Willkommen bei der Oktober-Ausgabe von Progress in the Privacy Sandbox, in der wir die Meilensteine auf dem Weg zur schrittweisen Einstellung von Drittanbieter-Cookies in Chrome und zur Verbesserung des Datenschutzes im Web verfolgen. Jeden Monat erhalten Sie einen Überblick über die Änderungen am Zeitplan für die Privacy Sandbox sowie Neuigkeiten zum gesamten Projekt.
Veranstaltungen
Ab dem 3. November findet der Chrome Developer Summit statt. In der Keynote erhalten Sie aktuelle Informationen zur Privacy Sandbox. Außerdem haben Sie die Möglichkeit, dem Führungsteam der AMA Fragen zu stellen, und in der Sprechstunde können Sie den Entwicklerteams ausführlichere Fragen stellen. Melden Sie sich noch heute an und wir hoffen, Sie dort zu sehen.
In diesem Monat fand auch die Jahreskonferenz des W3C (bekannt als TPAC) statt, auf der sich die verschiedenen Gruppen des W3C treffen, um eine Vielzahl von Themen aus dem gesamten Web zu diskutieren. Sie können sich die Minuten und Videos der Aufschlüsselungssitzungen und bestimmte Sitzungen einschließlich der Privacy Sandbox-Themen unten ansehen.
Während der Konferenz veranstaltet die IETF (Internet Engineering Task Force) regelmäßig die 112 technischen Onlineplenaren. Ähnlich wie bei TPAC gibt es mehrere einzelne Sitzungen, in denen Privacy Sandbox-Themen diskutiert werden, z. B. die Arbeitsgruppen PRIV (Privacy Respecting Incorporation of Values), PEARG (Privacy Enhancements and Assessments Research Group) und MASQUE (Multiplexed Application Substrate over QUIC Encryption). Es handelt sich um tiefgreifende technische Diskussionen zu Protokolldesigns. Wenn Sie über das entsprechende Fachwissen verfügen und daran interessiert sind, an diesen Diskussionen teilzunehmen, sollten Sie darüber nachdenken, daran teilzunehmen.
Websiteübergreifende Datenschutzgrenzen stärken
Drittanbieter-Cookies sind ein wichtiger Mechanismus, der websiteübergreifendes Tracking ermöglicht. Die Möglichkeit, diese auslaufen zu lassen, ist ein wichtiger Meilenstein, aber wir müssen auch andere Formen der websiteübergreifenden Speicherung oder Kommunikation angehen.
Federated Credentials Management API
Das FedCM-Angebot (Federated Credentials Management) ist der neue, aussagekräftigere Name für WebID. Eine föderierte Identität ist ein wichtiger Dienst im Web. Da es jedoch explizit um die gemeinsame Nutzung von Identitätsaspekten mit anderen Websites geht, gibt es Implementierungsdetails, die sich mit dem websiteübergreifenden Tracking überschneiden.
Das Angebot zur föderierten Anmeldedatenverwaltung untersucht eine Reihe von Optionen, von einfachen Migrationspfaden für bestehende Lösungen bis hin zu privateren Methoden zur Verbindung mit Diensten, bei denen nur so wenig Informationen wie möglich zur Verfügung stehen.
Dieser Vorschlag befindet sich noch in der Anfangsphase. Die Diskussion kann in der Föderierten Identitäts-Community-Gruppe des W3C verfolgt werden. Außerdem veranstaltete die Gruppe eine Break-out-Sitzung bei TPAC, in der sich ein Überblick über das Angebot beschäftigte. Es gibt auch eine sehr frühe Prototypversion der API hinter einem Flag von Chrome 89. Diese Version dient jedoch ausschließlich Experimenten und wird sich im Laufe der Diskussion ändern.
Kekse
Im Laufe der Entwicklung der Cookie-bezogenen Vorschläge sollten Sie Ihre eigenen SameSite=None- oder websiteübergreifenden Cookies prüfen und die Maßnahmen planen, die Sie auf Ihrer Website ausführen müssen.
