Копаемся в песочнице конфиденциальности

Privacy Sandbox — это серия предложений, позволяющих удовлетворить сторонние сценарии использования без сторонних файлов cookie или других механизмов отслеживания.

Sam Dutton

Краткое содержание

• В этом посте описаны API и концепции из предложений Privacy Sandbox .
• Авторы предложений приглашают сообщество, особенно тех, кто работает в рекламной сфере (издателей, рекламодателей и рекламные технологии), получить обратную связь, чтобы предложить недостающие варианты использования и поделиться информацией о том, как поддержать варианты использования в вашем бизнесе.
• Вы можете прокомментировать предложения, разместив вопросы в репозиториях, ссылки на которые приведены ниже .
• В конце этого поста есть глоссарий предложений.

Текущее состояние конфиденциальности в Интернете

Веб-сайты используют услуги других компаний для предоставления аналитики, показа видео и множества других полезных вещей. Возможность компоновки — одна из сверхспособностей Интернета. В частности, реклама включается в веб-страницы с помощью стороннего JavaScript и iframe. Просмотры рекламы, клики и конверсии отслеживаются с помощью сторонних файлов cookie и скриптов.

Однако когда вы посещаете веб-сайт, вы можете не знать о третьих лицах и о том, что они делают с вашими данными. Даже издатели и веб-разработчики могут не понимать всю цепочку поставок третьих сторон.

Выбор рекламы, измерение конверсий и другие варианты использования в настоящее время основаны на установлении стабильной межсайтовой идентификации пользователя. Исторически это делалось с помощью сторонних файлов cookie , но браузеры начали ограничивать доступ к этим файлам cookie. Также увеличилось использование других механизмов для межсайтового отслеживания пользователей, таких как скрытое хранилище браузера, снятие отпечатков пальцев устройств и запросы личной информации, такой как адреса электронной почты.

Это дилемма для Интернета. Как можно поддерживать законные варианты использования третьих сторон, не позволяя отслеживать пользователей на разных сайтах?

В частности, как веб-сайты могут финансировать контент, позволяя третьим сторонам показывать рекламу и измерять ее эффективность, но не позволяя составлять профили отдельных пользователей? Как рекламодатели и владельцы сайтов могут оценить подлинность пользователя, не прибегая к таким темным методам, как снятие отпечатков пальцев с устройства?

То, как все работает в данный момент, может быть проблематичным для всей веб-экосистемы, а не только для пользователей. Для издателей и рекламодателей отслеживание личности и использование множества нестандартных сторонних решений могут увеличить техническую задолженность, сложность кода и риск данных. Пользователи, разработчики, издатели и рекламодатели должны быть уверены, что Интернет защищает выбор конфиденциальности пользователей.

Реклама — это основная бизнес-модель Интернета, но реклама должна работать на всех. Это подводит нас к миссии Privacy Sandbox: создать процветающую веб-экосистему, уважающую пользователей и конфиденциальную по умолчанию.

Представляем песочницу конфиденциальности

Privacy Sandbox представляет набор API-интерфейсов, сохраняющих конфиденциальность, для поддержки бизнес-моделей, которые финансируют открытую сеть в отсутствие механизмов отслеживания, таких как сторонние файлы cookie.

API-интерфейсы Privacy Sandbox требуют, чтобы веб-браузеры взяли на себя новую роль. Вместо работы с ограниченными инструментами и средствами защиты API-интерфейсы позволяют браузеру пользователя действовать от имени пользователя — локально, на его устройстве — для защиты идентифицирующей информации пользователя во время навигации по Интернету. API-интерфейсы позволяют использовать такие варианты использования, как выбор рекламы и измерение конверсий, без раскрытия личной и личной информации. С инженерной точки зрения песочница — это защищенная среда; Ключевой принцип Privacy Sandbox заключается в том, что личная информация пользователя должна быть защищена и не разглашаться таким образом, чтобы пользователя можно было идентифицировать на разных сайтах.

Это сдвиг в направлении браузеров. Видение будущего Privacy Sandbox предполагает, что браузеры предоставляют специальные инструменты для удовлетворения конкретных случаев использования, сохраняя при этом конфиденциальность пользователей. Потенциальная модель конфиденциальности для Интернета устанавливает основные принципы, лежащие в основе API:

• Установить диапазон веб-активности, при котором браузер пользователя может позволить веб-сайтам рассматривать человека как человека, имеющего единую личность.
• Определить способы, с помощью которых информация может пересекать границы идентичности, не ставя под угрозу это разделение.

