עדכון ההתקדמות ביוזמה של 'ארגז החול לפרטיות'

יוזמת ארגז החול לפרטיות מציעה קבוצה של ממשקי API לשמירה על פרטיות שתומכים במודלים עסקיים שמממנים את האינטרנט הפתוח, בהיעדר מנגנוני מעקב כמו קובצי cookie של צד שלישי. היא הושקה בשנת 2019, ו-Chrome שיתף עדכונים שהתחילו בינואר ובאוקטובר בשנה שעברה.

לאחר שנת חממה, שנת 2021 תהיה שנה של בדיקות, ולצידה הזדמנויות נוספות לקחת חלק מהסביבה העסקית. בפוסט הזה נעדכן אתכם לגבי סטטוס ההצעות וממשקי ה-API של ארגז החול לפרטיות.

ההתקדמות בתרחישים עיקריים לדוגמה

הצבת מודעות רלוונטיות באתר

בעלי האתרים והמפרסמים רוצים לספק תוכן רלוונטי ומעניין למשתמש, כולל מודעות. באינטרנט של ימינו, תחומי העניין של אנשים נמדדים בדרך כלל על ידי בחינת האתרים או הדפים שבהם הם מבקרים, תוך הסתמכות על קובצי cookie של צד שלישי או על מנגנונים פחות שקופים ולא רצויים, כמו יצירה של טביעת אצבע דיגיטלית (fingerprinting) של המכשירים.

במרץ, בגרסה 89, Chrome ישיק גרסת מקור לניסיון עבור Federated Learning of hors API (FLoC). FLoC מציעה דרך חדשה להגיע לאנשים באמצעות מודעות ותכנים רלוונטיים, באמצעות קיבוץ קבוצות גדולות של אנשים עם דפוסי גלישה דומים, הסתרת אנשים באופן "מחיק" ושמירה על היסטוריית האתרים שלהם בדפדפן. היום אנחנו משתפים ב-Google Ads עדכון מהבדיקות של אלגוריתם FLoC. העדכון מראה שה-API המוצע יכול להיות יעיל באותה מידה כמו קובצי cookie של צד שלישי בהצגת מודעות רלוונטיות לפי תחומי עניין.

בניית קהלים מאינטראקציה ישירה

אחד מהתרחישים לדוגמה שבהם התקיימו דיונים מרתקים בקהילת הסטנדרטים הוא האופן שבו חברות יכולות לבנות קהלים ולהגיע למשתמשים שביקרו באתר בעבר באמצעות רימרקטינג. בשנה שעברה, השקנו ב-Chrome את TURTLEDOVE – הצעה שמתייחסת לתרחיש לדוגמה הזה, ומספקת את אותן אמצעי הגנה על פרטיות כמו ההצעות האחרות. אתר עשוי לבקש מהדפדפן לאחסן קבוצת תחומי עניין, כולל מידע על הצעות מחיר והצגת מודעות, ובידינג במכשיר על ידי קוני מודעות פוטנציאליים, יתבססו על קבוצת תחומי העניין הזו.

ההצעה החדשה של FLEDGE ב-Chrome ( ניסוי ראשון מסוג 'החלטה מקומית על ביצוע קבוצות') מרחיבה את TURTLEDOVE ומשלבת קונספטים חדשים מהצעות רבות נוספות שנתרמו. FLEDGE כולל דרך שבה אלגוריתמים של בידינג במכשיר יכולים להשתמש במידע נוסף משרת מהימן חדש שנועד למטרה הבלעדית הזו. כדי לסייע בניסויים מוקדמים לפני שהשרתים המהימנים החדשים יהיו זמינים, אנחנו מציעים מודל 'קבלת שרת משלך' ומצפים לשלוח את הניסוי הראשון במהלך 2021.

מדידת יעילות הפרסום

כשמשווק מפעיל קמפיין מודעות, חשוב שהוא יבין כמה אנשים רואים כל מודעה ואם פעולה זו הובילה לביצוע פעולה מצד הצרכן, כגון רכישה או הרשמה.

בספטמבר 2020 פתחנו את ממשק ה-API למדידת המרות מאירועים לצורך בדיקה בגרסאות מקור לניסיון של Chrome שגלוי לכולם. הוא מאפשר למשווקים למדוד המרות בלי להשתמש בקובצי cookie של צד שלישי. במקום זאת, הדפדפן מתעד קליקים והמרות ומשתף דוח אנונימי. גרסה עתידית של הטכנולוגיה הזו תתמוך גם ב "המרות בעקבות צפייה" (כשאנשים רואים מודעה אבל מבצעים עליה פעולה מאוחר יותר).

