Analisi approfondita di Privacy Sandbox

Privacy Sandbox è una serie di proposte per soddisfare casi d'uso di terze parti senza cookie di terze parti o altri meccanismi di monitoraggio.

Riepilogo

• Questo post illustra le API e i concetti delle proposte di Privacy Sandbox.
• Gli autori della proposta invitano la community, in particolare quella degli spazi pubblicitari (publisher, inserzionisti e aziende di ad tech), a suggerire casi d'uso mancanti e condividere informazioni su come supportare i casi d'uso aziendali.
• Puoi commentare le proposte presentando i problemi nei repository di cui trovi i link di seguito.
• Alla fine di questo post troverai un glossario per le proposte.

---

Lo stato attuale della privacy sul web

I siti web utilizzano servizi di altre aziende per fornire dati e analisi, pubblicare video e svolgere molte altre attività utili. La componibilità è uno dei superpoteri del web. In particolare, gli annunci sono inclusi nelle pagine web tramite JavaScript e iframe di terze parti. Le visualizzazioni degli annunci, i clic e le conversioni vengono monitorati tramite cookie e script di terze parti.

Tuttavia, quando visiti un sito web, potresti non essere a conoscenza delle terze parti coinvolte e di come utilizzano i tuoi dati. Anche i publisher e gli sviluppatori web potrebbero non comprendere l'intera catena di fornitura di terze parti.

La selezione degli annunci, la misurazione delle conversioni e altri casi d'uso attualmente si basano sulla creazione di un'identità utente stabile tra siti. In passato, questo avviene utilizzando i cookie di terze parti, ma i browser hanno iniziato a limitare l'accesso a questi cookie. Si è inoltre aumentato l'uso di altri meccanismi per il monitoraggio degli utenti su più siti, come l'archiviazione nascosta del browser, il fingerprinting dei dispositivi e le richieste di informazioni personali come gli indirizzi email.

Questo è un dilemma per il web. Come è possibile supportare i casi d'uso legittimi di terze parti senza consentire il monitoraggio degli utenti tra i siti?

Nello specifico, in che modo i siti web possono finanziare i contenuti consentendo a terze parti di pubblicare annunci e misurare il rendimento degli annunci, ma non consentendo la profilazione di singoli utenti? In che modo gli inserzionisti e i proprietari di siti possono valutare l'autenticità di un utente senza ricorrere a schemi scuri come il fingerprinting del dispositivo?

Il modo in cui le cose funzionano al momento può essere problematico per l'intero ecosistema web, non solo per gli utenti. Per publisher e inserzionisti, il monitoraggio dell'identità e l'utilizzo di una serie di soluzioni di terze parti non standard possono aumentare il debito tecnico, la complessità del codice e il rischio relativo ai dati. Utenti, sviluppatori, publisher e inserzionisti devono avere la certezza che il web protegge le scelte della privacy degli utenti.

La pubblicità è un modello di business web fondamentale per internet, ma deve funzionare per tutti. Il che ci porta alla missione di Privacy Sandbox: creare un florido ecosistema web che, per impostazione predefinita, rispetti gli utenti e la privacy.

Presentazione di Privacy Sandbox

Privacy Sandbox introduce una serie di API incentrate sulla tutela della privacy per supportare modelli di business che finanziano il web aperto in assenza di meccanismi di monitoraggio come i cookie di terze parti.

Le API Privacy Sandbox richiedono ai browser web di assumere un nuovo ruolo. Invece di lavorare con strumenti e protezioni limitati, le API consentono al browser dell'utente di agire per suo conto, localmente sul dispositivo, per proteggere le informazioni identificative dell'utente durante la navigazione sul web. Le API consentono casi d'uso come la selezione degli annunci e la misurazione delle conversioni, senza rivelare informazioni private e personali individuali. In termini di ingegneria, una sandbox è un ambiente protetto; Uno dei principi chiave di Privacy Sandbox è che le informazioni personali di un utente devono essere protette e non condivise in modo da consentire l'identificazione dell'utente tra i diversi siti.

