התקדמות בארגז החול לפרטיות (ספטמבר 2021)

ברוכים הבאים למהדורת ספטמבר של ההתקדמות בארגז החול לפרטיות, שעוקבת אחרי אבני הדרך בתהליך ההוצאה משימוש של קובצי cookie של צד שלישי ב-Chrome ושמירה על פרטיות באינטרנט. בכל חודש נשתף סקירה כללית של העדכונים בציר הזמן של ארגז החול לפרטיות וחדשות מרחבי הפרויקט.

  • מניעת מעקב סמוי
    • פורסם ציר הזמן להפחתת סוכן המשתמש, השינויים מתחילים מ-Chrome 101 (היציב ברבעון השני של 2022) ומסתיימים ב-Chrome 113 (יציב ברבעון השני של 2023)
    • נפתחה ההרשמה לתקופת ניסיון ראשונית לצמצום של סוכני המשתמש
  • חיזוק הגבולות של הפרטיות באתרים שונים
    • תקופת הניסיון הראשונית של דומיינים של צד ראשון הסתיימה
    • הפונקציונליות של קובצי ה-cookie של כלי הפיתוח שופרה
  • הצגת מודעות ותכנים רלוונטיים
    • הארכת תקופת הדיון הכוללת לרבעון 4 של שנת 2021 והתחלת תקופת הבדיקה ברבעון הראשון של 2022
    • הדגשת התכונה הניסיונית הקיימת בבדיקה של FLEDGE למפתחים
  • מדידת מודעות דיגיטליות
    • גרסת המקור לניסיון של דוחות השיוך (Attribution) הורחבה ל-Chrome 94
    • שיפרנו את הפונקציונליות של דוחות השיוך (Attribution) של כלי הפיתוח
  • מאבק בספאם ובהונאות באינטרנט
    • גרסת המקור לניסיון של Trust Token API הורחבה ל-Chrome 101

מניעת מעקב סמוי

ככל שאנחנו מצמצמים את האפשרויות למעקב מפורש בין אתרים, אנחנו צריכים לטפל גם באזורים של פלטפורמת האינטרנט שחושפים פרטים מזהים שמאפשרים יצירה של טביעת אצבע דיגיטלית (fingerprinting) או מעקב סמוי של המשתמשים.

צמצום המחרוזות של סוכן המשתמש ורמזים על הלקוח (Client Hints) לגבי הסוכן המשתמש

שיתפנו את ציר הזמן המלא לצמצום פרטי המשתמש-סוכן של Chrome, ופתחנו את ההרשמה לגרסת המקור לניסיון להצטרפות מוקדמת לפורמט החדש.

כדי לצמצם את בעיות התאימות, התוצאה הסופית נשארת על אותו פורמט מחרוזת, אבל ייעשה שימוש בערכים קבועים עבור דגם המכשיר, גרסת הפלטפורמה וגרסת ה-build המלאה של Chrome.

ישן

Mozilla/5.0 (Linux; Android 12; Pixel 5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.16 Mobile Safari/537.36

חדש

Mozilla/5.0 (Linux; Android 10; K) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.0.0 Mobile Safari/537.36

כאן תוכלו לראות דוגמאות נוספות ואת שלבי ההשקה.

השינויים צפויים להתחיל ב-Chrome בגרסה 101 (היציבה ברבעון השני של 2022) ולהסתיים ב-Chrome 113 (היציב ברבעון השני של 2023). אמנם יהיה שינוי קטן בעתיד, אבל טיפים לגבי לקוחות של סוכן משתמש כבר זמינים באופן מלא בגרסה היציבה של Chrome, כך שחשוב להעריך באופן פעיל את ההשפעה שלהם וליישם את השינויים כבר עכשיו.

חזקו את גבולות הפרטיות בין אתרים

קובצי cookie של צד שלישי הם מנגנון המפתח שמאפשר מעקב בין אתרים. היכולת להפסיק להשתמש בהם היא שלב משמעותי, אבל אנחנו צריכים להתמודד גם עם צורות אחרות של אחסון או תקשורת באתרים שונים.

עוגיות

עם התקדמות ההצעות בנוגע לקובצי cookie, עליכם לבדוק את קובצי ה-cookie שלכם SameSite=None או בין אתרים שונים, ולתכנן את הפעולה שיהיה עליכם לבצע באתר.

