Ti diamo il benvenuto nell'edizione di ottobre di Progress in the Privacy Sandbox, che monitora i traguardi raggiunti nel percorso verso la graduale eliminazione dei cookie di terze parti in Chrome e verso un web più privato. Ogni mese condivideremo una panoramica degli aggiornamenti alla sequenza temporale di Privacy Sandbox e delle notizie riguardanti il progetto.
Eventi
A partire dal 3 novembre si terrà il Chrome Developer Summit. Potrai ricevere un aggiornamento su Privacy Sandbox nel discorso di apertura, oltre all'opportunità di porre domande al team dirigenziale di AMA e di porre domande più dettagliate ai team di tecnici in Office Hours. Registrati oggi stesso e speriamo di incontrarti lì.
Questo mese ha incluso anche la conferenza annuale di W3C (comunemente nota come TPAC) in cui tutti i vari gruppi del W3C si incontrano per discutere una varietà di argomenti su tutto il web. Puoi visualizzare i minuti e i video dei gruppi di lavoro e le sessioni specifiche, inclusi gli argomenti di Privacy Sandbox, di seguito.
Proseguendo la stagione delle conferenze, l'IETF (Internet Engineering Task Force) ospita regolarmente 112 sessioni tecniche online. Analogamente a TPAC, esistono diverse sessioni in cui vengono affrontati gli argomenti di Privacy Sandbox, ad esempio i gruppi di lavoro PRIV (Privacy Respecting Incorporation of Values), PEARG (Gruppo di ricerca sui miglioramenti e le valutazioni della privacy) e il MASQUE ( Multiplexed Application Substrate over QUIC Encryption). Si tratta di discussioni tecniche approfondite sui progetti di protocolli. Se disponi delle competenze appropriate e ti interessa contribuire a queste discussioni, ti invitiamo a prendere in considerazione la possibilità di partecipare.
Rafforza i confini della privacy tra siti
I cookie di terze parti sono un meccanismo chiave che consente il monitoraggio tra siti. Eliminarli gradualmente è un traguardo importante, ma dobbiamo anche affrontare altre forme di archiviazione o comunicazione tra siti.
API Federated Credentials Management
La proposta FedCM (Federated Credentials Management) è il nuovo nome più significativo per WebID. Identità federata è un servizio fondamentale per il web, ma poiché si tratta esplicitamente di condividere aspetti dell'identità con altri siti, i dettagli di implementazione si sovrappongono al monitoraggio tra siti.
La proposta di gestione delle credenziali federata esplora una vasta gamma di opzioni, dai semplici percorsi di migrazione per le soluzioni esistenti a metodi più privati per connettersi ai servizi con il minimo indispensabile di informazioni condivise.
Questa proposta è ancora in una fase iniziale e puoi seguire la discussione nel gruppo della community Federated Identity di W3C. Il gruppo ha anche organizzato una sessione di gruppo presso la TPAC per esaminare una panoramica della proposta. È disponibile anche una versione prototipale dell'API nelle fasi iniziali disponibile dopo un flag di Chrome 89, ma è solo a scopo di sperimentazione e cambierà con il progredire della discussione.
Biscotti
Con l'avanzamento delle proposte relative ai cookie, dovresti controllare i tuoi SameSite=None o cookie cross-site e pianificare l'azione da intraprendere sul tuo sito.
CHIP
Se imposti i cookie che vengono inviati in contesti tra siti, ma in relazioni 1:1, come incorporamenti di iframe o chiamate API, devi seguire la proposta CHIPS o i cookie con stato partizionato indipendente. In questo modo puoi contrassegnare i cookie come "Partizionati", inserendoli in un barattolo di cookie separato per sito di primo livello.
È in corso il lavoro sui CHIPS e, sebbene la funzionalità sia disponibile dopo chrome://flags/#partitioned-cookies e il flag dell'interfaccia a riga di comando --partitioned-cookies, non è ancora in uno stato completamente testabile. Forniremo dettagli aggiornati su test e debug una volta completata l'implementazione.
Insiemi proprietari
Se imposti i cookie per contesti tra siti, ma solo nei siti di tua proprietà, ad esempio se ospiti un servizio sul tuo dominio .com e utilizzato dal tuo sito .co.uk, devi seguire l'articolo Insiemi proprietari. Questa proposta definisce un modo per dichiarare su quali siti vuoi creare un insieme e contrassegnare i cookie come "SameParty" in modo che vengano inviati solo per i contesti all'interno di quell'insieme.
Gli insiemi proprietari sono disponibili per i test degli sviluppatori locali protetti dai flag chrome://flags/#use-first-party-set e chrome://flags/#sameparty-cookies-considered-first-party, così puoi specificare il tuo insieme di siti correlati e sperimentare il comportamento dei cookie in ciascun sito.
Partizionamento dello spazio di archiviazione
La piattaforma web include altre forme di archiviazione che possono abilitare il monitoraggio tra siti. La sessione di gruppo di TPAC sullo stato del partizionamento dello spazio di archiviazione del browser offre una panoramica dei progressi di Chrome insieme alle discussioni di altri fornitori di browser.