È un cambiamento radicale per i browser. La visione del futuro di Privacy Sandbox prevede che i browser forniscano strumenti specifici per soddisfare casi d'uso specifici, tutelando la privacy degli utenti. A Potential Privacy Model for the Web (Un potenziale modello di privacy per il web) definisce i principi fondamentali delle API:

• Per stabilire l'intervallo di attività web attraverso cui il browser di un utente può consentire ai siti web di considerare una persona come un'unica identità.
• Per identificare i modi in cui le informazioni possono muoversi oltre i confini dell'identità senza compromettere questa separazione.

Le proposte di Privacy Sandbox

Per poter abbandonare i cookie di terze parti, l'iniziativa Privacy Sandbox ha bisogno del tuo supporto. Gli spiegatori della proposta hanno bisogno del feedback di sviluppatori, publisher, inserzionisti e società di tecnologia pubblicitaria per suggerire casi d'uso mancanti e condividere informazioni su come raggiungere i loro obiettivi nel rispetto della privacy.

Puoi commentare le spiegazioni delle proposte presentando problemi relativi a ciascun repository:

• Modello di privacy per il web
  Definisci l'intervallo di attività web attraverso cui il browser di un utente può consentire ai siti web di considerare una persona come un'unica identità. Identificare i modi in cui le informazioni possono muoversi oltre i confini dell'identità senza compromettere questa separazione.
• Budget per la privacy
  Limita il numero totale di dati potenzialmente identificabili a cui i siti possono accedere. Aggiorna le API per ridurre la quantità di dati potenzialmente identificabili rivelati. Rendi misurabile l'accesso a dati potenzialmente identificabili.
• Gnat-Acchiappa
  Limita la possibilità di identificare singoli utenti accedendo al loro indirizzo IP.
• API Trust Token
  Attiva un'origine che si affida a un utente per inviare token crittografici memorizzati dal browser dell'utente in modo da poterli utilizzare in altri contesti per valutare l'autenticità dell'utente.
• Insiemi proprietari
  Consentire ai nomi di dominio correlati di proprietà della stessa entità di dichiararsi appartenenti alla stessa parte proprietaria.
• Report aggregati
  Fornire meccanismi che tutelano la privacy per supportare una varietà di casi d'uso come la misurazione delle conversioni view-through, del brand, dell'impatto e della copertura.
• Report sull'attribuzione
  Fornisci una misurazione dei clic e delle visualizzazioni incentrata sulla tutela della privacy con report aggregati e a livello di evento.
• API Topics
  Abilitare la pubblicità basata sugli interessi, senza dover ricorrere al monitoraggio dei siti visitati da un utente. La progettazione dell'API si basa sul feedback della community derivante dalle nostre precedenti prove FLoC e sostituisce la proposta FLoC.
• FLEDGE
  Offre una soluzione per i casi d'uso di remarketing, progettata in modo che non possa essere utilizzata da terze parti per monitorare il comportamento di navigazione degli utenti su più siti.

Puoi approfondire subito i contenuti esplicativi sulle proposte dell'API. Nei prossimi mesi pubblicheremo post relativi a ogni singola proposta.

Aggiungeremo anche una playlist di video di cinque minuti che forniscono una semplice spiegazione di ciascuna API.

Casi d'uso e obiettivi

Misura conversione

Obiettivo:consentire agli inserzionisti di misurare il rendimento degli annunci.

L'API Attribution Reporting consente la misurazione di due eventi collegati tra loro: 1. Un evento sul sito web di un publisher, ad esempio un utente che visualizza o fa clic su un annuncio. 1. Una conversione successiva sul sito di un inserzionista.

Questa API supporta la misurazione click-through e view-through.

Altre funzionalità di questa API includono i report sull'attribuzione cross-device e sull'attribuzione da app a web.

