استكشاف التحديَين اللذين واجههما فريق Chrome في تنفيذ CHIPS ومدى أهمية ملاحظات المنتدى في تطوير تصميم الاقتراح
ملفات تعريف الارتباط في الحالة المقسَّمة المنفصلة (CHIPS) هي تقنية من "مبادرة حماية الخصوصية" تسمح للمطوّرين باختيار ملف تعريف ارتباط لتخزينه في مساحة تخزين "مقسَّمة"، مع توفير حاويات ملفات تعريف ارتباط منفصلة لكل موقع إلكتروني من المستوى الأعلى.
تشمل أمثلة حالات استخدام CHIPS أي سيناريوهات تتطلّب فيها الموارد الفرعية على مستوى الموقع الإلكتروني بعض المفاهيم المتعلّقة بالجلسة أو الحالة الثابتة التي تُحدّد نطاقها على نشاط المستخدِم على موقع إلكتروني واحد من المستوى الأعلى، مثل التطبيقات المصغّرة المخصّصة للمحادثات التابعة لجهات خارجية وعمليات تضمين الخرائط وموازنة تحميل شبكة توصيل المحتوى (CDN) للموارد الفرعية ومقدّمي خدمات إدارة المحتوى (CMS) بدون واجهة مستخدم وغير ذلك.
يتم تطوير CHIPS بهدف أن يصبح معيارًا لشبكة الويب المفتوحة. يخضع هذا الإصدار للمناقشة في مجموعة عمل حماية الخصوصية، وقد تم طرحه في فترة تجريبية لمدة 7 أشهر تلقّى خلالها فريق Chrome ملاحظات مفيدة. خلال عملية التطوير، تعاون الفريق مع الجهات المعنية الرئيسية لاستكشاف هذه الملاحظات، ما أدّى إلى تصميم معدَّل يخدم المنظومة المتكاملة للويب بشكل أفضل.
لنطّلِع على تحدّيين واجههما فريق Chrome في تنفيذ CHIPS وكيف لعبت ملاحظات المنتدى دورًا رئيسيًا في تطوير تصميم الاقتراح.
إزالة بادئة المضيف وعدم اشتراط Domain
لتعزيز ممارسات الأمان الجيدة، يتطلب تصميم CHIPS ضبط ملفات تعريف الارتباط وإرسالها فقط من خلال بروتوكولات آمنة، ويجب ضبط ملفات تعريف الارتباط المقسّمة باستخدام Secure.
بالإضافة إلى هذه المتطلبات، لم يسمح الاقتراح الأولي بسمة Domain في ملفات تعريف الارتباط المقسّمة. كان حذف Domain من ملفات تعريف الارتباط يمنع مشاركتها بين النطاقات الفرعية المختلفة التابعة لجهات خارجية ضمن قسم.
خلال الفترة التجريبية الأصلية، تلقّى فريق Chrome ملاحظات من الشركاء والجهات المعنية الأخرى بأنّ شرط عدم توفّر نطاق صعب على المواقع الإلكترونية التي تتضمّن نطاقات فرعية تنفيذ CHIPS. على سبيل المثال، سيصعّب ذلك على "shop.example.com" و"pay.example.com" مشاركة علب ملفات تعريف الارتباط المُقسّمة. وفي حالات أخرى، أدّى ذلك إلى صعوبة عمليات المصادقة في السياقات المضمّنة.
قيّم فريق Chrome هذه الملاحظات وتوصّل إلى أنّ إزالة شرط عدم توفّر نطاق لن يتسبب في حدوث مشاكل في الخصوصية، بل سيؤدي إلى تحسين سهولة الاستخدام. استجابةً لذلك، فتح فريق منتجات CHIPS مناقشة على GitHub، ودعى إلى تقديم المزيد من الملاحظات حول إزالة هذا الشرط. وقد ردّت العديد من الشركات التي كانت تختبر CHIPS وعلّقت علنًا على أهمية هذا التغيير لحالة استخدامها.
أرسل فريق Chrome الملاحظات إلى مجموعة "الخصوصية في مجموعة W3C" وعرض الاقتراح المعدَّل. وافترضت Firefox وEdge التغيير ولم يُبدِ Safari أي استفسارات. في اليوم التالي، عدّل فريق Chrome Blink-Dev وعرض الخطة لإزالة الشرط في مستودع CHIPS على GitHub.
اقترح فريق CHIPS هذا الشرط في البداية لضمان عدم تلقّي المواقع الإلكترونية لملفات تعريف ارتباط على مستوى الموقع الإلكتروني من أي نطاقات فرعية ضارة أو تم اختراقها، والحد من إمكانية استخدام ملفات تعريف ارتباط النطاقات كقناة لتسرُّب البيانات على مستوى النطاقات الفرعية.
على الرغم من أنّ ذلك قدّم مزايا إضافية للأمان، أبرزت Tableau أنّه قدّم تحديات في اعتماد CHIPS لأنّ بعض تصاميم التطبيقات الحالية تعتمد على مشاركة ملفات تعريف الارتباط بين النطاقات الفرعية.