Non è richiesta alcuna azione immediata da parte dello sviluppatore, ma se utilizzi SharedWorker, Web Storage, IndexedDB, CacheStorage, API FileSystem), BroadcastChannel, API Web Locks, Bucket Storage o un'altra forma di API di archiviazione o comunicazione in cui usi l'accesso a questi dati su più siti, dovresti tenere traccia di questo argomento per eventuali aggiornamenti futuri.
Prevenzione del monitoraggio nascosto
Man mano che riduciamo le opzioni per il monitoraggio esplicito tra siti, dobbiamo anche gestire le aree della piattaforma web che espongono informazioni di identificazione che consentono il fingerprinting o il monitoraggio nascosto degli utenti.
Riduzione delle stringhe dello user agent e Client hint user agent
Abbiamo ampliato la prova dell'origine per testare il formato user-agent ridotto di Chrome in modo da includere incorporamenti di terze parti. Se fornisci principalmente contenuti tra siti per altri servizi, puoi attivare l'opzione di terze parti quando ti registri per la prova dell'origine per ricevere il formato ridotto nelle richieste alle tue risorse.
Puoi monitorare la tempistica completa per la riduzione dello user agent di Chrome, con ulteriori esempi e dettagli delle fasi di implementazione. Dovrai inoltre eseguire la migrazione ai client hint user agent (UA-CH) se utilizzi le informazioni sulla versione della piattaforma, sul dispositivo o sulla versione completa della build nel formato User-Agent corrente.
Stiamo continuando a standardizzare i nomi esistenti per i client hint aggiungendo il prefisso dell'intestazione Sec-CH- dove manca. In attesa di approvazione, ci auguriamo di ampliare l'intervallo di caratteri GREASE per UA-CH.
Mostra contenuti e annunci pertinenti
Nella fase di ritiro graduale dei cookie di terze parti, dobbiamo introdurre API che consentano i casi d'uso che dipendevano da loro, ma senza consentire il monitoraggio tra siti.
FLoC
FLoC è una proposta per consentire la pubblicità basata sugli interessi senza bisogno del monitoraggio individuale su più siti. Stiamo valutando il feedback della precedente prova dell'origine di FLoC prima di passare a ulteriori test dell'ecosistema. Mentre continuiamo a lavorare ai passaggi successivi e a prendere decisioni per FLoC, dovresti vedere a breve un codice esplorativo relativo al concetto di argomenti (a cui si fa riferimento in precedenza) nel codebase di Chromium. Poiché tutto lo sviluppo di Chrome avviene all'aperto, questo lavoro sarà visibile, ma non c'è nulla di immediatamente disponibile per i test degli sviluppatori (né questo vale per gli utenti). Ci auguriamo di continuare a condividere queste discussioni e questi aggiornamenti nel nuovo PATCG (Private Advertising Technology Community Group).
Misurare gli annunci digitali
Come complemento della visualizzazione di annunci senza il monitoraggio tra siti, abbiamo bisogno di meccanismi che tutelano la privacy per misurare l'efficacia di questi annunci.
API Attribution Reporting
L'API Attribution Reporting ti consente di misurare gli eventi su un sito, ad esempio i clic o la visualizzazione di un annuncio, che generano una conversione su un altro sito, senza attivare il monitoraggio su più siti.
Vorremmo continuare a testare l'API Attribution Reporting e prevediamo di estendere la prova dell'origine fino a Chrome 97. Gli attuali token della prova dell'origine sono scaduti il 12 ottobre, pertanto per continuare a testare, dovrai richiedere i token aggiornati.
Lotta allo spam e alle attività fraudolente sul web
L'altra sfida, data la riduzione del numero di piattaforme disponibili per il monitoraggio tra siti, è che queste stesse tecniche di fingerprinting vengono spesso utilizzate per la protezione da spam e attività fraudolente. Abbiamo bisogno anche di soluzioni alternative incentrate sulla tutela della privacy.
Considera attendibili i token
L'API Trust Token è una proposta che consente a un sito di condividere un'affermazione su un visitatore, ad esempio "Penso che sia umano", e ad altri siti di verificarla, sempre senza identificare il privato.
I Trust Tokens costituiscono una parte della strategia complessiva per contrastare spam e attività fraudolente sul web. Nell'ambito del gruppo "Antifrode per il web" presso TPAC, i rappresentanti di tutto l'ecosistema hanno discusso di alcune delle sfide e degli approcci attuali.
Feedback
Mentre continuiamo a pubblicare questi aggiornamenti mensili e i progressi nell'ambito di Privacy Sandbox nel suo complesso, vogliamo assicurarci che tu, in qualità di sviluppatore, riceva le informazioni e l'assistenza di cui hai bisogno. Contattaci su @ChromiumDev Twitter se hai qualcosa che possiamo migliorare in questa serie. Utilizzeremo il tuo contributo per continuare a migliorare il formato.
Abbiamo anche aggiunto delle domande frequenti su Privacy Sandbox che continueremo ad ampliare in base ai problemi che invii al repository dell'assistenza per gli sviluppatori. Se hai domande relative ai test o all'implementazione di una delle proposte, contattaci lì.