Предложения Privacy Sandbox

Чтобы успешно отказаться от сторонних файлов cookie, инициативе Privacy Sandbox необходима ваша поддержка. Объяснителям предложений нужны отзывы разработчиков, а также издателей, рекламодателей и компаний, занимающихся рекламными технологиями, чтобы предложить недостающие варианты использования и поделиться информацией о том, как достичь своих целей с соблюдением конфиденциальности.

Вы можете прокомментировать пояснения к предложениям, сообщив о проблемах для каждого репозитория:

• Модель конфиденциальности для Интернета
  Установите диапазон веб-активности, при котором браузер пользователя может позволить веб-сайтам рассматривать человека как человека, имеющего единую личность. Определите способы, с помощью которых информация может пересекать границы идентичности, не нарушая этого разделения.
• Бюджет конфиденциальности
  Ограничьте общий объем потенциально идентифицируемых данных, к которым могут получить доступ сайты. Обновите API, чтобы уменьшить количество раскрываемых потенциально идентифицируемых данных. Сделайте доступ к потенциально идентифицируемым данным измеримым.
• мухолов
  Ограничьте возможность идентификации отдельных пользователей путем доступа к их IP-адресу.
• API токена доверия
  Разрешите источнику, который доверяет пользователю, выдавать ему криптографические токены, которые хранятся в браузере пользователя, чтобы их можно было использовать в других контекстах для оценки подлинности пользователя.
• Собственные наборы
  Разрешить связанным доменным именам, принадлежащим одной и той же организации, объявлять себя принадлежащими одной и той же первой стороне.
• Агрегированная отчетность
  Обеспечьте механизмы сохранения конфиденциальности для поддержки различных вариантов использования, таких как измерение конверсий по показам, бренда, эффективности и охвата.
• Отчеты по атрибуции
  Обеспечьте сохранение конфиденциальности при измерении кликов и просмотров с помощью отчетов на уровне событий и сводных отчетов.
• API тем
  Включите рекламу на основе интересов, не прибегая к отслеживанию сайтов, которые посещает пользователь. При разработке API учитывались отзывы сообщества о наших предыдущих испытаниях FLoC, и он заменяет предложение FLoC .
• ФЛЕДЖ
  Предоставляет решение для вариантов использования ремаркетинга, разработанное таким образом, чтобы третьи стороны не могли использовать его для отслеживания поведения пользователей на разных сайтах.

Вы можете сразу же погрузиться в объяснения предложений API, и в ближайшие месяцы мы будем публиковать сообщения о каждом предложении индивидуально.

Мы также добавим в наш плейлист пятиминутные видеоролики с простым объяснением каждого API.

Варианты использования и цели

Измерение конверсии

Цель: дать рекламодателям возможность измерять эффективность рекламы.

API отчетов по атрибуции позволяет измерять два связанных между собой события: 1. Событие на веб-сайте издателя, например просмотр пользователем объявления или нажатие на него. 1. Последующая конверсия на сайте рекламодателя.

Этот API поддерживает измерение кликов и просмотров .

Другие функции этого API включают отчеты по атрибуции между устройствами и отчеты по атрибуции между приложениями и веб-сайтами.

API также предлагает два типа отчетов по атрибуции :

• Отчеты на уровне событий связывают конкретный клик или просмотр объявления (на стороне рекламы) с данными на стороне конверсии. Чтобы сохранить конфиденциальность пользователей, предотвращая объединение идентификаторов пользователей на разных сайтах, данные на стороне конверсии очень ограничены, а данные «зашумлены» (это означает, что в небольшом проценте случаев отправляются случайные данные). В целях дополнительной защиты конфиденциальности отчеты не отправляются немедленно.

• Совокупные отчеты не привязаны к конкретному событию на стороне рекламы. Эти отчеты предоставляют более полные и точные данные о конверсиях, чем отчеты на уровне событий. Сочетание методов конфиденциальности с использованием криптографии, распределения доверия и дифференцированной конфиденциальности помогает снизить риск объединения идентификационных данных на разных сайтах.

Оба типа отчетов можно использовать одновременно: они дополняют друг друга.

Введение в отчеты по атрибуции объясняет больше о состоянии этих функций и о том, как попробовать этот API.

Выбрать объявления

Цель: позволить рекламодателям показывать рекламу, релевантную пользователям.

Релевантная реклама более выгодна для пользователей и более выгодна для издателей (людей, управляющих веб-сайтами с рекламной поддержкой). Сторонние инструменты выбора рекламы делают рекламное пространство более ценным для рекламодателей (людей, которые покупают рекламное пространство на веб-сайтах), что, в свою очередь, увеличивает доход веб-сайтов, поддерживаемых рекламой, и позволяет создавать и публиковать контент.

