Birinci Taraf Gruplar (BTG), Chrome'da üçüncü taraf çerezlerinin desteğinin sonlandırılmasından sonra kullanıcıların web'de gezinme deneyimini desteklemek için tasarlanmıştır. Öneri, FPS kuluçka sürecinde açık web forumlarında önemli ölçüde gelişti. Önce W3C'nin Gizlilik Topluluk Grubu'nda, ardından Web Kuluçka Topluluk Grubu'nda tartışıldı.
Bu blog yayınında, evrim sürecini özetleyeceğiz, önemli değişiklikleri vurgulayacağız ve bu tür değişikliklerin ekosistemi desteklemeye devam ederken web'de gizliliği neden iyileştirdiğini tartışacağız.
Arka plan
Siteler, kullanıcılara sorunsuz ve özelleştirilmiş deneyimler sunmak için genellikle çerezlerine üçüncü taraf bağlamında erişir. Chrome ekibi, gizliliği korumaya yönelik reklam API'lerine (Topics, Protected Audience API ve Attribution) ek olarak, kullanıcılara daha iyi tarama deneyimleri sunmak için reklam kişiselleştirme veya ölçüm amaçlarının ötesinde üçüncü taraf çerezlerinin kullanıldığı senaryoların kapsamını anlamaya çalıştı.
Kuruluşların web mimarileri birden fazla alan adı kullanacak şekilde tasarlandığı için üçüncü taraf çerezlerini kullanabileceğini tespit ettik. Örneğin, bir kuruluşun doğa yürüyüşü blogu için bir alanı, kamp mağazası için de başka bir alanı olabilir ve bu sitelerdeki kullanıcı yolculuklarını desteklemek isteyebilir. Bir kuruluş, web hizmeti için ortak altyapıya sahip birden fazla ülke kodu alanı da yönetebilir. Bu tür durumlar için, kullanıcıların web'deki gizlilik beklentilerini korurken bu tür kuruluşların ihtiyaçlarına uygun bir çözüm oluşturmaya karar verdik.
Başladığımız yer
Tarayıcı şu anda "birinci taraf" ile "üçüncü taraf"ı yorumlamak için site düzeyinde sınır kullandığından, bir kuruluşun yönetebileceği alan aralığını hesaba katmak için bu teknik sınırı daha ayrıntılı bir tanımla değiştirmek uygun görünüyordu.
2021'de Chrome, sitelerin "aynı taraf"taki sitelerden gelen çerezleri tanımlayabilmesi için First-Party Sets için SameParty çerez özelliğini önerdi. "Aynı taraf"ın neyi ifade ettiğini tanımlamak için bir Kullanıcı Aracı Politikası kullandık. Bu politika tanımı, mevcut "taraf" çerçevelerini (ör. W3C DNT spesifikasyonundan) temel almaya çalıştı ve ilgili gizlilik söylemindeki önerileri (ör. "Hızlı Değişiklik Çağında Tüketici Gizliliğini Koruma" başlıklı 2012 Federal Ticaret Komisyonu raporu) dahil etti.
O dönemde bu yaklaşımın, sektörler genelinde farklı kuruluş türleri için yeterli esneklik sağladığını ve üçüncü taraf çerezleri aracılığıyla yaygın izlemeyi en aza indirme temel hedefimize de bağlı kalmayı sağladığını düşünüyorduk.
İlk teklifle ilgili geri bildirim
Web ekosistemindeki paydaşlarla yaptığımız birçok görüşme sonucunda, bu ilk tasarımın sınırlamaları olduğunu tespit ettik.
SameParty özelliği aracılığıyla pasif çerez erişimi ile ilgili gizlilik sorunları
Diğer tarayıcı tedarikçileri, pasif çerez erişiminin sürdürülebileceği bir sınır belirlemek yerine, üçüncü taraf çerez erişimi için açık bir API çağrısı gerektiren etkin bir yaklaşımı tercih etti. Çerez erişimi için etkin istekler, tarayıcıya görünürlük ve kontrol sağlar. Böylece üçüncü taraf çerezleri aracılığıyla gizli izleme riski azaltılabilir. Ayrıca bu görünürlük, tarayıcıların kullanıcılara bu tür çerez erişimine izin verme veya engelleme seçeneği sunmasına olanak tanır.
