התקדמות בארגז החול לפרטיות (דצמבר 2021)

אנחנו שמחים להציג את מהדורת הסיכום של שנת 2021 בנושא ההתקדמות במדיניות הפרטיות Sandbox, מעקב אחר אבני הדרך מופעל הדרך להוצאה משימוש בהדרגה של קובצי Cookie של צד שלישי ב-Chrome ולעבוד האינטרנט הפרטי שלהם. בדרך כלל אנחנו משתפים סקירה כללית של עדכונים בארגז החול לפרטיות בציר הזמן וגם בחדשות מכל רחבי העולם את הפרויקט, אבל דצמבר היה חודש שקט. במקום זאת, נבחן כמה את הפעילויות במהלך 2021, ולספק כמה החלטות אפשריות שאפשר לקבל אנחנו בשנה החדשה.

תהליך הפיתוח של Chromium

כדי שתכונה חדשה של פלטפורמת אינטרנט תגיע ל-Chromium, היא צריכה לעבור והפיתוח הפתוח של הפרויקט התהליך. בשנת 2021, צוות ארגז החול לפרטיות יצר:

🥚כוונה ליצור אב טיפוס 19
🧪כוונה להתנסות7
🚀כוונה לשלוח 11
מקור

כל אבן דרך היא גם הזמנה לסביבה העסקית הרחבה יותר באינטרנט לתרום.

כוונת אב טיפוס היא נקודת הביקורת הראשונה, שבה אנחנו מזמינים דיון וניסויים מוקדמים. כלומר, הצעה תהיה זמינה ב-GitHub, שבו אפשר לשאול שאלה על ידי יצירת בעיה או להצטרף לדיונים מצגות בתקן קבוצות כמו W3C IETF. כאן גם מתחיל התכנות, מה שאומר שתוכלו לצפות פונקציונליות של אב-טיפוס שתהיה זמינה לבדיקה על ידי מפתחים תכונה דגל. המשוב הראשוני הוא קריטי לאימות ולחזרה על הצעות.

כוונת ניסוי הוא שלב אופציונלי אם אנחנו רוצים לבקש גרסת המקור לניסיון. מפתחים יכולים להירשם לחשבון המקור לתקופת ניסיון של תכונה, ואז לבדוק אותה בסביבת הייצור. זה נקרא ניסוי כי יש לנו היבטים ספציפיים של התכונה שרוצים לבצע אימות בסביבות בעולם האמיתי. מפתחים שיכולים לבדוק לשתף את תוצאות הבדיקות האלה ולספק משוב רב-ערך, שעוזר לבצע לפתח את התכונה.

כוונת רכישה היא אבן הדרך הסופית שמצביעה על כך שהתכונה מלאים ומוכנים לזמינות לכלל המשתמשים. אחרי האישור, התכונה ממוזג בהשקה קרובה ואז מתקדם בגרסת הבטא, וערוצים יציבים. חשוב מאוד לוודא שבודקים את האתרים עם Canary ו גרסאות בטא של Chrome כדי לקלוט לדווח על באגים לפני שהתכונה תגיע לגרסה יציבה.

הצעות

לכל הצעה של ארגז חול לפרטיות יש מאגר GitHub נלווה. א' מאגר האירוח מארח הסבר שמסכם את הפונקציונליות הכוללת, המפרט ליישום על ידי דפדפנים, ותוספות תוכן מכל הסוגים בסביבה העסקית באינטרנט, למשל 'בעיות ובקשות משיכה'.

ב-14 המאגרים של ארגז החול לפרטיות:

💬545בעיות שנוצרו
250הבעיות נסגרו
🛠️261נוצרו בקשות משיכה
223בקשות משיכה ממוזגות
מקור

הניסוחים בהסברים ובמפרטים בדרך כלל מטורגטים לקהל כבר מכירה בסטנדרטים ובפיתוח דפדפנים, מאתגרת, אם לא מכירים אותה. עם זאת, המטרה של הסברים להסביר! אם יש נקודות שאינן ברורות או שאינן ברורות, אנו רוצים להעלות בעיה כדי שנוכל לעדכן ולהבהיר את ההסבר.

רזולוציות

ניקוי אביב בסוכן משתמש

בזמן שהספירה שלנו למטה עד השנה החדשה, אנחנו גם סופרים את שתי האפשרויות Chrome 100 וההפחתה המצטברת של מחרוזת ה-user-agent. זו איכות טובה לבדוק שוב את השימוש במחרוזת ה-user-agent בקוד שלך, כדי לבדוק אם הוא מושפע מאחד מהשינויים האלה.

