Postępy w Piaskownicy prywatności (listopad 2021 r.)

Witamy w listopadowym wydaniu przewodnika Progress in the Privacy w piaskownicy, śledząc kamienie milowe do wycofania plików cookie innych firm w Chrome i w sieci prywatnej. Co miesiąc będziemy publikować omówienie zmian w Polityce prywatności Google, Oś czasu w trybie piaskownicy wraz z wiadomościami w całym projekcie. Przekazaliśmy też aktualne informacje na temat Piaskownicy prywatności zobowiązania Dbamy o to, aby propozycje były projektowane, opracowywane i wdrażane z zachowaniem zgodności z przepisami. nadzoru i opinii brytyjskiego Urzędu ds. Konkurencji i Rynków (CMA). Biuro Informacji Publicznej (Information Commissioner's Office, ICO).

Wydarzenia

Na początku listopada zorganizowaliśmy Chrome Developer Summit, uwzględniliśmy w prezentacji zarówno segment Piaskownicy prywatności, jak i kilka powiązanych pytania w ramach sesji „Zapytaj mnie o cokolwiek (AMA”). Dodaliśmy podsumowanie które możesz przeczytać lub obejrzeć obejmują oraz przykłady tego, czego można się spodziewać w miarę postępów w propozycjach dyskusjach, testach i odpowiednich etapach wdrożenia.

Wzmocnij granice prywatności użytkowników w witrynach

Pliki cookie innych firm to kluczowy mechanizm, który umożliwia śledzenie w witrynach. Ich wyeliminowanie to ważny krok milowy, ale musimy też zająć się innymi formami do przechowywania danych i komunikacji między witrynami.

Interfejs Federated Credentials Management API

Federated Credentials Management (FedCM) to nad nową, bardziej czytelną nazwą oferty pakietowej WebID. Uwzględniliśmy to zmiany na osi czasu Piaskownicy prywatności. Tożsamość sfederowana to kluczowa usługa dla internetu, są jednoznacznie używane do udostępniania pewnych aspektów tożsamości w innych witrynach, szczegóły implementacji, które pokrywają się ze śledzeniem w witrynach.

Propozycja dotycząca zarządzania sfederowanymi danymi logowania obejmuje szereg opcji: od proste ścieżki migracji istniejących rozwiązań do bardziej prywatnych metod z usługami, do których dostęp jest ograniczony,

W listopadzie przygotowali też BlinkOn. Mrugnięcie to mechanizm renderowania używany przez Chromium, a BlinkOn to miejsce, w którym współtwórcy do prezentacji inżynierskich i dyskusji na temat bieżących projektów. Listopad BlinkOn obejmował sesję przeglądu oraz sesji pytań i odpowiedzi w FedCM. Obejrzyj w YouTube.

Zapobieganie ukrytemu śledzeniu

Ograniczamy też możliwość bezpośredniego śledzenia w witrynach, dotyczy obszarów platformy internetowej, które ujawniają informacje umożliwiające identyfikację umożliwia pobieranie odcisków cyfrowych lub ukryte śledzenie użytkowników.

Redukcja ciągu znaków klienta użytkownika i wskazówki dotyczące klienta użytkownika

Nadal trwa zmniejszanie ilości informacji dostępnych domyślnie w przeglądarce Chrome ciągu znaków User-Agent oraz ulepszoną, aktywną metodę wysyłania żądań za pomocą narzędzia User-Agent Client Hints. Dodaliśmy nowego klienta użytkownika Przegląd redukcji, aby zebrać wszystkie ze wskazówkami i aktualizacjami.

Opublikowaliśmy nowe materiały dotyczące testowania, aby przygotować się na zmiany. Kod redukcji klienta użytkownika dostępne są różne krótkie opisy przykłady przekształcenia bieżącego ciągu znaków klienta użytkownika Chrome na wersję o ograniczonym zakresie . Dostępny jest też nowy wpis w usłudze chrome://flags/#force-major-version-to-100 który pozwala sprawdzić, czy po przejściu na 3-cyfrową wersję główną usterki lub awarii.

