דף זה תורגם על ידי Cloud Translation API.

מדריך למפתחים בנושא Private State Tokens

בעבר, קובצי Cookie של צד שלישי שימשו לאחסון ולהעברה של מידע על מצב המשתמש, כמו סטטוס הכניסה שלו, מידע על המכשיר שבו הוא משתמש או אם הוא מוכר ומהימן. לדוגמה, אם המשתמש התחבר באמצעות SSO, אם למשתמש יש מכשיר תואם מסוג מסוים או אם המשתמש מוכר ומהימן. התמיכה בקובצי Cookie של צד שלישי יוצאת משימוש, ולכן צריך למצוא דרכים אחרות לתמוך בהרבה מהתרחישים האלה.

ה-API של Private State Tokens מאפשר לשתף מידע באינטרנט, אבל תוך שמירה על הפרטיות באמצעות אמצעים לבקרה על כמות הנתונים שאפשר לשתף בפועל.

אסימוני מצב פרטי (לשעבר אסימוני מהימנות) מאפשרים להעביר את המהימנות של אותנטיות המשתמש מהקשר אחד להקשר אחר, ועוזרים לאתרים להילחם בהונאות ולהבחין בין בוטים לבין בני אדם אמיתיים – ללא מעקב פסיבי.

במסמך הזה מפורטים הפרטים הטכניים להטמעה של Private State Tokens (PST). בסקירה הכללית על PST מופיע תיאור כללי יותר.

תהליך הלמידה ב-PST. — תהליך הלמידה של PST: התהליך הזה מורכב מכמה שלבים, שמתחילים בהבנת ה-API ובהגדרת אסטרטגיית אסימונים משלכם (פעילויות שקשורות יותר למוצר או לעסק). לאחר מכן, בשלב הטכני, צריך להטמיע את ההדגמה בסביבה המקומית ואז להחיל אותה על תרחיש שימוש אמיתי.

איך פועלים טוקנים של מצב פרטי?

הקשר המרכזי שחשוב להבין ב-PST הוא בין המנפיקים לבין מי שמממשים את האסימונים. המנפיקים והמממשים יכולים להיות באותה חברה.

מנפיקים – ישויות כאלה מקבלות אות מסוים לגבי משתמש (לדוגמה, האם המשתמש הוא בוט או לא) ומטמיעות את האות הזה באסימון שמאוחסן במכשיר של המשתמש (פרטים נוספים בקטעים הבאים).
גורמים שמבקשים מידע – לגורמים האלה אולי אין אות לגבי משתמש, אבל הם צריכים לדעת משהו עליו (לדוגמה, אם המשתמש הוא בוט או לא) והם מבקשים לממש טוקן מהנפקן כדי להבין את מהימנות המשתמש.

כל אינטראקציה עם PST מחייבת את המנפיקים ואת מי שמממשים את ה-PST לשתף אותות באינטרנט. האותות האלה הם ערכים גסים שלא מספיק מפורטים כדי לזהות אנשים פרטיים.

האם טוקנים של מצב פרטי מתאימים לי?

תרחישי שימוש בטוקנים של מצב פרטי. — יש כמה תרחישי שימוש פוטנציאליים לטוקנים של מצב פרטי.

חברות שמקבלות החלטות בנוגע לאמון ורוצות שהמידע הזה יהיה זמין בהקשרים שונים יכולות להפיק תועלת מ-PST. במאמרי העזרה שלנו בנושא תרחישי שימוש ב-PST יש מידע נוסף על תרחישים לדוגמה לשימוש ב-PST.

הנפקת טוקנים ומימושם

ההטמעה של PST מתבצעת בשלושה שלבים:

הנפקת טוקנים
מימוש טוקנים
העברת רשומות פדיון

בשלב הראשון, אסימונים מונפקים לדפדפן (בדרך כלל אחרי סוג כלשהו של אימות). בשלב השני, ישות אחרת תגיש בקשה למימוש האסימון שהונפק כדי לקרוא את הערך באסימון הזה. בשלב האחרון, הצד שמממש את השובר מקבל רשומה של מימוש (RR) עם הערך שהיה כלול באסימון. הגורם שמקבל את הרשומה יכול להשתמש בה כדי לאמת את המשתמש למטרות שונות.

