledzenie między witrynami.
sfederowane uczenie się kohort : FLoC
FLoC to propozycja umożliwiająca wyświetlanie reklam opartych na zainteresowaniach bez konieczności śledzenia poszczególnych użytkowników w wielu witrynach. Zanim przejdziemy do dalszych testów w ekosystemie, analizujemy opinie z wcześniejszego testu FLoC. Podczas gdy nadal pracujemy nad kolejnymi krokami i decyzjami dotyczącymi FLoC, w krótce w bazie kodu Chromium powinien pojawić się kod eksploracyjny dotyczący koncepcji tematów (wcześniej). Ponieważ cały rozwój Chrome odbywa się publicznie, te prace będą widoczne, ale nie będzie można ich od razu wykorzystać do testowania przez deweloperów (nie dotyczy to też użytkowników). Mamy nadzieję, że nadal będziesz uczestniczyć w tych dyskusjach i poznawać najnowsze informacje na nowej stronie PATCG (Private Advertising Technology Community Group).
Pomiar skuteczności reklam cyfrowych
W związku z wyświetlaniem reklam bez śledzenia między witrynami potrzebujemy mechanizmów ochrony prywatności, które pozwolą nam mierzyć skuteczność tych reklam.
Interfejs Attribution Reporting API
Interfejs Attribution Reporting API umożliwia pomiar zdarzeń w jednej witrynie, np. kliknięcia lub wyświetlenia reklamy, które prowadzą do konwersji w innej witrynie, bez włączania śledzenia między witrynami.
Chcemy kontynuować testowanie interfejsu Attribution Reporting API i planujemy rozszerzenie próbnego stosowania źródła do wersji Chrome 97. Tokeny próbne bieżącego źródła wygasły 12 października, więc aby kontynuować testowanie, musisz poprosić o aktualne tokeny.
Zwalczanie spamu i oszustw w internecie
Innym wyzwaniem, które napotykamy, ograniczając powierzchnie dostępne do śledzenia w witrynach, jest to, że te same techniki rozpoznawania są często używane do ochrony przed spamem i oszustwami. Tutaj również potrzebujemy alternatywnych rozwiązań chroniących prywatność.
Tokeny zaufania
Interfejs Trust Token to propozycja, która umożliwia jednej witrynie udostępnianie informacji o użytkowniku (np. „Uważam, że jest to człowiek”) i zezwalanie innym witrynom na weryfikację tych informacji bez konieczności identyfikowania danej osoby.
Tokeny zaufania są częścią ogólnej strategii zwalczania spamu i oszustw w internecie. Podczas sesji „Zwalczanie oszustw w internecie” w ramach konferencji TPAC przedstawiciele całego ekosystemu omawiali obecne problemy i metody ich rozwiązywania.
Prześlij opinię
Ponieważ będziemy nadal publikować te miesięczne aktualizacje i wprowadzać zmiany w Privacy Sandbox, chcemy mieć pewność, że jako deweloper otrzymasz od nas niezbędne informacje i pomoc. Jeśli w tej serii jest coś, co możemy poprawić, daj nam znać na Twitterze @ChromiumDev. Wykorzystamy Twoje uwagi, aby dalej ulepszać ten format.
Dodaliśmy też często zadawane pytania dotyczące Piaskownicy prywatności, które będziemy rozszerzać na podstawie problemów zgłaszanych w repozytorium pomocy dla deweloperów. Jeśli masz pytania dotyczące testowania lub wdrażania któregoś z tych propozycji, skontaktuj się z nami.