Существует множество способов сделать рекламу актуальной для пользователя, в том числе следующие:

• Собственные данные : показывать рекламу, соответствующую темам, о которых человек рассказал веб-сайту, которые его интересуют, или контенту, который человек просматривал ранее на текущем веб-сайте.
• Контекстный : выберите, где показывать рекламу в зависимости от содержания сайта. Например: «Разместите это объявление рядом со статьями о вязании».
• Ремаркетинг . Размещайте рекламу людям, которые уже посетили ваш сайт, хотя они еще не на нем. Например, «Покажите это объявление о скидке на шерсть людям, которые посетили ваш магазин и оставили товары для вязания в корзине покупок, пока они посещают сайты, посвященные рукоделию».
• На основе интересов : выбирайте рекламу на основе истории посещений пользователя. Например, «Показать это объявление пользователям, чье поведение при просмотре указывает на то, что они могут быть заинтересованы в вязании».

Выбор собственных данных и контекстной рекламы может осуществляться без знания о пользователе чего-либо, кроме его активности на сайте. Эти методы не требуют межсайтового отслеживания.

Ремаркетинг обычно осуществляется с помощью файлов cookie или другого способа распознавания людей на веб-сайтах: добавление пользователей в списки, а затем выбор конкретных объявлений для их показа.

При выборе рекламы на основе интересов в настоящее время используются файлы cookie для отслеживания поведения пользователей на как можно большем количестве сайтов. Многие люди обеспокоены последствиями выбора рекламы для конфиденциальности. Privacy Sandbox предлагает две альтернативы: для ремаркетинга и для выбора на основе интересов:

• FLEDGE : для случаев использования ремаркетинга .
  API разработан таким образом, чтобы третьи стороны не могли использовать его для отслеживания поведения пользователей в Интернете: браузер пользователя, а не рекламодатель или платформа рекламных технологий, хранит определенные рекламодателем группы интересов, с которыми связан браузер пользователя. Браузер пользователя объединяет данные о группах интересов с данными о покупателях/продавцах рекламы и бизнес-логикой для проведения «аукциона» локально на устройстве пользователя для выбора объявления, вместо того, чтобы передавать данные третьей стороне.

• API тем : для аудитории по интересам .
  Включите рекламу на основе интересов, не прибегая к отслеживанию сайтов, которые посещает пользователь. API предлагает использовать машинное обучение для определения тем по именам хостов, а также API JavaScript, который возвращает общие темы, которые могут быть интересны пользователю в данный момент, на основе имен хостов недавно посещенных сайтов.

Борьба со снятием отпечатков пальцев

Цель: сократить объем потенциально идентифицируемых данных, предоставляемых API, и сделать доступ к потенциально идентифицируемым данным контролируемым пользователями и измеримым.

Браузеры предприняли шаги по отказу от использования сторонних файлов cookie , но методы идентификации и отслеживания поведения отдельных пользователей, известные как снятие отпечатков пальцев, продолжают развиваться. При дактилоскопии используются механизмы, о которых пользователи не знают и которые не могут контролировать.

• Предложение по бюджету конфиденциальности направлено на ограничение возможности снятия отпечатков пальцев путем определения того, какой объем данных отпечатков пальцев предоставляется API-интерфейсами JavaScript или другими «поверхностями» (такими как заголовки HTTP-запросов), и установкой ограничения на то, к какой части этих данных можно получить доступ.

• Поверхности для отпечатков пальцев, такие как заголовок User-Agent, будут сокращены в объеме, а данные, предоставляемые с помощью альтернативных механизмов, таких как Client Hints, будут подпадать под ограничения бюджета конфиденциальности. Другие поверхности, такие как ориентация устройства и API -интерфейсы уровня заряда батареи , будут обновлены, чтобы свести к минимуму раскрытие информации.

безопасность IP-адреса

Цель: контролировать доступ к IP-адресам, чтобы уменьшить скрытое снятие отпечатков пальцев, и разрешить сайтам отказываться от просмотра IP-адресов, чтобы не расходовать бюджет конфиденциальности .

IP-адрес пользователя — это общедоступный «адрес» его компьютера в Интернете, который в большинстве случаев динамически назначается сетью, через которую он подключается к Интернету. Однако даже динамические IP-адреса могут оставаться стабильными в течение значительного периода времени. Неудивительно, что это означает, что IP-адреса являются важным источником данных об отпечатках пальцев.

