Chrome'da üçüncü taraf çerezlerini kullanımdan kaldırma yolunda ilerleme kaydeden ve daha gizli bir web için çalışan Özel Korumalı Alan'daki ilerlemelerin Ekim ayına ait sürümüne hoş geldiniz. Her ay, projedeki gelişmelerin yanı sıra Privacy Sandbox zaman çizelgesinde yapılan güncellemelere genel bir bakış paylaşacağız.
Etkinlikler
3 Kasım'dan itibaren Chrome Geliştirici Zirvesi'ni düzenleyeceğiz. Ana konuşmada Özel Korumalı Alan hakkında güncel bilgiler edinebilir, Soru-Cevap oturumunda yönetici ekibine soru sorabilir ve Ofis Saatleri'nde mühendislik ekiplerine daha ayrıntılı sorular sorabilirsiniz. Hemen kaydolun ve sizi aramızda görmeyi umuyoruz.
Bu ay, W3C'deki tüm grupların web'in tamamıyla ilgili çeşitli konuları tartışmak için bir araya geldiği W3C Yıllık Konferansı'na (genellikle TPAC olarak bilinir) da ev sahipliği yaptık. Alt oturumların dakikalarını ve videolarını görüntüleyebilirsiniz. Privacy Sandbox konularını içeren belirli oturumlar aşağıda verilmiştir.
Konferans sezonu devam ederken IETF (Internet Mühendisliği Görev Gücü), düzenli olarak düzenlediği 112 online teknik genel toplantıyı gerçekleştiriyor. TPAC'ye benzer şekilde, Özel Korumalı Alan konularının tartışıldığı PRIV (Privacy Respecting Incorporation of Values), PEARG (Privacy Enhancements and Assessments Research Group) ve MASQUE (Multiplexed Application Substrate over QUIC Encryption) çalışma grupları gibi çeşitli oturumlar vardır. Bu toplantılarda protokol tasarımlarıyla ilgili ayrıntılı teknik tartışmalar yapılır. Uygun uzmanlığa sahipseniz ve bu tartışmalara katkıda bulunmak istiyorsanız lütfen toplantılara katılın.
Siteler arası gizlilik sınırlarını güçlendirme
Üçüncü taraf çerezleri, siteler arası izlemeyi sağlayan önemli bir mekanizmadır. Bunları kullanımdan kaldırmak önemli bir aşama olsa da siteler arası depolama veya iletişimin diğer biçimleriyle de ilgilenmemiz gerekiyor.
Federated Credentials Management API
Federated Credentials Management (FedCM) teklifi, WebID'nin yeni ve daha anlamlı adıdır. Birleştirilmiş kimlik, web için kritik bir hizmettir ancak kimliğin diğer sitelerle paylaşılmasıyla ilgili olduğu için siteler arası izlemeyle örtüşen uygulama ayrıntıları vardır.
Birleşik Kimlik Bilgileri Yönetimi önerisi, mevcut çözümler için basit taşıma yollarından, minimum düzeyde bilgi paylaşarak hizmetlere bağlanmanın daha gizli yöntemlerine kadar çeşitli seçenekleri araştırır.
Bu teklif henüz erken aşamadadır ve tartışmaları W3C'nin Federated Identity Community Group'unda takip edebilirsiniz. Grup ayrıca TPAC'de teklife genel bir bakış sunan bir alt grup oturumu düzenledi. Chrome 89'dan bir işaretin arkasında API'nin çok erken bir prototip sürümü de mevcuttur ancak bu yalnızca deneme amaçlıdır ve tartışma ilerledikçe değişecektir.
Çerezler
Çerezlerle ilgili teklifler ilerledikçe kendi SameSite=None veya siteler arası çerezlerinizi denetlemeniz ve sitenizde yapmanız gereken işlemi planlamanız gerekir.