L'API offre inoltre due tipi di report sull'attribuzione:

• I report a livello di evento associano un determinato clic sull'annuncio o una determinata visualizzazione (sul lato annuncio) ai dati sul lato conversione. Per tutelare la privacy degli utenti, impedendo l'unione dell'identità utente tra più siti, i dati sul lato conversione sono molto limitati e presentano "rumore" (ossia, per una piccola percentuale di casi, vengono inviati dati casuali). Come ulteriore protezione della privacy, le segnalazioni non vengono inviate immediatamente.

• I report aggregati non sono legati a un evento specifico sul lato annuncio. Questi report forniscono dati sulle conversioni più completi e affidabili rispetto ai report a livello di evento. Una combinazione di tecniche di privacy per la crittografia, la distribuzione dell'attendibilità e la privacy differenziale contribuisce a ridurre il rischio di unione delle identità tra i siti.

Entrambi i tipi di report possono essere utilizzati contemporaneamente: sono complementari.

Introduzione ad Attribution Reporting spiega di più sullo stato di queste funzionalità e su come provare questa API.

Seleziona annunci

Obiettivo: consentire agli inserzionisti di pubblicare annunci pertinenti per gli utenti.

Gli annunci pertinenti sono più favorevoli per gli utenti e più redditizi per i publisher, ovvero gli utenti che pubblicano siti web con pubblicità. Gli strumenti di selezione degli annunci di terze parti rendono lo spazio pubblicitario più prezioso per gli inserzionisti (gli utenti che acquistano spazio pubblicitario sui siti web), il che a sua volta aumenta le entrate per i siti web con pubblicità e consente la creazione e la pubblicazione di contenuti.

Esistono molti modi per rendere gli annunci pertinenti per l'utente, tra cui:

• Dati proprietari: mostra annunci pertinenti ad argomenti che una persona ha raccontato a un sito web a cui è interessato o a contenuti che ha visto in precedenza sul sito web corrente.
• Contestuale: scegli dove mostrare gli annunci in base ai contenuti del sito. Ad esempio, "Inserisci questo annuncio accanto agli articoli sul lavoro a maglia".
• Remarketing: mostra annunci a utenti che hanno già visitato il tuo sito, ma non lo sono. Ad esempio, "Mostra questo annuncio per lana scontata agli utenti che hanno visitato il tuo negozio e lasciato articoli a maglia nel carrello degli acquisti, mentre si recano nei siti di bricolage".
• Basato sugli interessi: seleziona gli annunci in base alla cronologia di navigazione dell'utente. Ad esempio, "Mostra questo annuncio a utenti il cui comportamento di navigazione indica che potrebbero essere interessati al lavoro a maglia".

La selezione contestuale degli annunci e dei dati proprietari può essere ottenuta senza conoscere l'utente, a parte la sua attività all'interno di un sito. Queste tecniche non richiedono il monitoraggio tra siti.

In genere, il remarketing viene eseguito utilizzando i cookie o un altro metodo per riconoscere gli utenti sui siti web, ad esempio aggiungendo gli utenti agli elenchi e selezionando quindi annunci specifici da mostrare.

La selezione degli annunci basata sugli interessi attualmente utilizza i cookie per monitorare il comportamento degli utenti sul maggior numero possibile di siti. Molte persone sono preoccupate delle implicazioni della selezione degli annunci sulla privacy. Privacy Sandbox propone due alternative, per il remarketing e per la selezione basata sugli interessi:

• FLEDGE: per i casi d'uso per il remarketing.
  L'API è progettata in modo da non poter essere utilizzata da terze parti per monitorare il comportamento di navigazione degli utenti: il browser dell'utente, non l'inserzionista o la piattaforma di tecnologia pubblicitaria, memorizza i gruppi basati sugli interessi definiti dall'inserzionista a cui è associato il browser dell'utente. Il browser dell'utente combina i dati dei gruppi di interesse con i dati degli acquirenti/del venditore degli annunci e la logica di business per condurre un'"asta". a livello locale sul dispositivo dell'utente per selezionare un annuncio, anziché condividere i dati con una terza parte.