CHIPS
Wenn Sie Cookies festlegen, die im websiteübergreifenden Kontext gesendet werden, aber in 1:1-Beziehungen – wie iFrame-Einbettungen oder API-Aufrufen –, sollten Sie den CHIPS-Vorschlag bzw. „Cookies Having Independent partitioned State“ befolgen. Auf diese Weise können Sie Cookies als „partitioniert“ markieren, indem Sie sie pro Website der obersten Ebene in einer separaten Cookie-JAR-Datei speichern.
Die Arbeit an CHIPS wird gerade fortgeführt. Das Feature ist zwar hinter chrome://flags/#partitioned-cookies und dem Befehlszeilen-Flag --partitioned-cookies verfügbar, ist aber noch nicht vollständig testbar. Sobald die Implementierung abgeschlossen ist, erhalten Sie aktualisierte Details zum Test und zur Fehlerbehebung.
First-Party-Sets
Wenn Sie Cookies für websiteübergreifende Kontexte setzen, aber nur für Websites, deren Inhaber Sie sind – wenn Sie beispielsweise auf Ihrer .com-Website einen Dienst hosten, der von Ihrer .de-Website verwendet wird –, sollten Sie First-Party-Sets befolgen. In diesem Vorschlag wird eine Methode definiert, mit der angegeben wird, welche Websites Sie einen Satz bilden möchten. Anschließend werden Cookies als „SameParty“ markiert, sodass sie nur für Kontexte innerhalb dieser Gruppe gesendet werden.
First-Party-Sets sind für lokale Entwicklertests verfügbar. Sie verwenden die Flags chrome://flags/#use-first-party-set und chrome://flags/#sameparty-cookies-considered-first-party. So können Sie Ihre eigenen verknüpften Websites angeben und mit dem Cookie-Verhalten experimentieren.
Speicherpartitionierung
Die Webplattform umfasst andere Formen der Speicherung, die websiteübergreifendes Tracking ermöglichen. Die TPAC-Breakout-Sitzung zum Status der Browserspeicherpartitionierung bietet einen Überblick über den Fortschritt von Chrome sowie Diskussionen anderer Browseranbieter.
Es besteht kein unmittelbarer Handlungsbedarf für Entwickler, aber wenn Sie SharedWorker, Web Storage, IndexedDB, CacheStorage, FileSystem APIs, BroadcastChannel, Web Locks API, Storage Buckets oder andere Formen von Speicher- oder Kommunikations-APIs nutzen, bei denen Sie über mehrere Websites auf diese Daten zugreifen, sollten Sie dieses Thema für zukünftige Updates verfolgen.
Verdecktes Tracking verhindern
Wenn wir die Optionen für explizites websiteübergreifendes Tracking einschränken, müssen wir auch die Bereiche der Webplattform berücksichtigen, die identifizierende Informationen preisgeben, die Fingerprinting oder verdecktes Tracking von Nutzern ermöglichen.
Reduzierung des User-Agent-Strings und User-Agent-Client-Hints
Wir haben den Ursprungstest für das Reduzieren des User-Agent-Formats in Chrome um Einbettungen von Drittanbietern erweitert. Wenn Sie hauptsächlich websiteübergreifende Inhalte für andere Dienste bereitstellen, können Sie bei der Registrierung für den Ursprungstest die Option für Drittanbieter aktivieren, um das reduzierte Format auf Anfragen an Ihre Ressourcen zu erhalten.
Sie können den gesamten Zeitplan für die Reduzierung des User-Agents von Chrome mit weiteren Beispielen und Details zu den Einführungsphasen verfolgen. Außerdem musst du Migration zu User-Agent-Client-Hinweisen (UA-CH) durchführen, wenn du die Plattformversion, das Gerät oder die vollständige Build-Version im aktuellen User-Agent-Format verwendest.