צ'יפים

במקרה שאתם מגדירים קובצי cookie שנשלחים בהקשרים בין אתרים, אבל ביחסים של 1:1, כמו הטמעות iframe או קריאות ל-API, עליכם לפעול לפי ההצעה של CHIPS, או לפי אופציית קובצי cookie Partial Partitioned State. כך תוכלו לסמן קובצי cookie כ "מפוצלים" ולהציב אותם במאגר נפרד של קובצי cookie לכל אתר ברמה העליונה.

Intent to Prototype (I2P) של CHIPS נשלח ביולי, כך שאנחנו כותבים את הקוד כעת, ובשלב הבא תראו את התכונה שנמצאת מאחורי הדגל. ניתן לעקוב אחרי זה בציר הזמן, ובקרוב יהיו לנו מסמכים והדגמות נוספות.

דומיינים של צד ראשון

אם אתם מגדירים קובצי cookie להקשרים חוצי-אתרים, אבל רק באתרים שבבעלותכם, למשל אתם מארחים שירות ב-co .il .שמשמש את ה-co.uk שלכם, עליכם לפעול לפיקבוצות של צד ראשון. בהצעה הזו מוגדרת דרך להצהיר אילו אתרים אתם רוצים ליצור קבוצה, ואז לסמן קובצי cookie כ-"SameParty" כך שהם יישלחו רק להקשרים בתוך הקבוצה הזו.

גרסת המקור לניסיון הראשונית של דומיינים של צד ראשון הסתיימה החודש, והמערכת תמשיך לפעול על סמך המשוב הזה. אפשר להמשיך בבדיקה באמצעות דגלי התכונות ונעדכן את המסמכים עם התקדמות העבודה.

DevTools

אנחנו גם ממשיכים לשפר את הפונקציונליות של DevTools בחלק גדול מהבדיקות המוקדמות האלה. עכשיו אפשר לראות את הסטטוס של גרסת המקור של גרסת המקור, את ההוצאה משימוש בקרוב ואת ערכי הכותרות של קובצי cookie גולמיים. אפשר לקרוא פרטים נוספים מג'סלין במאמר מה חדש בכלי הפיתוח (Chrome 94).

צילום מסך של DevTools שבו מוצגת הכותרת הגולמית של קובצי cookie עבור קובץ cookie עם בעיה

הצגת מודעות ותכנים רלוונטיים

אנחנו מתחילים להוציא משימוש את קובצי ה-cookie של צד שלישי בהדרגה, ורצינו להציג ממשקי API שמאפשרים להשתמש בתרחישים שונים שתלויים בהם, אבל בלי להמשיך להפעיל מעקב בין אתרים.

בעקבות המשוב לגבי הסביבה העסקית הפעילה, השלב דיון בתרחיש השימוש הצגת תוכן ומודעות רלוונטיים יימשך עד הרבעון הרביעי של 2021, בזמן שאנחנו עובדים על שינויים בהצעות. על פי התחזית הנוכחית, גם FLoC וגם FLEDGE יהיו זמינים לבדיקה רחבה יותר עד סוף הרבעון הראשון של 2022.

FLoC

FLoC היא הצעה להפעלת פרסום המבוסס על תחומי עניין ללא צורך במעקב נפרד בכמה אתרים. תקופת הניסיון של הגרסה הראשונה של FLoC הסתיימה באמצע יולי, ואנחנו בודקים שיפורים לגרסה הבאה של FLoC לפני שממשיכים לבדיקות של הסביבה העסקית. אם אתם עדיין ממלאים את אסימון המקור לניסיון עבור FLoC או קוד ניסיוני אחר, זה הזמן לנקות אותו.

FLEDGE

FLEDGE הוא ניסוי ראשוני בהפעלת תרחישים לדוגמה של רימרקטינג, ומציג מודעות על סמך האינטראקציות הקודמות של המשתמש עם האתר של המפרסם, אבל ללא מעקב של צד שלישי.

חלק ממושגי המפתחות האלה כוללים הפעלת מכרז של מודעות ב-worklet מוגבל במכשיר, וטעינת המודעה בגבולות וירטואליים מוגבלים. כך אפשר להבטיח שאפשר להשתמש רק בכמות מוגבלת של נתונים בכל שלב. לעידו יש סרטון חדש שמציג סקירה מפורטת של המושגים.