• API Topics: per i segmenti di pubblico basati sugli interessi.
  Abilitare la pubblicità basata sugli interessi, senza dover ricorrere al monitoraggio dei siti visitati da un utente. L'API propone di utilizzare il machine learning per dedurre gli argomenti dai nomi host e un'API JavaScript che restituisce argomenti generici che potrebbero interessare al momento un utente, in base ai nomi host dei siti visitati di recente.

Combattere il fingerprinting

Obiettivo:ridurre la quantità di dati potenzialmente identificabili rivelati dalle API e rendere l'accesso a dati potenzialmente identificabili controllabile e misurabile dagli utenti.

I browser hanno adottato misure per ritirare i cookie di terze parti, ma le tecniche per identificare e monitorare il comportamento dei singoli utenti, note come fingerprinting, hanno continuato a evolversi. Il fingerprinting utilizza meccanismi che gli utenti non sono a conoscenza e che non possono controllare.

• La proposta relativa al budget per la privacy mira a limitare il potenziale di fingerprinting identificando la quantità di dati relativi alle impronte esposti dalle API JavaScript o da altre "piattaforme". (come le intestazioni delle richieste HTTP) e l'impostazione di un limite per la quantità di dati accessibili.

• Le piattaforme di fingerprinting, come l'intestazione User-Agent, avranno un ambito ridotto e i dati resi disponibili da meccanismi alternativi come i Client Hints saranno soggetti a limiti di budget per la privacy. Altre piattaforme, come le API per l'orientamento del dispositivo e il livello della batteria, verranno aggiornate per mantenere al minimo le informazioni esposte.

Sicurezza dell'indirizzo IP

Obiettivo:controllare l'accesso agli indirizzi IP per ridurre il fingerprinting nascosto e consentire ai siti di disattivare la visualizzazione degli indirizzi IP per non consumare il budget di privacy.

L'indirizzo IP di un utente è l'"indirizzo" pubblico del proprio computer su internet, che nella maggior parte dei casi viene assegnato dinamicamente dalla rete attraverso la quale si connettono a Internet. Tuttavia, anche gli indirizzi IP dinamici possono rimanere stabili per un periodo di tempo significativo. Ciò significa che gli indirizzi IP sono una fonte significativa di dati di fingerprint.

La proposta Gnatcatcher è un tentativo di fornire una un approccio incentrato sulla tutela della privacy che evita di consumare budget dedicato alla privacy, garantendo al contempo che i siti richiedere l'accesso a indirizzi IP per scopi legittimi, come la prevenzione di abusi, può farlo, sempre alla certificazione e all'audit.

La proposta è composta da due parti: * Invisibilità degli IP volontari consente ai siti web di informare i browser che non si connettono gli indirizzi IP agli utenti. * Near-path NAT consente a gruppi di utenti di inviare il proprio traffico attraverso lo stesso server di privatizzazione, nascondendo di fatto gli indirizzi IP di un host del sito.

Combatti gli attacchi spam, frodi e denial of service

Obiettivo:verificare l'autenticità dell'utente senza il fingerprinting.

La protezione antifrode è fondamentale per garantire la sicurezza degli utenti e garantire che gli inserzionisti e i proprietari di siti possano ottenere misurazioni accurate del rendimento degli annunci. Gli inserzionisti e i proprietari dei siti devono essere in grado di distinguere tra bot dannosi e utenti autentici. Se gli inserzionisti non sono in grado di determinare con certezza quali clic sugli annunci provengono da persone reali, spendono meno e i publisher dei siti otterranno meno entrate. Molti servizi di terze parti al momento utilizzano tecniche quali il fingerprint dei dispositivi per contrastare le attività fraudolente.

Purtroppo, le tecniche utilizzate per identificare gli utenti legittimi e bloccare spammer, truffatori e bot funzionano in modo simile alle tecniche di fingerprinting che danneggiano la privacy.

