דף זה תורגם על ידי Cloud Translation API.

ההתקדמות בארגז החול לפרטיות (אוקטובר 2021)

ברוכים הבאים למהדורת אוקטובר של Progress בארגז החול לפרטיות, שבה נעקוב אחרי אבני הדרך בדרך להוצאה משימוש בהדרגה של קובצי Cookie של צד שלישי ב-Chrome ושמירה על פרטיות באינטרנט. בכל חודש נשתף סקירה כללית של העדכונים בציר הזמן של ארגז החול לפרטיות וחדשות מרחבי הפרויקט.

אירועים

Chrome Dev Summit, סדר היום זמין עכשיו, ואפשר להשתתף בו באופן וירטואלי החל מ-3 בנובמבר

ב-3 בנובמבר נארח את כנס מפתחי Chrome. תוכלו לקבל עדכון על ארגז החול לפרטיות בנאום הפתיחה, וגם הזדמנות לשאול את צוות ההנהלה ב-AMA שאלות מפורטות יותר, וגם שאלות מפורטות יותר עם צוותי מהנדסי התוכנה בשעות המשרד. הירשמו היום ואנחנו מקווים לראות אתכם שם!

החודש כלל גם את כנס W3C השנתי (המכונה גם TPAC) שבו כל הקבוצות השונות ב-W3C נפגשות כדי לדון בנושאים שונים ברחבי האינטרנט. ניתן לך לראות את הדקות והסרטונים של הסשנים של ההפסקה וסשנים ספציפיים, כולל נושאים של ארגז החול לפרטיות.

בהמשך לעונת כנסים, IETF (Internet Engineering Task Force) מארח את הפאנל הטכני המקוון 112. בדומה ל-TPAC, יש כמה סשנים נפרדים שבהם נדון בנושאים של ארגז החול לפרטיות, כמו קבוצות העבודה של PRIV (שילוב ערכים שמכבדים פרטיות), PEARG (קבוצת מחקר לשיפורי פרטיות והערכות של פרטיות) וMASQUE (תת-מצע יישומים מרובים בהצפנה QUIC). מדובר בדיונים טכניים מעמיקים בנושא עיצובי פרוטוקולים – אם יש לך את המומחיות המתאימה ויש לך עניין לתרום לדיונים האלה, אנחנו מזמינים אותך להצטרף.

חזקו את גבולות הפרטיות בין אתרים

קובצי cookie של צד שלישי הם מנגנון מפתח שמאפשר מעקב בין אתרים. היכולת להפסיק להשתמש בהם היא שלב חשוב, אבל אנחנו צריכים להתמודד גם עם צורות אחרות של אחסון או תקשורת באתרים שונים.

ממשק API לניהול פרטי כניסה מאוחדים

ההצעה של Federated Credentials Management (FedCM) היא השם החדש והמשמעותי יותר ל-WebID. זהות מאוחדת היא שירות קריטי לאינטרנט, אבל בהתחשב בכך שמדובר בשיתוף היבטים של הזהות עם אתרים אחרים, יש פרטי יישום שחופפים למעקב באתרים שונים.

ההצעה לניהול פרטי הכניסה המאוחדים בודקת מגוון אפשרויות, החל מנתיבי העברה פשוטים לפתרונות קיימים ועד לשיטות פרטיות יותר להתחברות לשירותים עם שיתוף מינימלי של מידע.

ההצעה הזו עדיין נמצאת בשלב מוקדם ואפשר יהיה לעקוב אחר הדיון בקבוצת הקהילה Federated Identity של W3C. הקבוצה גם אירחה סשן ב-TPAC עם סקירה כללית, כדי לבחון את ההצעה. יש גם גרסת אב-טיפוס מוקדמת מאוד של ה-API שזמינה מאחורי הדגל של Chrome 89, אבל היא מיועדת אך ורק לניסוי, והיא תשתנה עם התקדמות הדיון.

עוגיות

עם התקדמות ההצעות בנוגע לקובצי cookie, עליכם לבדוק את קובצי ה-SameSite=None או את קובצי ה-cookie באתרים שונים ולתכנן את הפעולה שיהיה עליכם לבצע באתר.

צ'יפים

אם מגדירים קובצי cookie שנשלחים בהקשרים בין אתרים, אבל ביחסים של 1:1, כמו הטמעות iframe או קריאות ל-API, צריך לפעול בהתאם להצעה של CHIPS או ל-כיצד לבצע הפרדה עם מצב עצמאי. כך תוכלו לסמן קובצי cookie כ "מפוצלים" ולהציב אותם במאגר נפרד של קובצי cookie לכל אתר ברמה העליונה.

