Добро пожаловать в ноябрьский выпуск журнала Progress in Privacy Sandbox, в котором отслеживаются вехи на пути к поэтапному отказу от сторонних файлов cookie в Chrome и работе над созданием более конфиденциальной сети. Каждый месяц мы будем публиковать обзор обновлений временной шкалы Privacy Sandbox , а также новости со всего проекта. Мы также предоставили обновленную информацию о наших обязательствах по конфиденциальности в песочнице, поскольку мы гарантируем, что предложения разрабатываются, разрабатываются и реализуются под надзором регулирующих органов и при участии Управления по конкуренции и рынкам Великобритании (CMA) и Управления комиссара по информации (ICO).
События
В начале ноября мы провели саммит разработчиков Chrome, который включал в себя как сегмент Privacy Sandbox в основном докладе, так и несколько связанных вопросов в сессии Ask Me Anything (AMA). Мы добавили для вас краткий обзор , в котором описаны действия и примеры того, чего следует ожидать по мере продвижения предложений на этапах обсуждения, тестирования и масштабного внедрения.
Укрепите границы конфиденциальности между сайтами
Сторонние файлы cookie — это ключевой механизм, обеспечивающий межсайтовое отслеживание. Поэтапный отказ от них является важной вехой, но нам также необходимо заняться другими формами межсайтового хранения или связи.
API управления федеративными учетными данными
Federated Credentials Management (FedCM) — это новое, более значимое название предложения WebID. Мы отразили это изменение на временной шкале Privacy Sandbox . Федеративная идентификация является критически важной службой для Интернета, но, учитывая, что она явно используется для обмена аспектами идентификационной информации на других сайтах, существуют детали реализации, которые пересекаются с межсайтовым отслеживанием.
Предложение по федеративному управлению учетными данными рассматривает ряд вариантов: от простых путей миграции для существующих решений до более конфиденциальных методов подключения к службам с минимальным обменом информацией.
Ноябрь также включал проводимую раз в два года конференцию BlinkOn . Blink — это механизм рендеринга, используемый Chromium, а BlinkOn — это место, где участники собираются для инженерных презентаций и обсуждений текущих проектов. Ноябрьское мероприятие BlinkOn включало в себя обзор и сессию вопросов и ответов о FedCM : запись можно посмотреть на YouTube .
Предотвращение скрытого отслеживания
Поскольку мы сокращаем возможности явного межсайтового отслеживания, нам также необходимо заняться теми областями веб-платформы, которые раскрывают идентифицирующую информацию, которая позволяет снимать отпечатки пальцев или скрыто отслеживать пользователей.
Сокращение строки User-Agent и подсказки для клиента User-Agent
Продолжается работа над сокращением информации, доступной по умолчанию в строке User-Agent Chrome, и предоставлением улучшенного активного метода запроса этих данных с помощью клиентских подсказок User-Agent. Мы добавили новый обзор сокращения количества пользовательских агентов, в котором собраны все текущие рекомендации и обновления.
Мы опубликовали новые ресурсы по тестированию, чтобы помочь подготовиться к изменениям. Фрагменты кода сокращения User-Agent предоставляют набор примеров преобразования текущей строки User-Agent Chrome в сокращенный формат. Существует также новая запись chrome://flags/#force-major-version-to-100 которая позволит вам проверить, не приводит ли переход на трехзначную основную версию к сбоям или поломкам вашего сайта.
Мы опубликовали намерение отправить Sec-CH-UA-Full-Version-List . Это учитывает отзывы экосистемы о том, что существующая версия Sec-CH-UA-Full-Version слишком тесно привязана к основному бренду браузера, поскольку предоставляет только одно значение. Например, текущая реализация показывает:
⬇️ Заголовок ответа сервера
Accept-CH: Sec-CH-UA-Full-Version
⬆️ Заголовок запроса браузера
Sec-CH-UA: "Chromium";v="94", "Google Chrome";v="94", ";Not A Brand";v="99"
Sec-CH-UA-Full-Version: "94.0.4606.124"
Обновленная версия будет обеспечивать:
⬇️ Заголовок ответа сервера
Accept-CH: Sec-CH-UA-Full-Version-List
⬆️ Заголовок запроса браузера
Sec-CH-UA: "Chromium";v="94", "Google Chrome";v="94", "Other browser";v="99"
Sec-CH-UA-Full-Version-List: "Chromium";v="94.0.4606.124", "Google Chrome";v="94.0.4606.124", "Other browser";v="99.88.77.66"
IP-слепота
IP-адреса по своей природе часто предоставляют уникальный идентификатор клиенту, обеспечивающий необходимую связь между браузером и сервером. Однако это также означает, что стабильный IP-адрес с течением времени пассивно предоставляет значительный объем информации, которую можно использовать для межсайтового отслеживания.
Предложение об IP-слепоте (также известное как трансляция глобальных сетевых адресов в сочетании с проверенным и доверенным CDN или HTTP-прокси, устраняющим повторную идентификацию или Gnatcatcher ) подробно описывает двухсторонний подход к решению этой проблемы. Первый — Near-Path NAT , который эффективно перенаправляет соединение браузера через службу приватизации IP, которая скрывает IP-адрес браузера от посещаемого сайта. Второй вариант основан на многоуровневой природе Интернета, где инфраструктура, основанная на IP-адресе, может быть полностью отделена от приложения, работающего поверх нее. Предложение «Умышленная IP-слепота» исследует методы определения проверяемых политик для создания и поддержания такого разделения.
Обе эти идеи находятся на ранней стадии обсуждения с активным прогрессом в репозитории, например, недавно опубликованные Принципы сознательной IP-слепоты . Вы можете ожидать продолжения обсуждения там, и если вас интересуют подробности на уровне сети, вы можете следить за рабочей группой Multiplexed Application Substrate over QUIC Encryption (MASQUE) в IETF.
Измеряйте цифровую рекламу
В качестве дополнения к показу рекламы без межсайтового отслеживания нам нужны механизмы сохранения конфиденциальности, позволяющие измерять эффективность рекламы.
API отчетов по атрибуции
API отчетов по атрибуции создает функциональные возможности для измерения событий на одном сайте, таких как нажатие или просмотр рекламы, которые приводят к конверсии на другом сайте, без включения межсайтового отслеживания.
Мы продолжаем тестировать API, и пробная версия Origin была продлена до Chrome 97. Срок действия текущих пробных токенов Origin истек 12 октября, поэтому существующим тестировщикам необходимо подать заявку на получение обновленных токенов, чтобы продолжить тестирование.
В блоге опубликованы две новые записи с последними подробностями об отчетности на уровне событий в API. Отчеты на уровне событий в API отчетов по атрибуции знакомят с концепциями и процессами, а отчеты на уровне событий в API отчетов по атрибуции подробно описывают реализацию с сопровождающим демонстрационным и демонстрационным кодом.
Обратная связь
Продолжая публиковать эти ежемесячные обновления и улучшая Privacy Sandbox в целом, мы хотим быть уверены, что разработчики получают необходимую им информацию и поддержку. Дайте нам знать в Твиттере @ChromiumDev, если есть что-то, что мы могли бы улучшить в этой серии. Мы будем использовать ваш вклад, чтобы продолжать совершенствовать формат.
Ознакомьтесь с часто задаваемыми вопросами Privacy Sandbox , которые мы продолжаем расширять с учетом проблем, которые вы отправляете в репозиторий поддержки разработчиков . Если у вас есть какие-либо вопросы по поводу тестирования или реализации любого из предложений, обращайтесь к нам.