CHIPS
Siteler arası bağlamlarda gönderilen ancak 1:1 ilişkilerde (ör. iFrame yerleşimleri veya API çağrıları) gönderilen çerezler ayarlarsanız CHIPS önerisini veya Bağımsız Bölünmüş Duruma Sahip Çerezler'i uygulamanız gerekir. Bu sayede çerezleri "Bölümlendirilmiş" olarak işaretleyebilir ve üst düzey site başına ayrı bir çerez kabına koyabilirsiniz.
CHIPS üzerinde çalışmalar devam ediyor. Bu özellik chrome://flags/#partitioned-cookies ve --partitioned-cookies CLI işaretçisi ile kullanılabilir durumda olsa da henüz tam olarak test edilebilir durumda değil. Uygulama daha tamamlandığında güncel test ve hata ayıklama ayrıntılarını paylaşacağız.
Birinci Taraf Gruplar
Siteler arası bağlamlar için çerezleri yalnızca sahip olduğunuz sitelerde ayarlarsanız (ör. .com sitenizde .co.uk siteniz tarafından kullanılan bir hizmet barındırırsanız) birinci taraf kümelerini uygulamanız gerekir. Bu öneri, hangi sitelerin bir grup oluşturmak istediğinizi beyan etme ve ardından çerezleri yalnızca bu grubun içindeki bağlamlar için gönderilecek şekilde "SameParty" olarak işaretleme yöntemini tanımlar.
Birinci taraf kümeleri, chrome://flags/#use-first-party-set ve chrome://flags/#sameparty-cookies-considered-first-party işaretçilerinin arkasında yerel geliştirici testleri için kullanılabilir. Bu sayede kendi ilgili sitelerinizi belirtebilir ve bunlar arasında çerez davranışıyla ilgili denemeler yapabilirsiniz.
Depolama Bölümlendirme
Web platformu, siteler arası izlemeyi etkinleştirebilecek başka depolama biçimleri içerir. Tarayıcı depolama alanı bölümlendirmesinin durumu konulu TPAC breakout oturumunda, Chrome'un ilerleme durumuna genel bir bakış ve diğer tarayıcı tedarikçi firmalarının görüşleri sunulur.
Geliştiricinin hemen işlem yapması gerekmez ancak SharedWorker, Web Storage, IndexedDB, CacheStorage, FileSystem API'leri, BroadcastChannel, Web Locks API, Storage Buckets veya birden fazla sitede bu verilere erişmek için kullandığınız başka bir depolama ya da iletişim API'si kullanıyorsanız gelecekteki güncellemeler için bu konuyu takip etmeniz gerekir.
Gizli izlemeyi önleme
Siteler arası açık izleme seçeneklerini azaltırken, web platformunun kullanıcıların parmak izi alınmasına veya gizlice izlenmesine olanak tanıyan kimlik bilgilerini açığa çıkaran alanlarını da ele almamız gerekiyor.
User-Agent dizesi azaltma ve User-Agent istemci ipuçları
Chrome'un kısaltılmış User-Agent biçimini test etmek için kaynak denemesini üçüncü taraf yerleşimlerini içerecek şekilde genişlettik. Temel olarak diğer hizmetler için siteler arası içerik sağlıyorsanız kaynak denemesine kaydolurken üçüncü taraf seçeneğini etkinleştirerek kaynaklarınıza yapılan isteklerde azaltılmış biçimi alabilirsiniz.
Chrome'un kullanıcı aracısını azaltmayla ilgili zaman çizelgesinin tamamını, diğer örnekler ve kullanıma sunma aşamalarıyla ilgili ayrıntıları takip edebilirsiniz. Mevcut User-Agent biçimindeki platform sürümü, cihaz veya tam derleme sürümü bilgilerini kullanıyorsanız Kullanıcı Aracısı İstemci İpuçlarına geçiş yapmanız (UA-CH) da gerekir.
Eksik olduğu durumlarda Sec-CH- üstbilgi ön ekini ekleyerek Müşteri İpuçları için mevcut adları standartlaştırmaya devam ediyoruz. Onay aldıktan sonra UA-CH için GREASE karakterlerinin kapsamını genişletmeyi umuyoruz.