Wir standardisieren weiterhin vorhandene Namen für Clienthinweise, indem wir das Headerpräfix Sec-CH- an den fehlenden Stellen hinzufügen. Wir hoffen, den Bereich der GREASE-Zeichen für UA-CH zu erweitern, sofern die Genehmigung noch aussteht.
Relevante Inhalte und Werbung zeigen
Mit der schrittweisen Einstellung von Drittanbieter-Cookies müssen wir APIs einführen, die die von ihnen abhängigen Anwendungsfälle ermöglichen, jedoch ohne websiteübergreifendes Tracking zulassen.
FLoC
FLoC ist ein Vorschlag für interessenbezogene Werbung ohne individuelles websiteübergreifendes Tracking. Wir haben das Feedback aus dem früheren Ursprungstest von FLoC ausgewertet, bevor wir mit weiteren Tests fortfahren. Während wir weiter an den nächsten Schritten und Entscheidungen für FLoC arbeiten, sollte Ihnen Code zum Thema Themen zur Verfügung stehen, der bald in der Chromium-Codebasis angezeigt wird. Da die gesamte Entwicklung von Chrome im offenen Raum stattfindet, ist diese Arbeit sichtbar, aber es gibt keine unmittelbar umsetzbaren Maßnahmen für Entwicklertests und gilt auch nicht für Nutzer. Wir hoffen, diese Diskussionen und Updates weiterhin in der neuen PATCG (Private Advertising Technology Community Group) veröffentlichen zu können.
Digitale Werbung analysieren
Als Companion zur Auslieferung von Anzeigen ohne websiteübergreifendes Tracking benötigen wir datenschutzfreundliche Mechanismen, um die Effektivität dieser Anzeigen zu messen.
Attribution Reporting API
Mit der Attribution Reporting API können Sie Ereignisse auf einer Website erfassen, die zu einer Conversion auf einer anderen Website führen – z. B. das Klicken oder Aufrufen einer Anzeige –, ohne das websiteübergreifende Tracking zu aktivieren.
Wir möchten die Attribution Reporting API weiter testen und den Ursprungstest auf Chrome 97 ausweiten. Die aktuellen Tokens des Ursprungstests sind am 12. Oktober abgelaufen. Sie müssen daher aktualisierte Tokens anfordern, um den Test fortzusetzen.
Bekämpfung von Spam und Betrug im Web
Die weitere Herausforderung bei der Reduzierung der Oberflächen für websiteübergreifendes Tracking besteht darin, dass dieselben Fingerprinting-Techniken häufig zum Schutz vor Spam und Betrug eingesetzt werden. Auch hier brauchen wir datenschutzfreundliche Alternativen.
Trust Tokens
Die Trust Token API ist ein Angebot, mit dem eine Website die Behauptung eines Besuchers teilen kann – z. B. „Ich denke, sie sind ein Mensch“ – und es anderen Websites ermöglichen, diese Behauptung zu prüfen, ohne dass die Person identifizierbar ist.
Trust Tokens sind ein Teil der Gesamtstrategie zur Bekämpfung von Spam und Betrug im Web. Im Rahmen des Ausbruchs zum Schutz vor Betrug im Web bei TPAC haben Vertreter aus dem gesamten System einige der aktuellen Herausforderungen und Ansätze diskutiert.
Feedback
Da wir diese monatlichen Updates veröffentlichen und unsere Fortschritte in der Privacy Sandbox als Ganzes veröffentlichen, möchten wir sicherstellen, dass Sie als Entwickler die Informationen und den Support erhalten, den Sie benötigen. Wenn du etwas verbessern kannst, das wir in dieser Reihe verbessern könnten, teile uns dies über @ChromiumDev auf Twitter mit. Ihr Feedback hilft uns dabei, das Format weiter zu verbessern.
Außerdem haben wir FAQs zur Privacy Sandbox hinzugefügt, die wir basierend auf den Problemen, die du an das Entwickler-Support-Repository sendest, weiter ausbauen. Wenn Sie Fragen zum Testen oder zur Implementierung der Vorschläge haben, können Sie sich direkt an uns wenden.