כדאי להגביל את כמות הנתונים של משתמשים ספציפיים שנחשפים לאתרים כדי למנוע מעקב סמוי.
סטטוס הטמעה
במסמך הזה מתוארת הצעה חדשה למניעת מעקב סמוי: תקציב הפרטיות.
- ההצעה לתקציב הפרטיות נחשפה לדיון ציבורי.
- תקציב הפרטיות עדיין לא יושם באף דפדפן.
- בציר הזמן של ארגז החול לפרטיות נקבע תזמון ההטמעה של תקציב הפרטיות והצעות אחרות של ארגז החול לפרטיות.
למה אנחנו צריכים את ההצעה הזו?
ככל שדפדפנים ממשיכים לשנות את אופן הטיפול בקובצי cookie, חלק מהמאמצים למעקב אחר משתמשים עברו לשיטות שקשה יותר לזהות, שמסתירות את אמצעי הבקרה על קובצי cookie. השיטות האלה, שנקראות יצירה של טביעת אצבע דיגיטלית (fingerprinting), מסתמכות על שיטות מגוונות כדי לזהות דפדפנים ייחודיים שמוסתרים מהמשתמשים.
ההצעה לתקציב הפרטיות מציעה הגבלה למספר הנתונים של משתמשים ספציפיים שאפשר לחשוף לאתרים, כך שבסך הכול לא מספיקים לעקוב אחרי משתמשים ולזהות אותם. לשם כך יש לכמת כמה משתמשים משתפים עם צדדים שלישיים, וניתן לקבוע זאת באמצעות:
- K-anonymity: נכס שלצידו כמה נתונים אנונימיים, כאשר "k" מציין את מספר המשתמשים האחרים עם מידע זהה.
- אנטרופיה: תורת מידע, שכאשר מיישמים אותה, המשמעות היא שיש רמה של אי-ודאות שטבועה במגבלה האפשרית של הנתונים
- פרטיות דיפרנציאלית: מערכת שמבטיחה שאי אפשר לקבוע נתונים ספציפיים בקבוצה של נתונים נצברים
הסובלנות המקסימלית לכמות המידע שנחשף לגבי כל משתמש היא תקציב הפרטיות. ככל שקיימות פחות פלטפורמות ליצירה של טביעת אצבע באתר, ורמת הפירוט של המידע שנחשפת אליו נמוכה יותר, כך פוחת הסיכוי לזיהוי של משתמש יחיד.
מדידת הנתונים של יצירה של טביעת אצבע דיגיטלית (fingerprinting)
כדי להגיש את ההצעה לתקציב הפרטיות, הדפדפנים מודדים את המידע שמתגלה לפי כל פלטפורמה של טביעת אצבע. הדפדפנים יצטרכו גם למדוד את סך כל המידע שנחשף לאתר. יש לדווח על המדידות האלה לשירות אחד.
יש כמה דרכים אפשריות למדוד את הנתונים האלה, ו-Chrome בודק את הפתרונות באופן פעיל.
צמצום המידע הכולל שנחשפים לאתרים
אחרי שמודדים את כל המידע באינטרנט, אנחנו מצפים לנתח את פלטפורמות ה-API החשופות כדי לתעדף את המידע הנחוץ ואת המידע שלא צריך לשתף.
תוך התחשבות בתקציב הפרטיות, ההנחה היא שנתונים שנחשפו באמצעות יצירה של טביעת אצבע פסיבית משמשים אתרים מסוימים. חשוב לצמצם את הפלטפורמות פסיביות של טביעת אצבע דיגיטלית (fingerprinting), כמו שהן מתקבלות על ידי צמצום של סוכן המשתמש ושהוצעו על ידי הגנה IP.
איך אפשר לאכוף תקציב פרטיות?
ברגע שהאתר הממוצע ניגש לכמות סבירה של נתונים, הדפדפן יכול לאכוף תקציב באופן משמעותי. מההצעה לתקציב הפרטיות עולה כי מעל לסף שנקבע להצגת נתונים, אפשר לאכוף את התקציב בכמה דרכים. למשל:
- קריאות ל-API שמפרות את התקציב עלולות לגרום לשגיאה.
- במידת האפשר, אפשר להחליף את הקריאות ל-API בקריאה לשמירה על פרטיות, שמחזירה תוצאות "רעש" או תוצאות גנריות שאינן קשורות למשתמש יחיד.
- יכול להיות שבקשות לאחסון ולרשת יידחו, כדי שהאתר לא יוכל לחלץ מידע חדש.
חריגים לתקציב
יש אפליקציות, כמו משחקים בתלת-ממד ושיחות ועידה בווידאו, שלעולם לא יוכלו לפעול במסגרת תקציב סביר של פרטיות. יש כמה אפשרויות, כולל בקשה להרשאות למשתמשים, שעשויות לאפשר לאפליקציות האלה לפעול. אופן הטיפול בחריגות האלה פתוח לדיון.
מתי תקציב הפרטיות יהיה זמין?
התאריך המוקדם ביותר של זמינות מותאמת מייצג את התאריך המוקדם ביותר שבו ניתן היה לאכוף את תקציב הפרטיות. השינוי הזה לא יקרה לפני 2024.
נכון לעכשיו, תקציב הפרטיות הוא הצעה שלא יושמה באף דפדפן.
יצירת מעורבות ושיתוף משוב
ההצעה לתקציב הפרטיות נמצאת בדיון פעיל וכפופה לשינויים בעתיד.
- GitHub: קראו את ההצעה, העלו שאלות והשתתפו בדיון.
- תמיכה למפתחים: אפשר לשאול שאלות ולהצטרף לדיונים בנושא מאגר התמיכה למפתחים של ארגז חול לפרטיות.