תרשים בסיסי של טוקנים של מצב פרטי. — תרשים רצף: התרשים מציג שימוש בסיסי ב-PST בתרחיש אמיתי שבו שני אתרים רוצים להחליף אותות לגבי מופע ספציפי של Chrome. שני האתרים מבצעים את פעולות ההנפקה והמימוש בזמנים שונים, ויכולים להחליף ביניהם אות מהימן.

הגדרת אסטרטגיית הטוקנים

כדי להגדיר את אסטרטגיית האסימונים, צריך להבין את המושגים העיקריים ב-PST (אסימונים ורשומות מימוש), משתנים, התנהגויות ומגבלות, כדי לחשוב על השימוש הפוטנציאלי שלהם בתרחיש השימוש שלכם.

מה הקשר בין טוקנים לבין רשומות מימוש?

בכל מכשיר אפשר לאחסן עד 500 טוקנים לכל אתר ברמה העליונה ולכל מנפיק. בנוסף, לכל טוקן יש מטא-נתונים שמציינים באיזה מפתח השתמש המנפיק כדי להנפיק אותו. אפשר להשתמש במידע הזה כדי להחליט אם לממש אסימון במהלך תהליך המימוש. נתוני PST מאוחסנים באופן פנימי בדפדפן במכשיר של המשתמש, ואפשר לגשת אליהם רק באמצעות PST API.

כשמממשים אסימון, רשומת המימוש (RR) מאוחסנת במכשיר. האחסון הזה משמש כמטמון למימוש עתידי. יש הגבלה של מימוש שני אסימונים כל 48 שעות לכל מכשיר, דף ומונפק. קריאות חדשות למימוש ישתמשו ב-RR שנשמרו במטמון במידת האפשר, במקום לגרום לבקשה למוציא.

הקשר בין PST ל-RR.

מונפקים טוקנים חדשים (עד 500 לכל מנפיק, אתר ומכשיר).
כל הטוקנים מאוחסנים במאגר הטוקנים במכשיר (בדומה למאגר קובצי Cookie).
אם לא נמצא RR פעיל, אפשר ליצור RR חדשים אחרי ההנפקה (עד 2 כל 48 שעות).
רשומות RR נחשבות פעילות עד שהן פגות, והן ישמשו כמטמון מקומי.
קריאות חדשות למימוש שוברים יגיעו למטמון המקומי (לא ייווצרו בקשות חדשות למימוש שוברים).

אחרי שמגדירים את תרחיש השימוש, צריך להגדיר בקפידה את משך החיים של ה-RR, כי הוא יקבע כמה פעמים תוכלו להשתמש בו במקרה שלכם.

לפני שמגדירים את האסטרטגיה, חשוב להבין את ההתנהגויות והמשתנים הקריטיים הבאים:

משתנה / התנהגות	תיאור	שימוש פוטנציאלי
מטא-נתונים של מפתח טוקן	כל אסימון יכול להיות מונפק באמצעות מפתח הצפנה אחד בלבד, וב-PST יש מגבלה של שישה מפתחות לכל מנפיק.	אחת הדרכים הפוטנציאליות להשתמש במשתנה הזה היא להגדיר טווח של מהימנות לאסימונים שלכם על סמך המפתחות הקריפטוגרפיים (לדוגמה, מפתח 1 = מהימנות גבוהה, מפתח 6 = ללא מהימנות).
תאריך התפוגה של הטוקן	תאריך התפוגה של הטוקן זהה לתאריך התפוגה של המפתח.	אפשר לבצע רוטציה של המפתחות לפחות כל 60 יום, וכל האסימונים שהונפקו עם מפתחות לא תקפים נחשבים גם הם לא תקפים.
הגבלה על קצב מימוש הטוקנים	יש מגבלה של שני מימושי טוקנים לכל מכשיר ולכל מנפיק כל 48 שעות.	תלוי במספר המשוער של מימושים שנדרשים לתרחיש השימוש שלכם כל 48 שעות.
מספר המנפיקים המקסימלי לכל מקור ברמה העליונה	המספר המקסימלי של מנפיקים לכל מקור ברמה העליונה (שניים).	חשוב להגדיר בקפידה את הגורמים שהנפיקו כל דף.
טוקנים לכל מנפיק במכשיר	מספר האסימונים המקסימלי לכל מנפיק במכשיר ספציפי (500).	חשוב להקפיד שמספר האסימונים יהיה קטן מ-500 לכל מנפיק. חשוב לטפל בשגיאות בדף האינטרנט כשמנסים להנפיק אסימונים.
רוטציית מחויבויות מפתחות	כל מנפיק של PST נדרש לחשוף נקודת קצה עם התחייבויות למפתחות שאפשר לשנות כל 60 יום, וכל רוטציה מהירה יותר תתעלם.	אם תוקף המפתחות עומד לפוג תוך פחות מ-60 ימים, חובה לעדכן את התחייבויות המפתחות לפני התאריך הזה כדי למנוע שיבושים (פרטים).
משך החיים של רשומת מימוש	אפשר להגדיר את משך החיים של RR כדי לקבוע תאריך תפוגה. מאחר ש-RR נשמרים במטמון כדי למנוע קריאות מיותרות חדשות למימוש אל ה-Issuer, חשוב לוודא שיש אותות מימוש חדשים מספיק.	מכיוון שיש הגבלה על קצב המימוש של שני טוקנים כל 48 שעות, חשוב להגדיר את משך החיים של ה-RR כדי שאפשר יהיה לבצע קריאות מימוש בהצלחה לפחות למשך התקופה הזו (צריך להגדיר את משך החיים של ה-RR בהתאם). מומלץ להגדיר את משך החיים הזה למשך שבועות.

