原标题:W3C技术架构组抨击谷歌将多个域名视为同一来源的建议 来源:cnBeta.COM
谷歌提出的一项建议使网络浏览器能够出于隐私和安全的考虑,将一组域名视为一个整体,这遭到了W3C技术架构小组(TAG)的反对。谷歌的 "第一方集"(FPS)涉及到网络浏览器确定一个cookie或其他资源是来自用户浏览的同一网站还是来自其他网站的方式。浏览器很可能会对这些要素进行不同的处理,一个明显的例子就是阻止第三方cookie的计划。
了解更多:
https://github.com/privacycg/first-party-sets
该提案建议,在同一实体拥有多个域名的地方--比如google.com、google.co.uk和youtube.com--它们可以被归为一组,"允许相关域名声明自己是同一个第一方"。
这个想法允许网站通过在已知位置的manifest来声明自己的集合。它还指出,"浏览器厂商可以维护一个符合其UA(用户代理)政策的域名列表,并将其运到浏览器中"。
2019年2月,谷歌软件工程师迈克-韦斯特(Mike West)要求对TAG进行审查,并在昨天公布了该提案的反馈意见。文件中说:"它已经被TAG审查过,并代表了一个共识的观点"。
根据TAG的说法,尽管网络技术发生了重大变化,但在过去10年中,"起源的架构板块一直保持相对稳定"。它补充说:"我们担心这个建议削弱了起源的概念,而没有考虑到这一行动的全部影响。" 该小组指出了提案中的一些模糊之处,例如FPS是否适用于访问麦克风和摄像头等权限。
谷歌Chrome浏览器的一位工程经理曾表示。"我们并不建议改变权限范围。目前FPS的范围只是作为浏览器实施跨站追踪限制的隐私边界来对待。" 但TAG估计,FPS的确切范围应该在提案中列出。
第二个关注点是对浏览器厂商将可自行运送名单的建议。"这可能会导致更多的应用开发者瞄准特定的浏览器,并编写只适用于(或仅限于)这些浏览器的网络应用,这不是一个理想的结果,"TAG说。
默认值具有强大的效果,很容易想象,例如,谷歌在发售其主导市场的Chrome浏览器时,其列表中说youtube.com和google.co.uk从隐私的角度来看是同一个网站,而用户可能想区分它们,但可能不知道如何改变设置甚至或是意识到这一点。"第一方集可能会让用户代理或浏览器为了这些网站或cookie发行者(如广告商)的利益而批准网站作为一个集,而不是为了用户的利益,"TAG说。
在谷歌单独提出 "隐私沙盒 "的背景下,TAG对FPS尤为关注。因为FPS试图重新定义什么是第三方cookie,这让 "隐私沙盒的功效 "受到质疑。从谷歌的角度来看,FPS被列为隐私沙盒技术的构件之一。
该组织还反对FPS "为网络增加一个复杂的配置层"的方式,并指出 "其他实施者的强烈反对",包括Mozilla和苹果。例如,苹果的WebKit负责人Maciej Stachowiak就担心 "第一方的说法不诚信",并补充道:如何防止实际并非由同一方拥有和控制的域名做出相关的声明?例如,一个广告网络可以让其顶级发布商加入一个协会,以重新获得一定程度的跟踪权力。
TAG总结道:"我们认为第一方集的提议对网络的现有形式有害......这个提议破坏了原点的概念,我们认为原点是网络架构的基础承重因素。"
该评论补充道:"这个提案很可能只有利于强大的、同时控制一个实现和服务的大型实体。"最后,TAG警告了对 "依赖于第一方集"的新功能的请求,指出其中一个这样的功能SameParty Cookie已经提交审查。
这个审查中有一些强硬的字眼,而且值得注意的是,TAG成员包括Web的发明者Tim Berners-Lee,万维网络的发明者。
谷歌已经在当前版本的Chrome 89中实现了First Party Sets和SameParty cookies,在Chrome 89中,它们被列为 "起源试验",以 "允许开发者试用新功能并给予反馈"。该选项默认是关闭的,但开发者可以在注册后为特定网站启用,也可以由用户在Chrome设置中启用。