אנחנו ממשיכים לעבוד על CHIPS, אבל התכונה זמינה מאחורי chrome://flags/#partitioned-cookies והדגל --partitioned-cookies של ה-CLI, אבל היא עדיין לא במצב של בדיקה מלאה. אחרי שההטמעה תושלם, נספק לכם פרטים מעודכנים לגבי הבדיקה וניפוי הבאגים.

לאתר ברמה העליונה, Green.com, יש iframe ל-red.com. Red.com מגדיר קובץ cookie עם המאפיין 'Partitioned'. כשהדפדפן נמצא ב-blue.com עם iframe ל-red.com, לא נשלח קובץ cookie! CHIPS יוצר מחיצה לכל אתר ברמה העליונה.

דומיינים של צד ראשון

אם אתם מגדירים קובצי Cookie להקשרים חוצי-אתרים, אבל רק באתרים שבבעלותכם – לדוגמה, אתם מארחים שירות ב- .com שמשמש את ה- .co.uk שלכם, עליכם לפעול לפי קבוצות של צד ראשון. בהצעה הזו מוגדרת דרך להצהיר אילו אתרים אתם רוצים ליצור קבוצה, ואז לסמן קובצי cookie כ-"SameParty" כך שהם יישלחו רק להקשרים בתוך הקבוצה הזו.

דומיינים של צד ראשון זמינים לבדיקות של מפתחים מקומיים מאחורי הדגלים chrome://flags/#use-first-party-set ו-chrome://flags/#sameparty-cookies-considered-first-party, וכך אתם יכולים לציין קבוצה משלכם של אתרים קשורים ולהתנסות בהתנהגות של קובצי cookie בהם.

חלוקה למחיצות (partitioning) באחסון

פלטפורמת האינטרנט כוללת צורות אחרות של אחסון שעשויות לאפשר מעקב חוצה-אתרים. הסשן המשני ב-TPAC בנושא מצב החלוקה למחיצות באחסון בדפדפן מספק סקירה כללית של ההתקדמות של Chrome, לצד דיון מספקי דפדפנים אחרים.

אין צורך בפעולה מיידית מצד המפתח, אבל אם אתם משתמשים ב-SharedWorker, ב-Web Storage, ב-IndexedDB, ב-CacheStorage, ב-FileSystem API, ב-BroadcastChannel, ב-Web Locks API, בדליי אחסון או בכל צורה אחרת של אחסון או ממשק API של תקשורת שבהם אתם מסתמכים על גישה לנתונים האלה במספר אתרים, עליכם לעקוב אחר הנושא הזה לצורך עדכונים עתידיים.

מניעת מעקב סמוי

ככל שאנחנו מצמצמים את האפשרויות למעקב מפורש בין אתרים, אנחנו צריכים לטפל גם באזורים של פלטפורמת האינטרנט שחושפים פרטים מזהים שמאפשרים יצירה של טביעת אצבע דיגיטלית (fingerprinting) או מעקב סמוי של המשתמשים.

צמצום המחרוזות של סוכן המשתמש ורמזים על הלקוח (Client Hints) לגבי הסוכן המשתמש

הרחבנו את גרסת המקור לניסיון כדי לבדוק את הפורמט של המודל המצומצם של סוכן המשתמש ב-Chrome לכלול הטמעות של צד שלישי. אם אתם מספקים בעיקר תוכן מאתרים אחרים לשירותים אחרים, אתם יכולים להפעיל את האפשרות של צד שלישי בזמן ההרשמה לגרסת המקור לניסיון כדי לקבל את הפורמט המוקטן בבקשות למשאבים שלכם.

ניתן לך לעקוב אחרי ציר הזמן המלא להפחתת סוכן המשתמש של Chrome, כולל דוגמאות נוספות ופרטים על שלבי ההשקה. צריך גם לבצע העברה לרמזים על הלקוח של סוכן המשתמש (UA-CH) אם אתם מסתמכים על פרטי הפלטפורמה, המכשיר או גרסת ה-build המלאה בפורמט User-Agent הנוכחי.