Opublikowaliśmy zamiar wysyłki Sec-CH-UA-Full-Version-List. Dotyczy to ekosystemu opinii, że istniejące Sec-CH-UA-Full-Version była zbyt mocno powiązana z główną marką przeglądarki, podano tylko jedną wartość. Obecna implementacja wyświetla na przykład:

⩍️ Nagłówek odpowiedzi serwera

Accept-CH: Sec-CH-UA-Full-Version

⬆️ Nagłówek żądania przeglądarki

Sec-CH-UA: "Chromium";v="94", "Google Chrome";v="94", ";Not A Brand";v="99"
Sec-CH-UA-Full-Version: "94.0.4606.124"

Zaktualizowana wersja udostępniałaby następujące informacje:

⩍️ Nagłówek odpowiedzi serwera

Accept-CH: Sec-CH-UA-Full-Version-List

⬆️ Nagłówek żądania przeglądarki

Sec-CH-UA: "Chromium";v="94", "Google Chrome";v="94", "Other browser";v="99"
Sec-CH-UA-Full-Version-List: "Chromium";v="94.0.4606.124", "Google Chrome";v="94.0.4606.124", "Other browser";v="99.88.77.66"

Ślepota na IP

Adresy IP ze względu na swój charakter często stanowią unikalny identyfikator klienta zapewniającą niezbędną komunikację między przeglądarką a serwerem. Jednak oznacza także, że stabilny adres IP w czasie biernie zapewnia ilość informacji, które można wykorzystać do śledzenia w witrynach.

Propozycja zwalczania ślepoty IP znane jako globalne tłumaczenie adresów sieciowych połączone z systemami kontroli i zaufanych systemów CDN lub serwer proxy HTTP eliminujący ponowną identyfikację lub Gnatcatcher) do tej kwestii. Pierwszą z nich jest Near-Path NAT który skutecznie przekierowuje połączenie przeglądarki przez prywatny adres IP usługa ukrywająca adres IP przeglądarki przed odwiedzaną witryną. Druga opcja opiera się na wielowarstwowym charakterze internetu, infrastruktura oparta na adresie IP może być całkowicie odrębna od która działa w niej. Właściwy adres IP Niewidomi omawia metody definiowania podlegających kontroli zasad dotyczących tworzenia i utrzymanie tej separacji.

Oba te pomysły są na wczesnym etapie rozwoju i wciąż trwają takie jak opublikowane ostatnio Willful IP Blindness (Celowe zalecenie IP) Zasady. Tam też będzie kontynuowana dyskusja, a jeśli interesują Cię szczegółów na poziomie sieci, postępuj zgodnie z instrukcją Multixed Application Substrate przez QUIC Encryption (MASQUE) Grupę roboczą w IETF.

Pomiar skuteczności reklam cyfrowych

Jako uzupełnienie wyświetlania reklam bez śledzenia w witrynach potrzebujemy mechanizmy chroniące prywatność, które umożliwiają pomiar skuteczności reklam.

Interfejs Attribution Reporting API

Raporty atrybucji API tworzy funkcje mierzyć zdarzenia w jednej witrynie, np. kliknięcie lub wyświetlenie reklamy, które prowadzą konwersji w innej witrynie – bez włączania śledzenia w witrynach.

Wciąż testujemy interfejs API, w ramach testowania origin rozszerzony aż do wersji Chrome 97. Obecne tokeny wersji próbnej origin wygasły 12 października, więc obecni testerzy muszą przesłać prośbę o zaktualizowane tokeny, aby kontynuować testowanie.

Na blogu pojawiły się 2 nowe posty z najnowszymi informacjami o raportach na poziomie zdarzeń. w interfejsie API. Raporty atrybucji na poziomie zdarzenia w sekcji Attribution Reporting API przedstawia koncepcje i proces, a jednocześnie korzysta z raportów na poziomie zdarzenia Raporty atrybucji API trafia do szczegóły implementacji wraz z dołączonym kodem demonstracyjnym i demonstracyjnym.

Prześlij opinię

W miarę publikowania comiesięcznych aktualizacji i postępów w Piaskownicy prywatności, chcemy mieć pewność, że deweloperzy otrzymują potrzebne informacje i wsparcie. Daj nam znać na @ChromiumDev Twittera, jeśli jest coś, co możemy które można poprawić w tej serii. Pomoże nam to w dalszym ulepszaniu tego formatu.

zapoznaj się z najczęstszymi pytaniami na temat Piaskownicy prywatności. rozwijany zgodnie z problemami zgłaszanymi do zespołu pomocy dla deweloperów repo. Jeśli mają pytania dotyczące testowania lub wdrażania propozycji, skontaktuj się z nami.