FLEDGE זמין דרך דגלי CLI לצורך בדיקות מוקדמות של מפתחים (בניגוד לבדיקות מותאמות של משתמשים), ואנחנו מעדכנים את ציר הזמן כדי להגביר את החשיפה של הסימונים האלה. התכונה נמצאת בפיתוח פעיל ולכן צריך להריץ אותה ב-build של Canary או פיתוח ב-Chrome כדי לבדוק את השינויים האחרונים. משוב מהמפתחים בשלב מוקדם זה עוזר לוודא שאנחנו מתקדמים בכיוון הנכון לקראת גרסאות ניסיון ראשוניות, אבל חשוב לזכור שמדובר בקוד חדש מאוד והוא לא יהיה יציב.

מדידה של מודעות דיגיטליות

כנלווה להצגת מודעות ללא מעקב חוצה-אתרים, אנחנו זקוקים למנגנונים לשמירה על הפרטיות שיאפשרו לנו למדוד את היעילות של אותן מודעות.

Attribution Reporting API

Attribution Reporting API מאפשר לפונקציונליות למדוד אירועים באתר אחד, כמו לחיצה או צפייה במודעה, שמובילים להמרה באתר אחר – שוב, בלי שתהיה אפשרות לעקוב אחרי המשתמש באותו מסלול בין האתרים.

המשוב מהמפתחים היה פעיל מאוד כאן, עם Yahoo! ביפן באמצעות דוח מפורט על הממצאים של גרסת המקור לניסיון שלהם. כמו כן, שיתפנו נתונים משלנו על ההשפעות של מחיקת נתוני אתרים על דוחות בהמתנה. כדי לאפשר בדיקות נוספות למפתחים, תוסף תקופת הניסיון ב-Attribution Reporting API אושר להצגה ב-Chrome 94.

צילום מסך של כלי פיתוח שבו מוצגות בעיות ב-Attribution Reporting API

הוספנו בכלי הפיתוח תמיכה בבעיות ב-Attribution Reporting API. עכשיו יופיעו בעיות נפוצות שעלולות לחסום את הרישום של המקור או את הדוח ולמנוע מכם לקבל דוחות, יחד עם טיפים לפתרון הבעיות. פרטים נוספים זמינים במאמר מה חדש בכלי הפיתוח (Chrome 93).

נלחמים בספאם ובהונאות באינטרנט

האתגר השני שאנחנו מצמצמים את הפלטפורמות שזמינות למעקב באתרים שונים הוא שהרבה פעמים משתמשים בשיטות האלה של יצירה של טביעת אצבע דיגיטלית (fingerprinting) כדי להגן עליהן מפני ספאם והונאה. גם אנחנו צריכים חלופות לשמירה על הפרטיות.

אסימונים להרשאות שיתוף

Trust Token הוא הצעה שמאפשרת לאתר אחד לשתף טענה לגבי מבקר – כמו "אני חושב שהם בני אדם" – ולאפשר לאתרים אחרים לאמת את הטענה הזו שוב, בלי לזהות את האדם.

כדי להנפיק אסימונים משלכם צריך להפעיל שירות חדש, ושמענו מהמשוב של הסביבה העסקית שנדרש עוד זמן בדיקה. לכן, החלנו את תקופת הניסיון של Trust Token ל-Chrome 101. הרישום לתקופת המקור לניסיון זמין באתר המקור לניסיון.

משוב

אנחנו ממשיכים לפרסם את העדכונים החודשיים האלה ואת ההתקדמות באופן כללי בארגז החול לפרטיות, וחשוב לנו לוודא שאתם, המפתחים, מקבלים את המידע והתמיכה הדרושים לכם. תוכלו להודיע לנו ב-@ChromiumDev Twitter אם יש משהו שאנחנו יכולים לשפר בסדרה הזו, נשתמש במשוב שלכם כדי להמשיך בשיפור הפורמט.

הוספנו גם שאלות נפוצות בנושא ארגז החול לפרטיות שנמשיך להרחיב אותו על סמך הבעיות שתשלחו למאגר התמיכה למפתחים. אם יש לכם שאלות לגבי בדיקה או הטמעה של אחת מההצעות, תוכלו ליצור איתנו קשר שם.