Tarayıcılar arasında web birlikte çalışabilirliği elde etmek ve gizlilik avantajlarını iyileştirmek için bu yönde ilerlemeye karar verdik.
Önerilen politikayla ilgili uygulama zorlukları
Orijinal politika, alanların tek bir grupta olması için üç şart öneriyordu: "ortak sahiplik", "ortak gizlilik politikası" ve "ortak grup kimliği".
Politika hakkında aldığımız geri bildirimleri dört ana temaya göre sınıflandırdık.
Ortak sahiplik çok kısıtlayıcı
"Ortak sahiplik" şartıyla ilgili olarak, yalnızca kurumsal sahipliğe odaklanan bir FPS tanımının, daha büyük şirketlere küçük şirketlere kıyasla çok çeşitli alanlardan ve kullanıcılara yönelik hizmetlerden veri toplama konusunda daha fazla olanak sağlayacağı yönünde geri bildirim aldık. Özel Korumalı Alan'ı ekosistemin tamamı için geliştirmeyi hedeflediğimizden bu geri bildirimi ciddiye aldık ve daha kapsayıcı bir çözüme öncelik verdik.
Tek bir politika, genişletilebilirliği kullanım alanlarıyla sınırlandırır
Bir sınırı yönetecek bütünsel bir politika fikri, kuruluşun FPS'sinde olması gereken farklı alan türleri için esneklik sağlamak amacıyla tasarlanmış olsa da bazı kritik kullanım alanlarının bu politika tasarımını karşılayamadığını tespit ettik. Örneğin, hizmet alanları (kullanıcı tarafından oluşturulan içerik barındıran alanlar gibi), kullanıcıların kimliğini doğrulamak veya tanımlamak için üçüncü taraf bağlamında çerezlerine erişmesi gerekebilir. Bu tür alanların kullanıcıların erişebileceği bir ana sayfası nadiren olduğundan, aynı FPS'deki diğer alan adlarıyla "ortak grup kimliği" veya "ortak gizlilik politikası" şartları karşılanamaz.
Kullanıcıların grup kimliği hakkındaki algıları ve anlayışları farklı olabilir
Başlangıçta, tek bir gruptaki alanları ortak bir grup kimliğiyle kolayca ilişkilendirilebilecek alanlarla sınırlandırmak amacıyla "ortak grup kimliği"ni tanımlamak için sınırlar önermiştik. Ancak ortak grup kimliğinin "kullanıcılar tarafından kolayca bulunup bulunamayacağını" ölçmek ve değerlendirmek için teknik bir yöntem tanımlayamadık. Bu durum, kötüye kullanıma yol açabilir ve yaptırımla ilgili sorulara neden olabilir.
Ayrıca, "ortak sahiplik" sınırlarının anlamının kullanıcıdan kullanıcıya değişebileceğine dair geri bildirimler aldık. Bu da tüm sitelere uygulanabilecek yönergeler oluşturmayı zorlaştırıyor.
Öznel bir politikanın geniş ölçekte uygulanması zordur
Belirli koşulların (ör. "ortak grup kimliği") öznel yapısı ve diğer koşullar için istisnaları veya uç durumları ("ortak gizlilik politikası" ile ilgili) kapsayacak şekilde daha ayrıntılı yönergeler için çok sayıda talep aldık.
Politikanın adil ve tutarlı bir şekilde uygulanmasını sağlamak için Chrome'un site yazarlarına çok daha ayrıntılı yönergeler sağlaması gerekirdi. Daha katı yönergeler oluşturmaya çalışmanın, ekosisteme zarar verebileceğine karar verdik.