אנחנו ממשיכים לבצע סטנדרטיזציה של שמות קיימים ל-Client Hints על ידי הוספת קידומת הכותרת Sec-CH- אם היא חסרה. בהמתנה לאישור, אנחנו מקווים להרחיב את טווח התווים של GREASE ל-UA-CH.

הצגת מודעות ותכנים רלוונטיים

אנחנו מתחילים להוציא משימוש את קובצי ה-cookie של צד שלישי בהדרגה, וצריך להשיק ממשקי API שמאפשרים להשתמש בתרחישים לדוגמה שתלויים בהם, אבל בלי לאפשר מעקב באתרים שונים.

FLoC

FLoC היא הצעה להפעלת פרסום המבוסס על תחומי עניין ללא צורך במעקב נפרד בכמה אתרים. בדקנו את המשוב מגרסת המקור לניסיון של FLoC, לפני שהתקדמו לבדיקות נוספות של הסביבה העסקית. אנחנו ממשיכים לעבוד על השלבים הבאים ועל ההחלטות בנוגע ל-FLoC, אבל בקרוב יוצג קוד בדיקה לגבי המושג 'נושאים' (שהוזכר בעבר) בבסיס הקוד של Chromium. מכיוון שכל הפיתוחים של Chrome מתרחשים במקום פתוח, העבודה הזאת תהיה גלויה אבל אין משהו שאפשר לנקוט באופן מיידי לגבי בדיקות מפתחים (וזה לא רלוונטי למשתמשים). אנחנו מקווים להמשיך לשתף את הדיונים והעדכונים האלה ב-PATCG (קבוצת הקהילה החדשה של טכנולוגיות הפרסום הפרטי).

מדידה של מודעות דיגיטליות

כתוספת להצגת מודעות ללא מעקב חוצה-אתרים, אנחנו זקוקים למנגנונים לשמירה על הפרטיות כדי למדוד את היעילות של אותן מודעות.

Attribution Reporting API

Attribution Reporting API מאפשר לכם למדוד אירועים באתר אחד, כמו לחיצה או צפייה במודעה, שמובילים להמרה באתר אחר – בלי להפעיל מעקב חוצה-אתרים.

אנחנו רוצים להמשיך לבדוק את Attribution Reporting API ומתכננים להאריך את תקופת המקור של תקופת הניסיון ל-Chrome 97. התוקף של האסימונים הנוכחיים לניסיון בחינם פג ב-12 באוקטובר, לכן יהיה עליך להגיש בקשה לקבלת אסימונים מעודכנים כדי להמשיך בבדיקה.

נלחמים בספאם ובהונאות באינטרנט

האתגר השני שאנחנו מצמצמים את הפלטפורמות שזמינות למעקב באתרים שונים הוא שהרבה פעמים משתמשים בשיטות האלה של יצירה של טביעת אצבע דיגיטלית (fingerprinting) כדי להגן עליהן מפני ספאם והונאה. גם אנחנו צריכים חלופות לשמירה על הפרטיות.

אסימונים להרשאות שיתוף

ה-API של Trust Token הוא הצעה שמאפשרת לאתר אחד לשתף טענה לגבי מבקר – כמו "לדעתי הם אנושיים" – ולאפשר לאתרים אחרים לאמת את הטענה הזו שוב, בלי לזהות את האדם.

אסימוני Trust הם חלק אחד מהאסטרטגיה הכוללת להתמודדות עם ספאם והונאות באינטרנט. בפרק התפיסה של מניעת הונאה באינטרנט ב-TPAC, נציגים מכל הסביבה העסקית דיברו על כמה מהגישות והאתגרים הקיימים כיום.

משוב

בזמן שאנחנו ממשיכים לפרסם את העדכונים החודשיים האלה ואת ההתקדמות בארגז החול לפרטיות באופן כללי, אנחנו רוצים לוודא שאתם, המפתחים, מקבלים את המידע והתמיכה הדרושים לכם. תוכלו להודיע לנו ב-@ChromiumDev Twitter אם יש משהו שאנחנו יכולים לשפר בסדרה הזו. נשתמש במשוב שלך כדי להמשיך בשיפור הפורמט.

כמו כן, הוספנו שאלות נפוצות בנושא ארגז החול לפרטיות שנמשיך להרחיב אותן על סמך הבעיות שאתם שולחים למאגר התמיכה למפתחים. אם יש לכם שאלות לגבי בדיקה או הטמעה של אחת מההצעות, אתם מוזמנים לדבר איתנו שם.