构建更安全网络:逐步淘汰第三方 Cookie

文 / Justin Schuh,Chrome 工程总监 

去年 8 月,我们推出了一项名为“隐私沙箱 (Privacy Sandbox)”的新计划,旨在开发一套开放标准,从根本上增强网络的隐私安全。这项开放机制的目标在于为用户提供更私密、更安全的网络,同时为发布商提供支持。今天,我们想向您提供关于该计划的最新进展,并邀您同我们一起提高网络浏览的隐私安全。

  • 推出
    https://www.blog.google/products/chrome/building-a-more-private-web/


与网络社区进行初步对话后,我们相信,通过不断迭代和反馈,诸如“隐私沙箱”这样的隐私保护和开放标准机制将淘汰第三方 Cookie,从而维护一个健康、支持广告的网络。当计划能够满足用户、发布商和广告商的需求,且我们已经开发出替代工具时,我们将逐步淘汰 Chrome 对第三方 Cookie 的支持。想要在两年内逐步完成这一计划,单靠我们无法实现这一目标,还需要整个网络生态系统的参与。我们计划于今年底开始第一次 OriginTrials,然后是转换测量与个性化。


用户一直在要求强化隐私保护,如数据使用的透明度、选择权和控制权等。显然,网络生态系统需要进一步发展以满足这些日益增长的需求。


一些浏览器采取的直接阻止第三方 Cookie 的方法,可能会导致反效果,进而对用户和网络生态系统产生负面影响。采用针对 Cookie 的直接处理措施,会迫使需支持广告业务模式的网站铤而走险,从而采用如浏览器指纹追踪(Fingerprinting, 替代 Cookie 的侵入性替代方案)等隐蔽方法,这反而不利于用户隐私和控制权。


我们相信,作为一个社区,我们可以做得更好,并且必须做到更好。


幸运的是,我们在 W3C 等论坛上收到了积极的反馈,即“隐私沙箱”机制代表的关键用例,这表明我们的策略朝着正确的方向发展。这些反馈和标准参与者们提出的相关提案让我们相信,这个解决方案是可行的。并且我们有与标准社区合作创建替代方案并逐步淘汰 Flash NPAPI 的经验,我们可以一同解决此类复杂挑战。

  • 逐步淘汰 Flash
    https://www.blog.google/products/chrome/saying-goodbye-flash-chrome/

  • NPAPI
    https://blog.chromium.org/2014/11/the-final-countdown-for-npapi.html


我们还将继续努力,让目前的网络技术更加安全且私密。正如我们之前宣布的,自 2 月起,Chrome 会将不包含 SameSite 标签的 Cookie 视为同站 Cookie,从而限制不安全的跨网站追踪,并要求用户通过 HTTPS 访问标记为第三方使用的 Cookie。这将提高第三方 Cookie 的安全性,并可让用户更精准地控制浏览器 Cookie。


同时,我们正在开发相应技术 ,如浏览器反指纹 (Anti-Fingerprinting) 追踪,来检测及阻止具有欺骗性的侵入技术,我们希望在今年晚些时候推出这些措施。


我们正在与整个生态系统积极合作,让浏览器、发布商、开发者和广告商都有机会测试这些新机制,检测新机制是否能在各种情况下运行良好,并开发相关的执行方案(如广告选择和评估、拒绝服务攻击 (DoS) 防范、反垃圾/诈骗以及联合身份验证等)。


我们希望共建一个更值得信赖的可持续发展网络,为此,我们需要您的持续参与。欢迎您通过 GitHub 对网络标准社区提案提供反馈,并确保提案满足您的需求。

  • 网络标准社区
    https://www.w3.org/community/web-adv/

  • 反馈
    https://github.com/w3c/web-advertising/blob/master/README.md


如果提案无法满足您的需求,请通过 GitHub 提交问题,或发送电子邮件联系 W3C 小组。如果您依赖网络开展业务,请确保您的技术供应商参与到此过程中,并向与您相关的小组分享您的反馈。

  • 发送电子邮件
    https://lists.w3.org/Archives/Public/public-web-adv/


我们将持续更新信息,告知大家在提高网络浏览安全性方面的工作进展。



— 推荐阅读 —