Alakalı içerik ve reklamlar gösterme
Üçüncü taraf çerezlerini kullanımdan kaldırmaya doğru ilerlerken, bu çerezlere dayalı kullanım alanlarına izin veren ancak siteler arası izlemeye izin vermeyen API'ler sunmamız gerekiyor.
FLoC
FLoC, siteler arası ayrı ayrı izlemeye gerek kalmadan ilgi alanına dayalı reklamcılığı etkinleştirmeyi amaçlayan bir tekliftir. Daha fazla ekosistem testine geçmeden önce, FLoC'un önceki kaynak denemesinden gelen geri bildirimleri değerlendiriyoruz. FLoC ile ilgili sonraki adımlar ve kararlar üzerinde çalışmaya devam ederken, yakında Chromium kod tabanında konular kavramıyla ilgili bazı keşif amaçlı kodlar (daha önce referans verilen) göreceksiniz. Chrome'un tüm geliştirme çalışmaları herkese açık olarak yapıldığından bu çalışmalar görünür olacaktır ancak geliştirici testleri için hemen uygulanabilecek bir şey yoktur (bu durum kullanıcılar için de geçerli değildir). Bu tartışmaları ve güncellemeleri yeni PATCG (Private Advertising Technology Community Group)'de paylaşmaya devam etmeyi umuyoruz.
Dijital reklamları ölçme
Siteler arası izleme olmadan reklam göstermenin tamamlayıcısı olarak, bu reklamların etkinliğini ölçmek için gizliliği korumaya yönelik mekanizmalara ihtiyacımız var.
Attribution Reporting API
Attribution Reporting API, siteler arası izlemeyi etkinleştirmeden bir sitedeki etkinlikleri (ör. bir reklamı tıklama veya görüntüleme) ölçerek başka bir sitede dönüşüme yol açmasını sağlar.
Attribution Reporting API'yi test etmeye devam etmek istiyoruz ve kaynak deneme sürümünü Chrome 97'ye kadar uzatma planlıyoruz. Mevcut kaynak deneme jetonlarının süresi 12 Ekim'de doldu. Bu nedenle, teste devam etmek için güncellenmiş jetonlar için başvurmanız gerekir.
Web'de spam ve sahtekarlıkla mücadele
Siteler arası izleme için kullanılabilen yüzeyleri azaltırken karşılaştığımız diğer zorluk, aynı parmak izi tekniklerinin genellikle spam ve sahtekarlık koruması için kullanılmasıdır. Burada da gizliliği koruyan alternatiflere ihtiyacımız var.
Güven Jetonları
Güven Jetonu API'si, bir sitenin ziyaretçi hakkında bir iddia paylaşmasına ("Ziyaretçinin insan olduğunu düşünüyorum" gibi) ve diğer sitelerin bu iddiayı, yine ziyaretçiyi tanımlamadan doğrulamasına olanak tanıyan bir tekliftir.
Güven jetonları, web'de spam ve sahtekarlıkla mücadele etmeyle ilgili genel stratejinin bir parçasıdır. TPAC'deki "Web için sahtekarlık önleme" oturumunda, ekosistemin her yanından temsilciler mevcut zorluklardan ve yaklaşımlardan bazılarını tartıştı.
Geri bildirim
Bu aylık güncellemeleri yayınlamaya ve Gizlilik Korumalı Alan'da genel olarak ilerlemeye devam ederken geliştirici olarak ihtiyacınız olan bilgileri ve desteği alabilmenizi sağlamak istiyoruz. Bu seride iyileştirebileceğimiz bir şey varsa @ChromiumDev Twitter hesabından bize bildirin. Biçimi iyileştirmeye devam etmek için verdiğiniz bilgileri kullanacağız.
Ayrıca, geliştirici destek deposuna gönderdiğiniz sorunlara göre genişletmeye devam edeceğimiz bir Privacy Sandbox SSS bölümü de ekledik. Tekliflerden herhangi biriyle ilgili test veya uygulamayla ilgili sorularınız varsa bizimle iletişime geçebilirsiniz.