İlk başta, politikaya uygunluğu araştırma ve yaptırım uygulama rolünü bağımsız bir yaptırım kuruluşunun üstlenmesini önermiştik. Ancak mevcut ekosistemde, bu sorumlulukları tarafsız bir şekilde yerine getirebilecek uygun uzmanlığa sahip bağımsız bir yaptırım kuruluşu bulmak zordu. Bunun yerine, uygulamanın tutarlı ve objektif bir şekilde uygulanmasını sağlamak için teknik olarak uygulanabilecek bir politikaya geçmeye çalıştık.
Evrim
Aldığımız geri bildirimler doğrultusunda FPS'yi yeniden tasarladık. Çözmeye çalıştığımız belirli sorunlara geri döndük ve öneriyi, çözüm üretmeye çalıştığımız belirli kullanım alanlarına daha doğrudan göre şekillendirmeye karar verdik.
Temel kullanım alanları için çözümler
Chrome, web'deki temel kullanım alanlarını karşılamak için özel olarak tasarlanmış üç farklı "alt küme" geliştirdi. Alt küme yaklaşımı, daha gizli, daha spesifik ve tutarlı bir şekilde uygulanması daha kolay olduğu için eski yaklaşıma göre iyileştirilmiştir.
- "ccTLD'ler" (ülke kodu üst düzey alan adları): Kuruluşlar, yerelleştirilmiş deneyimler için farklı ccTLD'lere sahip siteler barındırabilir ve bu siteler için ortak hizmetlere ve altyapıya erişim gerekebilir.
- "Hizmet" alanları: Siteler, güvenlik veya performans amacıyla ayrı alanlar kullanabilir. Bu siteler, işlevlerini yerine getirmek için kullanıcı kimliğine erişmesi gerekebilir.
- "İlişkili" alanlar: Kuruluşlar, farklı ve ilgili markalar veya ürünler için birden fazla site işletebilir. Bir kuruluşun kullanıcı tabanının siteleriyle nasıl etkileşime geçtiğini daha iyi anlamak veya aynı giriş altyapısını kullanarak ilgili bir sitede kullanıcının oturum açmış durumunu hatırlamak için ilgili sitelerdeki kullanıcı yolculuklarının analizleri gibi kullanım alanları için siteler arası çerez erişimi isteyebilirler.
Bu kullanım alanlarının her biri için ayrı politika şartları, ilgili teknik doğrulama kontrolleri ve tarayıcı işlemeyle ilgili belirli davranışlar vardır (Gönderim Kuralları bölümünden daha fazla bilgi edinebilirsiniz). Bu değişiklikler, "herkese uygun" bir tasarımdan vazgeçip bölümlendirilmiş, kullanım alanına dayalı bir çerçeveyi tercih ederek orijinal önerideki sınırlamaları ele alıyor.
Üçüncü taraf çerez erişimi için etkin istekler aracılığıyla birlikte çalışabilirlik fırsatı
Chrome, web platformunun sağlığını korumak için diğer tarayıcılarla birlikte çalışabilme özelliğini desteklemeye çalışmaktadır. Safari, Firefox ve Edge gibi diğer tarayıcılar şu anda etkin çerez isteklerini kolaylaştırmak için Storage Access API'yi (SAA) kullandığından, yalnızca aldığımız önemli geri bildirimleri ele almakla kalmayıp web birlikte çalışabilirliğini desteklemek için Chrome'da SAA'dan yararlanmayı tercih ettik.
Geliştiricilere daha fazla esneklik sağlamak ve SAA'nın bilinen sınırlamalarını gidermek için requestStorageAccessForOrigin API'yi de önerdik.
Storage Access API ve FPS'yi birlikte kullanma fırsatı
Tarayıcılar, Depolama Aksesuarı API'sini (SAA) uygularken doğrudan kullanıcılardan izin isteyebilir. Diğer tarayıcılar ise izin istemi olmadan sınırlı sayıda isteğe izin vermeyi tercih edebilir.
