L'iniziativa Privacy Sandbox propone una serie di API incentrate sulla tutela della privacy per supportare modelli aziendali che finanziano il web aperto in assenza di meccanismi di monitoraggio come i cookie di terze parti. È stata introdotta nel 2019 e Chrome ha condiviso gli aggiornamenti in corso a gennaio e ottobre dell'anno scorso.
Dopo un anno di incubazione, il 2021 sarà un anno di test con continue opportunità di coinvolgere l'ecosistema web. Questo post fornisce un aggiornamento sullo stato delle API e delle proposte di Privacy Sandbox.
Progressi sui casi d'uso principali
Posizionamento di annunci pertinenti su un sito
Gli editori e gli inserzionisti vogliono fornire contenuti, compresi gli annunci, che siano pertinenti e interessanti per l'utente. Nel web odierno, gli interessi delle persone vengono spesso valutati osservando quali siti o pagine visitano, facendo affidamento sui cookie di terze parti o su meccanismi meno trasparenti e indesiderati come il fingerprinting del dispositivo.
A marzo, con la release 89, Chrome lancerà una prova dell'origine per l'API Federated Learning of Cohorts (FLoC). FLoC propone un nuovo modo per raggiungere le persone con contenuti e annunci pertinenti raggruppando grandi gruppi di persone con modelli di navigazione simili, nascondendo le persone "tra la folla" e mantenendo la loro cronologia web sul loro browser. Oggi Google Ads condivide un aggiornamento dei test eseguiti sull'algoritmo FLoC, che dimostra che l'API proposta potrebbe essere efficace quanto i cookie di terze parti nella pubblicazione di annunci pertinenti basati sugli interessi.
Creare segmenti di pubblico proprietari
Uno dei casi d'uso che hanno avuto entusiasmanti discussioni nella community degli standard riguarda il modo in cui le aziende possono creare segmenti di pubblico e raggiungere i visitatori precedenti dei loro siti web attraverso il remarketing. L'anno scorso Chrome ha introdotto TURTLEDOVE, una proposta che riguarda questo caso d'uso, fornendo al contempo le stesse protezioni della privacy delle altre proposte. Un sito web potrebbe chiedere al browser di memorizzare un gruppo di interesse. Queste informazioni sulle offerte e sulla visualizzazione degli annunci e le offerte on-device da parte di potenziali acquirenti di annunci si baserebbero su questo gruppo di interesse.
La nuova proposta di Chrome FLEDGE ( Primo esperimento "Decisione eseguita in locale sui gruppi") amplia TURTLEDOVE incorporando nuovi concetti provenienti da molte altre proposte che hanno contribuito al progetto. FLEDGE consente agli algoritmi di offerta on-device di utilizzare informazioni aggiuntive provenienti da un nuovo server attendibile progettato per questo unico scopo. Per facilitare la sperimentazione prima che i nuovi server attendibili siano disponibili, proponiamo un modello "Bring Your Own" e prevediamo di rendere disponibile questo primo esperimento nel corso del 2021.
Misurazione dell'efficacia della pubblicità
Quando un professionista del marketing pubblica una campagna pubblicitaria, è importante che sappia quante persone vedono ciascun annuncio e se questo si traduce in un'azione da parte del consumatore, come un acquisto o un'iscrizione.
A settembre 2020 abbiamo reso disponibile l'API Event Conversion Measurement per i test nelle prove pubbliche dell'origine Chrome. Consente ai professionisti del marketing di misurare le conversioni senza utilizzare cookie di terze parti, ma il browser registra clic e conversioni e condivide un report anonimo. Una versione futura di questa tecnologia supporterà anche le "conversioni view-through" (quando gli utenti visualizzano un annuncio, ma vi intervengono in un secondo momento).
Per aiutare i professionisti del marketing a comprendere la copertura di pubblico di una determinata campagna pubblicitaria, ad aprile 2020 abbiamo pubblicato l'API Aggregate Measurement, che consente di misurare il numero di volte in cui gli utenti unici hanno visualizzato un annuncio su più siti, senza rivelare dati che potrebbero essere utilizzati per identificare i singoli utenti. Ciò è reso possibile dalla generazione di report sui dati solo dopo che hanno raggiunto una determinata soglia per l'aggregazione. Abbiamo in programma di rendere disponibile l'API Aggregate Measurement per i test tramite prove dell'origine pubblica nella prima metà dell'anno.