תרחישים לדוגמה

תרחיש מספר 1: משך החיים של ה-RR הוא פחות מ-24 שעות (t=t) והמימוש מתבצע מספר פעמים במהלך חלון 48 השעות.

תרחיש לדוגמה 1 של PST: משך חיים קצר. — בתרחיש הזה, יש חלון של 28 שעות שבו המשתמש לא יוכל לממש אסימונים חדשים וכל ה-RR יפוגו.

תרחיש מספר 2: משך החיים של קוד ה-RR הוא 24 שעות והמימוש מתבצע מספר פעמים במהלך חלון הזמן של 48 שעות.

תרחיש לדוגמה 2 של PST: משך החיים הוא 24 שעות. — בתרחיש הזה, מכיוון שתוקף ה-RR הוא 24 שעות, אפשר לממש אותו במהלך 48 השעות ללא הגבלה.

תרחיש מספר 3: משך החיים של קוד ה-RR הוא 48 שעות והמימוש מתבצע מספר פעמים במהלך חלון הזמן של 48 השעות.

תרחיש לדוגמה 3 של PST: משך החיים הוא 48 שעות. — בתרחיש הזה, מכיוון שתקופת התוקף של RR היא 48 שעות, אפשר לממש את השוברים במהלך כל 48 השעות ללא הגבלה.

הפעלת ההדגמה

לפני שמתחילים להשתמש ב-PST, מומלץ להגדיר את הדמו.

דף הדגמה של PST בכתובת privatetokens.dev

כשמריצים את ההדגמה הזו, הדפדפן משתמש בשרתי ההנפקה והמימוש של ההדגמה כדי לספק ולצרוך טוקנים.

שיקולים טכניים

כדי שההדגמה תפעל בצורה הטובה ביותר, צריך לבצע את השלבים הבאים:

חשוב לוודא שכל המופעים של Chrome הופסקו לפני שמריצים את Chrome עם תכונות ניסיוניות.
אם אתם משתמשים במחשב Windows, כדאי לעיין במדריך הזה כדי ללמוד איך להעביר פרמטרים לקובץ ההרצה הבינארי של Chrome.
פותחים את כלי הפיתוח ל-Chrome בקטע Applications > Storage > Private State Tokens בזמן השימוש באפליקציית ההדגמה כדי לראות את האסימונים שהונפקו או שמומשו על ידי מנפיק ההדגמה.

החלונית Application בכלי הפיתוח ל-Chrome מציגה טוקנים מאוחסנים של מצב פרטי עבור privatetokens.dev

הגדרת תהליך האימוץ

בקטע הזה מוסברות הדרישות להנפקת כרטיסי PST או למימוש שלהם.

איך הופכים למנפיקים

לגורמים מנפיקים יש תפקיד מרכזי ב-PST. הם מקצים ערכים לטוקנים כדי לקבוע אם המשתמש הוא בוט או לא. אם אתם רוצים להתחיל להשתמש ב-PST כמנפיקים, אתם צריכים להירשם באמצעות השלמת תהליך רישום המנפיק.