כדי לעזור למשווקים להבין מהו היקף החשיפה של קמפיין פרסום מסוים, באפריל 2020 פרסמנו את Aggregate Measurement API. ה-API הזה עוזר למדוד כמה פעמים משתמשים ייחודיים צפו במודעה בכמה אתרים, שוב, בלי לחשוף נתונים שיכולים לשמש לזיהוי של אנשים פרטיים. הדבר מתאפשר באמצעות דיווח על נתונים רק לאחר שהם מגיעים לסף מסוים של צבירה. אנחנו מתכננים לפתוח במחצית הראשונה של השנה את Aggregate Measurement API לבדיקה באמצעות גרסאות ניסיון ממקור ציבורי.

מניעת הונאות

אתרים ובעלי אתרים צריכים לוודא שהם יכולים להבחין בין מפיצי ספאם, הונאות ובוטים למשתמשים אמיתיים. ביולי האחרון פתחנו את Trust Tokens API לבדיקה. כך ניתן להעריך את האותנטיות של משתמש כדי להילחם בהונאות בלי לדעת את זהותו. ב-Chrome 89 מושק גרסת מקור לניסיון לתמיכה בסוג חדש של מנפיק Trust Token שיכול לשפר את הזיהוי של הונאות שמקורן במכשירים ניידים, תוך הגנה על פרטיות המשתמשים.

ב-2020 שיפרנו גם את הבטיחות של טכנולוגיית האינטרנט הנוכחית. המדיניות בנושא קובצי cookie מסוג SameSite הופעלה ב-Chrome וב-Edge, ותושק בקרוב ב-Firefox, ותתייחס לקובצי cookie כקובצי צד ראשון, אלא אם המפתח יציין שצריך לגשת אליהם באתרים שונים. בנוסף, השקנו את התכונה הזו ב-WebView של Android, ואנחנו מצפים שהטיפול כברירת המחדל SameSite=Lax יתחיל באפליקציות שמטרגטות ל-Android S.

חדש בגרסה 88 של Chrome החודש, וכדי לחזק את המדיניות הזו אנחנו משנים את ההגדרה של SameSite כדי למנוע סוגים מסוימים של מתקפות בין אתרים, כולל שדרוג לאחור של אבטחת החיבור. מעכשיו, גרסאות מאובטחות ולא מאובטחות של אותו דומיין מארח (כמו https://site.example ו-http://site.example) נחשבות להקשר של צד שלישי.

אנחנו מבינים שאתרים בעולם האמיתי יכולים להתפרס על פני כמה דומיינים או דומיינים עם סיומת של קוד מדינה (כמו com. , co.uk ו-de.). בגרסה 89 של Chrome, נשיק את קבוצות של צד ראשון כגרסת מקור לניסיון ב-Chrome, כדי שבעלי דומיינים יוכלו להצהיר במפורש על קבוצה של דומיינים קשורים באינטרנט כשייכים לאותו ארגון, ולהתייחס אליהם כאל "אותו צד" זה לזה. כך משתמשים יכולים, למשל, להישאר מחוברים לאתר קניות, גם אם חוויית השימוש באתר מתפרסת על פני מספר דומיינים. הרשמה לתקופת הניסיון.

מניעת מעקב סמוי

בנוסף, התקדמנו לבצע שינויים ב-Chrome כדי למנוע שיטות מעקב קיימות שמפריעות ולצמצם את המצב של הפתרונות הבאים:

  • בשבועות הקרובים אנחנו משלימים את ההשקה היציבה של Chrome של ה-API החדש של User-Agent Client Hints (UA-CH) שמאפשר למפתחים לבקש מידע ספציפי לגבי הדפדפן של המשתמש במקום לקבל את כל המידע כברירת מחדל. אנחנו ממליצים למפתחים להתחיל לעבור ל-UA-CH API, כי בסופו של דבר Chrome יתחיל להגביל את המידע הזמין במחרוזת ה-User-Agent המסורתית, כך שאפשר להשתמש בה כיום ליצירה של טביעת אצבע דיגיטלית (fingerprinting).

  • בשבוע שעבר הצגנו את Gnatcatcher, הצעה שמאפשרת לקבוצות של משתמשים לשלוח את התנועה שלהן דרך אותו שרת מבצע פרטי, שמסתיר בפועל את כתובות ה-IP שלהם ממארח האתר. בנוסף, באמצעות Gnatcatcher אפשר לוודא שאתרים שזקוקים לגישה לכתובות IP למטרות לגיטימיות, כמו מניעת שימוש לרעה, יכולים לעשות זאת, בכפוף לאישור ולביקורת.

  • כפי שהודענו באוקטובר שעבר, אנחנו סוגרים גם את היכולת של אתרים לצפות באתרים אחרים שהמשתמש ביקר בהם באמצעות מנגנוני שמירה במטמון. כך אפשר להבטיח שרק האתר שהגיש את הבקשה המקורית יוכל לגשת למשאבים שנשמרו במטמון, וכך להפחית את הסיכון למתקפות אבטחה כמו מעקב באתרים שונים והתקפות חיפוש. השינוי הזה יושק לכל משתמשי Chrome החל מחודש מרץ ב-Chrome 89.

למידע נוסף

תמונה מאת Aditya Saxena ב-UnFlood