Предложение Gnatcatcher — это попытка обеспечить подход, обеспечивающий сохранение конфиденциальности, позволяющий избежать расходования бюджета на конфиденциальность и в то же время гарантирующий, что сайты, которым требуется доступ к IP-адресам в законных целях, таких как предотвращение злоупотреблений, могут сделать это при условии сертификации и аудита.

Предложение состоит из двух частей: * Умышленная IP-слепота позволяет веб-сайтам сообщать браузерам, что они не связывают IP-адреса с пользователями. * NAT ближнего пути позволяет группам пользователей отправлять свой трафик через один и тот же приватизирующий сервер, эффективно скрывая свои IP-адреса от хоста сайта.

Борьба со спамом, мошенничеством и атаками типа «отказ в обслуживании»

Цель: проверить подлинность пользователя без снятия отпечатков пальцев.

Защита от мошенничества имеет решающее значение для обеспечения безопасности пользователей, а также для обеспечения того, чтобы рекламодатели и владельцы сайтов могли получать точные измерения эффективности рекламы. Рекламодатели и владельцы сайтов должны уметь отличать вредоносных ботов от подлинных пользователей. Если рекламодатели не могут достоверно определить, какие объявления кликнули реальные люди, они тратят меньше, поэтому издатели сайтов получают меньший доход. Многие сторонние сервисы в настоящее время используют такие методы, как снятие отпечатков пальцев устройств, для борьбы с мошенничеством.

К сожалению, методы, используемые для идентификации законных пользователей и блокировки спамеров, мошенников и ботов, работают аналогично методам снятия отпечатков пальцев , которые наносят ущерб конфиденциальности.

• API Trust Tokens предлагает альтернативный подход, позволяющий передавать подлинность, установленную для пользователя в одном контексте, например на сайте социальной сети, в другой контекст, например, рекламу, показываемую на новостном сайте, без идентификации пользователя или привязки две личности.

Разрешить доменам принадлежать одной и той же первой стороне

Цель: позволить организациям заявлять, что связанные доменные имена принадлежат одной и той же первой стороне.

Многие организации владеют сайтами в нескольких доменах. Это может стать проблемой, если будут наложены ограничения на отслеживание личности пользователей на сайтах, которые считаются «сторонними», но на самом деле принадлежат одной и той же организации.

• Целью First Party Sets является более тесное согласование концепции первой и третьей сторон в сети с реальностью, позволяя множеству доменов заявлять о себе как принадлежащих одной и той же первой стороне.

Узнать больше

Объяснения предложений Privacy Sandbox

Инициатива Privacy Sandbox нуждается в вашей поддержке. Объяснителям предложений API нужна обратная связь, в частности, чтобы предложить недостающие варианты использования и более частные способы достижения своих целей.

• Бюджет конфиденциальности
• API токена доверия
• мухолов
• API агрегированной отчетности
• Измерение конверсий
• API тем
• ФЛЕДЖ

Потенциальная модель конфиденциальности для Интернета устанавливает основные принципы, лежащие в основе API.

Песочница конфиденциальности

• Технический обзор: «Песочница конфиденциальности»
• Нетехнический обзор: Privacysandbox.com
• Принципы проекта: создание более приватной сети
• Будущее сторонних файлов cookie

Обсуждение и участие

• Как принять участие в инициативе Privacy Sandbox
• Обновленная информация о ходе реализации инициативы Privacy Sandbox
• Поддержка разработчиков Privacy Sandbox : присоединяйтесь к обсуждениям или задавайте вопросы.

Варианты использования, политики и требования

• Варианты использования рекламы
• Политика Mozilla по борьбе с отслеживанием
• Политика предотвращения отслеживания WebKit
• Сохранение конфиденциальности. Атрибуция кликов по объявлениям в Интернете.
• Смелый бюджет, дактилоскопия и конфиденциальность

Приложение: Словарь терминов, используемых в пояснениях к предложению.

Рейтинг кликов (CTR)

Процент пользователей, которые кликнули по рекламе, увидев ее. (См. также впечатление .)

Конверсия по кликам (CTC)

Конверсия, связанная с объявлением, по которому был сделан клик.

Конверсия

Завершение действия на сайте рекламодателя пользователем, который ранее взаимодействовал с рекламой этого рекламодателя. Например, покупка продукта или подписка на новостную рассылку после нажатия на объявление, ведущее на сайт рекламодателя.

Дифференциальная конфиденциальность

Делитесь информацией о наборе данных, чтобы выявить модели поведения, не раскрывая при этом личную информацию о людях или о том, принадлежат ли они к набору данных.