כדי להגיש בקשה להפוך למונפק, המפעיל של אתר המנפיק צריך לפתוח בעיה חדשה במאגר GitHub באמצעות התבנית New PST Issuer (מנפיק חדש של PST). פועלים לפי ההנחיות במאגר כדי למלא את הבעיה. אחרי שנקודת קצה מאומתת, היא תמוזג במאגר הזה והתשתית בצד השרת של Chrome תתחיל לאחזר את המפתחות האלה.

שרתי הנפקה

המנפיקים והפודים הם השחקנים העיקריים ב-PST, והשרתים והאסימונים הם הכלים העיקריים ב-PST. כבר סיפקנו פרטים מסוימים על טוקנים ועל שרתים של PST במסמכי התיעוד שלנו ב-GitHub, אבל רצינו להוסיף עוד פרטים. כדי להגדיר את עצמכם כמנפיקים של PST, אתם צריכים קודם להגדיר שרת הנפקה.

פריסת הסביבה: שרתי מנפיקים

כדי להטמיע את שרת הנפקת האסימונים, תצטרכו ליצור אפליקציה משלכם בצד השרת שתחשוף נקודות קצה של HTTP.

רכיב המנפיק מורכב משני מודולים עיקריים: (1) שרת המנפיק ו-(2) מנפיק האסימונים.

רכיבי שרת של המנפיק.

כמו בכל האפליקציות שפונות לאינטרנט, מומלץ להוסיף שכבת הגנה נוספת לשרת המנפיק.

שרת המנפיק: בהטמעה לדוגמה שלנו, שרת ההנפקה הוא שרת Node.js שמשתמש ב-Express framework כדי לארח את נקודות הקצה של HTTP של המנפיק. אפשר לעיין בקוד לדוגמה ב-GitHub.
הנפקת טוקנים: רכיב ההצפנה של הנפקת הטוקנים לא דורש שפה ספציפית, אבל בגלל דרישות הביצועים של הרכיב הזה, אנחנו מספקים הטמעה ב-C כדוגמה, שמשתמשת בספריית BoringSSL לניהול טוקנים. דוגמה לקוד של מנפיק ומידע נוסף על ההתקנה זמינים ב-GitHub
מפתחות: רכיב הנפקת הטוקנים משתמש במפתחות EC מותאמים אישית כדי להצפין טוקנים. המפתחות האלה צריכים להיות מוגנים ומאוחסנים באחסון מאובטח.

דרישות טכניות לשרתי המנפיק

בהתאם לפרוטוקול, תצטרכו להטמיע לפחות שתי נקודות קצה (endpoint) של HTTP בשרת המנפיק:

התחייבות למפתח (לדוגמה, /.well-known/private-state-token/key-commitment): בנקודת הקצה הזו, פרטי המפתח הציבורי של ההצפנה יהיו זמינים לדפדפנים כדי לאשר שהשרת שלכם לגיטימי.
- דוגמת קוד ב-GitHub
- לצפייה בהדגמה
הנפקת טוקן (לדוגמה, /.well-known/private-state-token/issuance): נקודת הקצה להנפקת טוקן שבה יטופלו כל בקשות הטוקן. נקודת הקצה הזו תהיה נקודת השילוב של רכיב הנפקת האסימונים.
- דוגמת קוד ב-GitHub
- לצפייה בהדגמה

כמו שציינו קודם, בגלל נפח התנועה הגבוה שצפוי שהשרת הזה יטפל בו, מומלץ לפרוס אותו באמצעות תשתית ניתנת להרחבה (לדוגמה, בסביבת ענן) כדי שתוכלו להתאים את העורף בהתאם לביקוש משתנה.

שליחת שיחה לשרת המוסד המנפיק

מטמיעים קריאה להבאת נתונים מהאתר במערך של המנפיק כדי להנפיק אסימונים חדשים.

 // issuer request
    await fetch("/.well-known/private-state-token/issuance", {
      method: "POST",
      privateToken: {
        version: 1,
        operation: "token-request"
      }
    });

דוגמה לקוד

שרתי מימוש

תצטרכו להטמיע את שירות מימוש האסימון על ידי בניית אפליקציה משלכם בצד השרת. כך תוכלו לקרוא את האסימונים שמונפקים על ידי גורם מנפיק. בשלבים הבאים מוסבר איך לממש אסימונים ואיך לקרוא את רשומות המימוש שמשויכות לאסימונים האלה.

אפשר להפעיל את הגורם המנפיק ואת הגורם המממש באותו שרת (או באותה קבוצת שרתים).