• L'API Trust Tokens propone un approccio alternativo, consentendo di trasmettere l'autenticità di un utente in un contesto, ad esempio un sito di social media, a un altro contesto, come un annuncio pubblicato su un sito di notizie, senza identificare l'utente o collegare le due identità.

Consenti ai domini di appartenere alla stessa parte proprietaria

Obiettivo:attivare le entità per dichiarare che i nomi di dominio correlati sono di proprietà della stessa parte proprietaria.

Molte organizzazioni possiedono siti su più domini. Questo può diventare un problema se vengono imposte restrizioni sul monitoraggio dell'identità utente tra siti considerati di "terze parti" ma che appartengono effettivamente alla stessa organizzazione.

• Gli insiemi proprietari mirano a rendere il concetto di prima parte e di terze parti presente sul web maggiormente in linea con quello del mondo reale consentendo a più domini di dichiararsi appartenenti alla stessa parte proprietaria.

Scopri di più

Spiegazioni della proposta di Privacy Sandbox

L'iniziativa Privacy Sandbox ha bisogno del tuo supporto. Gli espertori della proposta per l'API hanno bisogno di un feedback, in particolare per suggerire casi d'uso mancanti e modi più privati per raggiungere i propri obiettivi.

• Budget per la privacy
• API Trust Token
• Gnat-Acchiappa
• API di Aggregated Reporting
• Misurazione delle conversioni
• API Topics
• FLEDGE

A Potential Privacy Model for the Web (Un potenziale modello di privacy per il web) definisce i principi fondamentali alla base delle API.

Privacy Sandbox

• Panoramica tecnica: Privacy Sandbox
• Panoramica non tecnica: privacysandbox.com
• Principi del progetto: Creare un web più privato
• Il futuro dei cookie di terze parti

Discussione e partecipazione

• Come partecipare all'iniziativa Privacy Sandbox
• Aggiornamento dei progressi relativi all'iniziativa Privacy Sandbox
• Assistenza per gli sviluppatori di Privacy Sandbox: partecipa alle discussioni o fai domande.

Casi d'uso, norme e requisiti

• Casi d'uso della pubblicità
• Norme anti-tracciamento di Mozilla
• Norme relative alla prevenzione del monitoraggio di WebKit
• Attribuzione dei clic sugli annunci incentrata sulla tutela della privacy per il web
• Budget brave, fingerprinting e privacy

---

Appendice: Glossario dei termini utilizzati nelle spiegazioni delle proposte

Percentuale di clic (CTR)

Il rapporto tra utenti che fanno clic su un annuncio dopo averlo visto. Vedi anche impressione.

Conversione clickthrough (CTC)

Una conversione attribuita a un annuncio su cui è stato fatto clic.

Conversione

Completamento di un'azione sul sito web di un inserzionista da parte di un utente che ha precedentemente interagito con l'annuncio di quell'inserzionista. Ad esempio, l'acquisto di un prodotto o l'iscrizione a una newsletter dopo aver fatto clic su un annuncio che rimanda al sito dell'inserzionista.

Privacy differenziale

Condividere informazioni su un set di dati per rivelare i modelli di comportamento senza rivelare informazioni private sugli individui o se appartengono al set di dati.

Dominio

Vedi Dominio di primo livello ed eTLD.

eTLD, eTLD+1

"Effective" domini di primo livello sono definiti dall'elenco dei suffissi pubblici. Ad esempio:

co.uk
appspot.com
glitch.me

I domini di primo livello efficaci sono ciò che consente a foo.appspot.com di essere un sito diverso da bar.appspot.com. L'effettivo dominio di primo livello (eTLD) in questo caso è appspot.com, e l'intero nome del sito (foo.appspot.com, bar.appspot.com) è noto come eTLD+1.

Vedi anche Dominio di primo livello.

Entropia

Una misura di quanto un dato rivela l'identità individuale.

L'entropia dei dati si misura in bit. Più i dati rivelano l'identità, maggiore è il suo valore di entropia.