כדי למצוא את האזורים האלה:

  1. מחפשים את navigator.userAgent בקוד ה-JavaScript, או גישה אל User-Agent בקוד השרת.
  2. צריך לבדוק את ניתוח המחרוזת כדי לגלות הנחות לגבי גרסה בת 2 ספרות. עבור לדוגמה, צריך להחליף ביטוי רגולרי שמציין את \d\d או \d{2} \d+.
  3. בודקים את השימוש במחרוזת בכל מקום שבו אתם מסתמכים על:
    • גרסת פלטפורמה (מערכת הפעלה)
    • גרסת build מלאה של Chrome
    • שם המכשיר הנייד
  4. הערכים האלה יצומצמו בעתיד למחרוזות קבועות. אם המיקום צריכה להיות לך גישה לערכים האלה, עליך לעבור ל-User-Agent Client רמזים.

יש עדכון אחד בחודש דצמבר והוא מציין – אם אתם משתמשים ב-User-Agent Client רמזים, שלחנו את הכוונה לשלוח כדי לאפשר רמזים להענקת גישה לאחרים מקורות ב- HTML באמצעות תג <meta>. לדוגמה:

<meta name="accept-ch" content="sec-ch-ua-model=( https://foo.bar )">

אם אתם במצב רוח נלהב של ניקיון פסח, כדאי לכם גם לבדוק חלופות לגמרי לשימוש ב-user-agent. אם אתם משתמשים במחרוזת כדי זיהוי מכשירים ניידים, ואז לבדוק אם אפשר להחליף את זה בטקסט רספונסיבי לעיצוב. אם אתם בודקים את השם והגרסה של הדפדפן כדי לקבל תמיכה בתכונות, ראו אם אתם יכולים להשתמש במקום זאת בזיהוי תכונות.

כדאי תמיד לזכור שהסוכן המשתמש, כמו כל לקוח לא מובטח שהוא יהיה מדויק או אפילו מסופק. קובץ Log4j האחרון נקודת חולשה, "Log4shell" דוגמה לסיכון הזה. לקוח שמגדיר את מחרוזת סוכן המשתמש שלו כ כוללים ערך כמו ${jndi:ldap://example.com/file} עשויים לקבל אתר כדי לנתח אותו באופן פעיל בשרת.

עוד פעילות מסורתית לראש השנה האזרחית היא לוודא שאתם מרוצים מספר בריא של עוגיות שעשויות מרכיבים איכותיים. אנחנו ממשיכים להתקדם לקראת ההוצאה משימוש של קובצי Cookie של צד שלישי, חשוב לדעת אילו מקובצי ה-Cookie של האתר שלכם יושפעו. שנת 2020 סיפקה יתרון היה צורך לסמן את כל קובצי ה-Cookie עבור צדדים שלישיים או אתרים שונים להשתמש עם SameSite=None.

לכל קובץ cookie שבו הגדרת את המאפיין SameSite כ-None יש צורך

יש 3 מסלולים אפשריים כרגע:

  1. אם קובץ ה-cookie נדרש רק בקשר 1:1 עם האתר ברמה העליונה, לעקוב אחר ההתקדמות של צ'יפים הצעה. המשמעות היא שמוסיפים את המאפיין מאפיין Partitioned לקובץ ה-cookie.
  2. אם קובץ ה-cookie משמש בהקשר חוצה-אתרים, אבל רק באתרים שבבעלותו ובפועל, הוא עשוי להיות מועמד למפלגה של צד ראשון קבוצות. כדי לעשות את זה צריך להגדיר אתרים בקבוצה ולהוסיף את המאפיין SameParty לקובץ ה-cookie.
  3. אם קובץ ה-cookie משמש למתן ערך משותף כלשהו אתרים, לחקור את הקבוצה הרחבה יותר של ארגז החול לפרטיות לפתרון חלופי מסתמכים על מעקב חוצה-אתרים.

אם יש לך מודעות בריאותית במיוחד, זה גם הזמן האידיאלי כדי לבחון שוב את כל השימושים שלך בעוגיות, כי יש לנו מתכון טוב לשיפור גם קובצי Cookie מהדומיין הנוכחי.

משוב

אנחנו ממשיכים לפרסם את העדכונים החודשיים האלה, ואנחנו מתקדמים בארגז החול לפרטיות באופן כללי, אנחנו רוצים לוודא שהמפתחים יקבלו את המידע והתמיכה הדרושים להם. נשמח לשמוע ממך ב-@ChromiumDev Twitter, אם יש משהו שאנחנו יכולים בסדרה הזו. נשתמש במשוב שלך כדי להמשיך לשפר את הפורמט.

אפשר לעיין בשאלות נפוצות בנושא ארגז החול לפרטיות. ממשיכים להתרחב על סמך הבעיות ששלחת לתמיכה למפתחים במאגר. אם שאלות לגבי בדיקה או הטמעה של אחת מההצעות, בואו לדבר איתנו.