רכיבי ההדגמה של PST: אלה הם הרכיבים העיקריים של שרת המימוש. שרת מימוש (אפליקציית Node.js) ורכיב מימוש אסימונים (רכיב קריפטוגרפי שאחראי על אימות חתימות ואסימונים בתהליך המימוש).

דרישות טכניות לשרתים של מימוש שוברים

בהתאם לפרוטוקול, תצטרכו להטמיע לפחות שתי נקודות קצה (endpoint) של HTTP בשרת המימוש:

‫/.well-known/private-state-token/redemption: נקודת הקצה שבה יטופל כל מימוש האסימונים. נקודת הקצה הזו היא המקום שבו ישולב רכיב מימוש האסימון
- קוד לדוגמה ב-GitHub
- הדגמה

שליחת שיחה לשרת המימוש

כדי לממש טוקנים, צריך להטמיע קריאה לאחזור נתונים באתר אל מחסנית המימוש כדי לממש טוקנים שהונפקו קודם.

    // redemption request
    await fetch("/.well-known/private-state-token/redemption", {
      method: "POST",
      privateToken: {
        version: 1,
        operation: "token-redemption",
        refreshPolicy: "none"
      }
    });

דוגמת קוד

אחרי מימוש של טוקן, אפשר לשלוח את רשומת המימוש (RR) על ידי ביצוע עוד קריאת אחזור:

    // attach redemption records from the issuers to the request
    await fetch("<DESTINATION_RESOURCE>", {
      method: "POST",
      privateToken: {
        version: 1,
        operation: "send-redemption-record",
        issuers: [<ISSUER_DOMAIN>]
      }
    });

דוגמת קוד

פריסת ההטמעה

כדי לבדוק את ההטמעה, קודם עוברים לדף האינטרנט שבו מתבצעת קריאת ההנפקה ומוודאים שהאסימונים נוצרו בהתאם ללוגיקה שלכם. במערכת העורפית, מוודאים שהשיחות בוצעו בהתאם למפרט. לאחר מכן, עוברים לדף האינטרנט שבו מתבצעת השיחה למימוש השובר ומוודאים שנוצרו רשומות RR בהתאם ללוגיקה שלכם.

פריסה בעולם האמיתי

מומלץ לבחור אתרי טירגוט שרלוונטיים לתרחיש השימוש הספציפי שלכם:

מספר קטן של ביקורים חודשיים (עד מיליון ביקורים בחודש): מומלץ להתחיל בפריסת ה-API לקהל קטן
הבעלות והשליטה בידיכם: אם צריך, אפשר להשבית במהירות את ההטמעה בלי אישורים מורכבים
לא יותר מגורם מנפיק אחד: כדי להגביל את מספר הטוקנים וכך לפשט את הבדיקה.
לא יותר משני מממשים: כדי לפשט את פתרון הבעיות במקרה של בעיות.

מדיניות הרשאות

כדי ש-PST API יפעל בצורה תקינה, הוא צריך להיות זמין לדף ברמה העליונה ולכל משאבי המשנה שמשתמשים ב-API.

הפעולה של בקשת הטוקן נשלטת על ידי ההנחיה private-state-token-issuance. הפעולות token-redemption ו-send-redemption-record נשלטות על ידי ההנחיה private-state-token-redemption. ב-Chrome 132 ובגרסאות מתקדמות יותר, רשימת ההיתרים של ההנחיות האלה מוגדרת כ-* (כל המקורות) כברירת מחדל. המשמעות היא שהתכונה זמינה לדף ברמה העליונה, לרכיבי iframe מאותו מקור ולרכיבי iframe ממקורות שונים ללא העברה מפורשת של הרשאות.

כדי להפסיק להנפיק או לממש אסימוני PST בדפים ספציפיים באתר, צריך לכלול את private-state-token-issuance=() ואת private-state-token-redemption=() בכותרת Permissions-Policy של כל דף.

אפשר גם להשתמש בכותרת Permissions-Policy כדי לשלוט בגישה של צדדים שלישיים ל-PST. כפרמטרים לרשימת המקורות של הכותרת, משתמשים ב-self ובכל המקורות שרוצים לאפשר להם גישה ל-API. לדוגמה, כדי להשבית לחלוטין את השימוש ב-PST בכל הקשרי הגלישה, למעט המקור שלכם ו-https://example.com, מגדירים את כותרות התגובה הבאות של HTTP:

Permissions-Policy:private-state-token-issuance=(self "https://example.com"),private-state-token-redemption=(self "https://example.com")

כדי להפעיל את ה-API לכל המשאבים ממקורות שונים, מגדירים את רשימת המקורות ל-*.