Chrome, FPS'nin kullanıcı deneyimindeki sürtünmeyi sınırlandırarak ve önemli, sınırlı kullanım alanları için istem yorgunluğunu önleyerek SAA'nın üzerine şeffaf bir katman sağlayabileceğine inanıyor. FPS, tarayıcılara kullanıcılardan izin istemeyi seçmeleri durumunda kullanıcılara abonelik ayarı hakkında ek bağlam bilgisi sağlama esnekliği de sunar.
Geliştiriciler, BTG sayesinde önemli kullanım alanlarına hizmet veren ve etkilenen kendi sitelerini belirleme fırsatı elde eder. Bu sayede geliştiriciler, sitelerinin kullanıcılar için nasıl çalışacağını tahmin edebilir ve FPS'den veya üçüncü taraf çerez alternatiflerinden yararlanarak kullanıcı deneyimi üzerindeki etkiyi sınırlamak için önlemler alabilir. Ayrıca FPS, zaman içinde değişebilen veya farklı kullanıcılar için farklı davranışlara neden olabilecek sezgisel kurallara kıyasla geliştiricilere platform öngörülebilirliği sağlar.
Son olarak, Chrome'da FPS ile çalışmak için SAA'yı uygulayan geliştiriciler, sitelerinin diğer tarayıcılarda (FPS yayınlamayanlar dahil) performansı için de SAA'dan yararlanabilir.
Devam eden tartışma
Son teklifimizin, kullanıcıların ve geliştiricilerin ihtiyaçlarını göz önünde bulundurarak zorlu bir değiş tokuş alanında doğru dengeyi sağladığını düşünüyoruz. Web ekosistemi paydaşlarının FPS teklifini geliştirmemize yardımcı olan geri bildirimlerine teşekkür ederiz.
Web ekosistemi paydaşlarının güncellenmiş teklifle henüz tanışmakta olduğunun farkındayız. Tasarımı geliştiriciler için daha kullanışlı ve web'deki gizliliği iyileştirmeye devam edecek şekilde iyileştirmeye devam edebilmemiz için lütfen bizimle iletişime geçin. Google, Taahhütler'e uygunluğu sağlamak için Birleşik Krallık Rekabet ve Piyasalar Kurumu (CMA) ile de çalışmaya devam edecektir.
Etkileşim kurmak için aşağıdaki kaynaklara göz atın:
- WICG'de kuluçka
- FPS testi talimatları
- Birinci Taraf Gruplar: entegrasyon rehberi
- FPS Gönderim Yönergeleri
Ekosistemle çalışma
Salesforce ve CafeMedia gibi şirketlerin birinci taraf gruplarının geliştirilmesi ve önemli geri bildirimler konusunda aktif rol oynaması çok güzel. Teknolojinin ilerlemesinde önemli bir rol oynadılar. Birinci taraf grupları ve Chrome'un web ekosistemiyle çalışma çabaları hakkındaki düşüncelerini paylaşan diğer kullanıcılar da oldu:
"Chrome, kullanıcı yolculuklarını korumak gibi birçok kullanım alanımıza uygun birinci taraf gruplar geliştiriyor. Bu, Google ekibinin web'deki site sahiplerinin farklı ihtiyaçlarını anlamak için çalıştığını gösteriyor." - Mercado Libre
"VWO olarak, Google'ın gerçek kullanım alanlarının ele alındığından emin olurken gizlilik standartlarını yükseltme çabalarını takdir ediyoruz. Ekibin geliştirici ekosistemiyle birlikte çalışması ve web paydaşlarından gelen geri bildirimler doğrultusunda birinci taraf kümeleri önerisinin uygulanmasını sürekli olarak iyileştirmesi harika. Teklifin test yolculuğunun bir parçası olmaktan heyecan duyuyoruz ve tarayıcıya eklenmesini dört gözle bekliyoruz." - Nitish Mittal, Mühendislik Direktörü, VWO