Домен

См. Домен верхнего уровня и eTLD .

eTLD, eTLD+1

«Эффективные» домены верхнего уровня определяются списком общедоступных суффиксов . Например:

co.uk
appspot.com
glitch.me

Эффективные TLD — это то, что позволяет foo.appspot.com отличаться от bar.appspot.com. Эффективным доменом верхнего уровня ( eTLD ) в данном случае является appspot.com, а все имя сайта (foo.appspot.com, bar.appspot.com) известно как eTLD+1 .

См. также Домен верхнего уровня .

Энтропия

Мера того, насколько элемент данных раскрывает индивидуальную идентичность.

Энтропия данных измеряется в битах. Чем больше данные раскрывают идентичность, тем выше значение их энтропии.

Данные можно объединить для идентификации человека, но может быть сложно определить, увеличивают ли новые данные энтропию. Например, знание того, что человек родом из Австралии, не уменьшает энтропию, если вы уже знаете, что этот человек родом с острова Кенгуру.

Отпечатки пальцев

Методы выявления и отслеживания поведения отдельных пользователей. При дактилоскопии используются механизмы, о которых пользователи не знают и которые не могут контролировать.

Поверхность для отпечатков пальцев

Что-то, что можно использовать (вероятно, в сочетании с другими поверхностями) для идентификации конкретного пользователя или устройства. Например, метод JavaScript navigator.userAgent() и заголовок HTTP-запроса User-Agent предоставляют доступ к поверхности снятия отпечатков пальцев (строке пользовательского агента).

Первая вечеринка

Ресурсы сайта, который вы посещаете. Например, страница, которую вы читаете, находится на сайте web.dev и включает ресурсы этого сайта. См. также Сторонние .

Впечатление

Просмотр объявления. (См. также рейтинг кликов .)

k-анонимность

Мера анонимности в наборе данных. Если у вас k анонимность, вас невозможно отличить от k-1 других людей в наборе данных. Другими словами, k человек (включая вас) имеют одинаковую информацию.

одноразовый

Произвольный номер, используемый один раз только при криптографической связи.

Источник

Источник запроса, включая имя сервера, но без информации о пути. Например: https://web.dev .

Пассивная поверхность

Некоторые поверхности для снятия отпечатков пальцев, такие как строки пользовательского агента, IP-адреса и заголовки принимаемого языка, доступны каждому веб-сайту независимо от того, запрашивает ли сайт их или нет. Это означает, что пассивные поверхности могут легко поглотить бюджет конфиденциальности сайта.

Инициатива Privacy Sandbox предлагает заменить пассивные поверхности активными способами получения конкретной информации, например, используя подсказки клиента один раз, чтобы узнать язык пользователя, вместо использования заголовка Accept-Language для каждого ответа каждому серверу.

Издатель

Объяснения предложений Privacy Sandbox в основном касаются рекламы, поэтому упоминаются те издатели, которые размещают рекламу на своих веб-сайтах.

Достигать

Общее количество людей, увидевших рекламу.

Ремаркетинг

Реклама людям, которые уже посетили ваш сайт. Например, интернет-магазин может показывать рекламу о распродаже игрушек людям, которые ранее просматривали игрушки на их сайте.

Сайт

См. Домен верхнего уровня и eTLD .

Поверхность

См. Поверхность для отпечатков пальцев и Пассивная поверхность .

Третья сторона

Ресурсы обслуживаются из домена, отличного от веб-сайта, который вы посещаете. Например, веб-сайт foo.com может использовать аналитический код с google-analytics.com (через JavaScript), шрифты с use.typekit.net (с помощью элемента ссылки) и видео с vimeo.com (в iframe). См. также Собственный .

Домен верхнего уровня (TLD)

Домены верхнего уровня, такие как .com и .org, перечислены в базе данных корневой зоны .

Обратите внимание, что некоторые «сайты» на самом деле являются просто субдоменами. Например, Translate.google.com и Maps.google.com — это всего лишь субдомены google.com (который является eTLD + 1 ).

.хорошо известный

Может быть полезно получить доступ к политике или другой информации об хосте перед отправкой запроса. Например, файл robots.txt сообщает веб-сканерам, какие страницы следует посещать, а какие игнорировать. IETF RFC8615 описывает стандартизированный способ сделать метаданные всего сайта доступными в стандартных местах подкаталога /.well-known/. Их список можно увидеть на сайте iana.org/assignments/well-known-uris/well-known-uris.xhtml .

Спасибо всем, кто помогал в написании и рецензировании этого поста.

Фото Пьера Бамина на Unsplash .