כאן מוסבר איך לשלוט בתכונות של Privacy Sandbox באמצעות מדיניות ההרשאות. אפשר גם לקרוא מידע נוסף על מדיניות ההרשאות.

פתרון בעיות

אפשר לבדוק את ה-PST בכרטיסיות 'רשת' ו'אפליקציה' בכלי הפיתוח ל-Chrome.

בכרטיסייה 'רשת':

בכרטיסייה 'בקשה':

בדיקה בכלי הפיתוח בכרטיסייה 'אפליקציה'. — בדיקה בכלי הפיתוח של PST: עוברים אל Application (אפליקציה) > Private state tokens (טוקנים של מצב פרטי) כדי לקבל את כל המידע הרלוונטי על טוקנים ומנפיקים של דף ספציפי.

מידע נוסף על השילוב הזה של כלי הפיתוח

שיטות מומלצות ללקוחות

אם הפונקציות הקריטיות באתר שלכם תלויות במנפיקי טוקנים מסוימים, כדאי לתת להם עדיפות. צריך להתקשר אל hasPrivateToken(issuer) בשביל המנפיקים המועדפים האלה לפני שמעלים סקריפטים אחרים. הפעולה הזו חשובה מאוד כדי למנוע בעיות אפשריות במימוש השוברים.

מספר המנפיקים לכל רמה עליונה מוגבל לשניים, וסקריפטים של צד שלישי עשויים גם לנסות לקרוא ל-hasPrivateToken(issuer) כדי לתת עדיפות למנפיקים המועדפים שלהם. לכן, חשוב לאבטח מראש את המנפיקים החיוניים כדי לוודא שהאתר פועל כמצופה.

  // Prioritize your critical token issuer.
  document.hasPrivateToken('https://critical-issuer.example')
    .then(hasToken => {
      if (hasToken) {
        // Use the token or perform actions based on its availability.
      } else {
        // Handle the case where the token is not available.
      }
    });

  // Load third-party scripts or secure another token issuer (up to two in total).

שיטות מומלצות לשימוש בשרת ופתרון בעיות

כדי שהשרת של מנפיק ה-PST והשרת של מי שמשתמש ב-PST יפעלו בצורה יעילה, מומלץ ליישם את השיטות המומלצות הבאות כדי למנוע בעיות בגישה, באבטחה, ברישום ביומן או בתנועה של PST.

נקודות הקצה צריכות להשתמש בהצפנה חזקה באמצעות TLS 1.3 או 1.2.
התשתית שלכם צריכה להיות מוכנה לטפל בנפחי תנועה משתנים (כולל עליות חדות).
חשוב לוודא שהמפתחות מוגנים ומאובטחים, בהתאם למדיניות בקרת הגישה, לאסטרטגיית ניהול המפתחות ולתוכניות לשימור ההמשכיות העסקית.
כדאי להוסיף מדדי יכולת צפייה לסט הטכנולוגיות כדי לוודא שתהיה לכם אפשרות להבין את השימוש, צווארי הבקבוק ובעיות הביצועים אחרי המעבר לסביבת הייצור.

מידע נוסף

עיון במסמכי התיעוד למפתחים:
1. כדאי להתחיל בקריאת סקירה כללית כדי להבין מה זה PST ומה היכולות שלו.
2. מומלץ לצפות בסרטון ההקדמה בנושא PST.
3. אפשר לנסות את ההדגמה של PST.
4. כדאי גם לקרוא את ההסבר על ה-API כדי לקבל פרטים נוספים.
5. מידע נוסף על המפרט הנוכחי של ה-API
אתם יכולים להשתתף בדיון באמצעות בעיות ב-GitHub או שיחות ב-W3C.
כדי להבין טוב יותר את המונחים, מומלץ לעיין במילון המונחים של ארגז החול לפרטיות.
כדי לקבל מידע נוסף על מושגים ב-Chrome, כמו 'גרסת מקור לניסיון' או 'דגלים של Chrome', אפשר לעיין בסרטונים ובמאמרים הקצרים שזמינים בכתובת goo.gle/cc.