بعد أن أجرى Chrome هذا التغيير، شاركت شركة Tableau، التي تقف وراء منصة التحليلات المرئية التي تملكها الآن Salesforce، ما يلي:
تؤدي إزالة تغيير الاسم هذا إلى جعل المتطلّبات أكثر توافقًا مع التغييرات السابقة لإضافة سمة SameSite=None، وبالتالي تكون الكمية "معروفة" أكثر. نحن نقدّر أنّ Google قد أخذت ملاحظاتك في الاعتبار ونظرت في الآثار المترتبة عليها وأجرت التغيير للمساعدة في تسهيل عمليات النقل. لي غرابر، مهندس هندسة البرمجيات، Tableau
من خلال هذه العملية، تم تسهيل تنفيذ CHIPS على الجهات المعنية مع الحفاظ على خصوصية المستخدمين.
الانتقال من الحدّ الأقصى الثابت لملفات تعريف الارتباط إلى الحدّ الأقصى الديناميكي
كان التحدّي الآخر في تنفيذ CHIPS هو الحدّ الأقصى للكوكيز الثابتة.
لمنع استخدام مساحة كبيرة من الذاكرة لملفات تعريف الارتباط، اقترح التصميم الأولي حدًا رقميًا يبلغ 10 ملفات تعريف ارتباط لكل موقع إلكتروني لكل قسم.
شاركت Akamai ملاحظات عامة بأنّ الحدّ المقترَح لملفات تعريف الارتباط المقسّمة قد لا يكون كافيًا لخدمات مثل خدمات شبكة توصيل المحتوى (CDN) التي توفّر نطاقات من المستوى الأعلى لاستضافة محتوى عملائها (مثل customer.cdn.xyz). على سبيل المثال، يمكن أن يعرض كلّ من customer1.cdn.xyz وcustomer2.cdn.xyz محتوى تابعًا لجهات خارجية، ويمكن لكلّ منهما ضبط العديد من ملفات تعريف الارتباط الخاصة به. إذا تم تضمين عدة مواقع إلكترونية للعملاء على هذا النحو في موقع إلكتروني آخر، قد يصل عدد ملفات تعريف الارتباط إلى الحدّ الأقصى البالغ 10 ملفات لكل قسم.
تلقّى فريق Chrome ملاحظات مشابهة في منتديات أخرى، وفي اجتماعات الشركاء ومناقشات W3C، لذلك فكّر الفريق في أفضل الطرق لحلّ المشكلة التي يطرحها الحدّ الأقصى لعدد ملفات تعريف الارتباط في حالات الاستخدام هذه.
بعد التفكير في كيفية دمج ملاحظات المنتدى، قدّم فريق Chrome فكرة معدَّلة في TPAC 2022، تقترح أن يتم نقل CHIPS من الحدّ الثابت الذي يبلغ 10 ملفات تعريف ارتباط إلى حدّ _ديناميكي_ يبلغ 10 كيلوبايت استنادًا إلى الذاكرة. أظهر التحليل أنّ هذا التغيير من المفترض أن يشمل% 99 من حالات الاستخدام على الويب، وأن يراعي مبادئ الخصوصية التي كان يحاول Chrome تحقيقها (الحد من مشاركة الكثير من المعلومات عن المستخدمين على جميع المواقع الإلكترونية) مع الحفاظ على الاستخدامات الرئيسية.
أبدى مورّدو المتصفّحات الآخرون موافقتهم على الحلّ المعدَّل، وهو أمر مهم لضمان استمرار توفّر CHIPS على جميع المتصفّحات في إطار إطار عمل PrivacyCG.
نتيجةً لذلك، اعتمَد Chrome الحدّ الأقصى الجديد ودمج الحلّ في تصميم CHIPS.
العمل مع الجهات المعنية
لقد تلقّينا ملاحظات من العديد من الشركاء خلال تطوير CHIPS، وكان التعاون معهم أمرًا حيويًا في الجهود المبذولة لتحسين الخصوصية على الويب.
تتمتع Akamai بعلاقة تعاون على عدة جبهات مع قادة آخرين في المجال مثل Google. قد تبدو الملاحظات التي قدّمناها في ما يتعلّق ببرنامج CHIPS وكأنها تفاصيل بسيطة، ولكنّ التغيير سيساهم بشكل كبير في ضمان الحد الأدنى من التأثير السلبي على حالات الاستخدام الجيدة مع مواصلة تحقيق الهدف النهائي. تعمل مؤسساتنا المعنية على جعل الإنترنت أسرع وأكثر أمانًا بطرقنا الخاصة، ويكون الإنترنت بأكمله في وضع أفضل عندما نعمل معًا. مارتن ماير، كبير المهندسين في Akamai Technologies
أظهرت مبادرة CHIPS أنّ الملاحظات الواردة من المنظومة المتكاملة ضرورية لتحسين التكنولوجيات في "مبادرة حماية الخصوصية". ساهمت محادثات الويب المفتوحة في GitHub واجتماعات W3C والتفاعل المستمر مع فريق Chrome بشكل مباشر في التغييرات التي تم طرحها الآن في الإصدار الثابت من Chrome. يسرّ فريق Chrome معرفة هذه الملاحظات حول مجموعة من الاقتراحات، ويُحدث ذلك فرقًا كبيرًا في كيفية تطوير التكنولوجيا وطرحها على الويب.