Prevenzione delle attività fraudolente
Siti e publisher devono assicurarsi di poter distinguere spammer, truffatori e bot da utenti reali. Lo scorso luglio abbiamo aperto l'API Trust Tokens per i test. Ciò consente di valutare l'autenticità di un utente per contrastare le attività fraudolente senza dover conoscere l'identità dell'utente. Chrome 89 introduce una prova dell'origine per supportare un nuovo tipo di emittente di Trust Token, in grado di migliorare il rilevamento delle attività fraudolente provenienti dai dispositivi mobili, tutelando al contempo la privacy dell'utente.
Miglioramenti alla sicurezza dei cookie
Nel 2020, abbiamo anche migliorato la sicurezza dell'attuale tecnologia web. Le norme relative ai cookie SameSite sono state adottate da Chrome ed Edge e saranno presto disponibili su Firefox, trattando i cookie come proprietari, a meno che lo sviluppatore non indichi di doverli accedere tra siti diversi. Abbiamo implementato questa funzionalità anche per WebView di Android e prevediamo di applicare il trattamento predefinito "SameSite=Lax" a partire dalle app che hanno come target Android S.
Novità della release di Chrome 88 di questo mese, rafforzeremo questo criterio modificando la definizione di SameSite per prevenire alcune forme di attacchi cross-site, incluso il downgrade della sicurezza di una connessione. Ora le versioni sicure e non sicure dello stesso dominio host, come https://site.example e http://site.example, vengono considerate un contesto di terze parti reciprocamente.
È noto che i siti web reali possono abbracciare più domini o domini con codice paese (come .com, co.uk e .de). Con Chrome 89, introdurremo gli insiemi proprietari come prova dell'origine in Chrome, in modo che i proprietari di domini possano dichiarare esplicitamente un gruppo di domini web correlati come appartenenti alla stessa organizzazione ed essere considerati "stessa parte" tra loro. Ad esempio, gli utenti possono rimanere collegati a un sito di shopping anche se il sito va su più domini. Registrati per la prova.
Impedire il monitoraggio nascosto
Abbiamo anche fatto progressi con le modifiche in Chrome per prevenire le tecniche di monitoraggio invasive esistenti e consentire soluzioni alternative attenuanti:
Nelle prossime settimane, completeremo l'implementazione stabile di Chrome della nuova API User-Agent Client Hints (UA-CH), che consente agli sviluppatori di richiedere informazioni specifiche sul browser di un utente, anziché riceverle tutte per impostazione predefinita. Invitiamo gli sviluppatori a iniziare la migrazione all'API UA-CH, dato che Chrome inizierà a limitare le informazioni disponibili nella stringa tradizionale dello user agent che oggi può essere utilizzata per il fingerprinting.
La scorsa settimana abbiamo presentato Gnatcatcher, una proposta che consente a gruppi di utenti di inviare il traffico attraverso lo stesso server di privatizzazione, nascondendo di fatto i propri indirizzi IP all'host del sito. Gnatcatcher garantisce inoltre che i siti che richiedono l'accesso agli indirizzi IP per scopi legittimi, come la prevenzione degli abusi, possano farlo, soggetti a certificazione e controllo.
Come annunciato lo scorso ottobre, non sarà più possibile per un sito osservare altri siti che un utente potrebbe aver visitato tramite meccanismi di memorizzazione nella cache. Ciò garantisce che le risorse memorizzate nella cache siano accessibili solo dal sito che ha effettuato la richiesta originale, riducendo il rischio di attacchi alla sicurezza come attacchi di monitoraggio tra siti e di ricerca. Questa modifica verrà implementata per tutti gli utenti di Chrome a partire da marzo con Chrome 89.
Scopri di più
- Approfondimento su Privacy Sandbox
- Privacy Sandbox
- Come partecipare all'iniziativa Privacy Sandbox
- Privacy Sandbox nel 2021: test di un web più privato
Foto di Aditya Saxena su Unsplash