I dati possono essere combinati per identificare un individuo, ma può essere difficile capire se nuovi dati si aggiungono all'entropia. Ad esempio, sapere che una persona proviene dall'Australia non riduce l'entropia se sai già che questa persona proviene dall'Isola dei Canguri.

Fingerprint

Tecniche per identificare e monitorare il comportamento dei singoli utenti. Il fingerprinting utilizza meccanismi che gli utenti non sono a conoscenza e che non possono controllare.

Impronta digitale

Qualcosa che può essere utilizzato (probabilmente in combinazione con altre piattaforme) per identificare un determinato utente o dispositivo. Ad esempio, il metodo JavaScript navigator.userAgent() e l'intestazione della richiesta HTTP User-Agent forniscono l'accesso a una piattaforma di fingerprinting (la stringa dello user agent).

Proprietaria

Risorse dal sito che stai visitando. Ad esempio, la pagina che stai leggendo si trova sul sito web.dev e include risorse di quel sito. Vedi anche Terze parti.

Impressione

Visualizzazione di un annuncio. Vedi anche Percentuale di clic.

k-anonymity

Una misura dell'anonimato all'interno di un set di dati. Se disponi di k anonimato, non puoi distinguerti dalle altre k-1 persone nel set di dati. In altre parole, k persone hanno le stesse informazioni (incluso te).

Nonce

Numero arbitrario utilizzato una sola volta nella comunicazione crittografica.

Origine

L'origine di una richiesta, incluso il nome del server, ma nessuna informazione sul percorso. Ad esempio: https://web.dev.

Superficie passiva

Alcune piattaforme di fingerprinting, come stringhe dello user agent, indirizzi IP e intestazioni in modalità di accettazione, sono disponibili per ogni sito web, indipendentemente dal fatto che vengano richiesti o meno dal sito. Ciò significa che le piattaforme attive possono consumare facilmente il budget destinato alla privacy di un sito.

L'iniziativa Privacy Sandbox propone di sostituire le piattaforme passive con metodi attivi per ottenere informazioni specifiche, ad esempio utilizzando i client hint una sola volta per ottenere la lingua dell'utente anziché avere un'intestazione "accetta lingua" per ogni risposta a ciascun server.

Publisher

Le spiegazioni delle proposte di Privacy Sandbox riguardano principalmente gli annunci, quindi i tipi di publisher a cui si fa riferimento sono quelli che pubblicano annunci sui loro siti web.

Copertura

Il numero totale di persone che vedono un annuncio.

Remarketing

Proporre pubblicità destinate a utenti che hanno già visitato il tuo sito. Ad esempio, un negozio online potrebbe mostrare annunci per la vendita di giocattoli agli utenti che in precedenza hanno visualizzato giocattoli sul suo sito.

Sito

Vedi Dominio di primo livello ed eTLD.

Piattaforma

Consulta le sezioni Superficie per l'impronta digitale e Superficie passiva.

Di terze parti

Risorse gestite da un dominio diverso dal sito web che stai visitando. Ad esempio, un sito web foo.com potrebbe utilizzare il codice di analisi di google-analytics.com (tramite JavaScript), caratteri di use.typekit.net (tramite un elemento link) e un video di vimeo.com (in un iframe). Vedi anche Proprietario.

Dominio di primo livello (TLD)

I domini di primo livello come .com e .org sono elencati nel Root Zone Database.

Tieni presente che alcuni "siti" sono in realtà solo sottodomini. Ad esempio, translate.google.com e maps.google.com sono solo sottodomini di google.com (ovvero eTLD + 1).

.well-known

Può essere utile accedere ai criteri o ad altre informazioni relative a un host prima di effettuare una richiesta. Ad esempio, il file robots.txt indica ai web crawler quali pagine visitare e quali ignorare. IETF RFC8615 illustra un modo standardizzato per rendere accessibili i metadati a livello di sito in posizioni standard in una sottodirectory /.well-known/. Puoi consultare un elenco di questi alla pagina iana.org/assignments/well-known-uris/well-known-uris.xhtml.

---

Grazie a tutti coloro che hanno contribuito a scrivere e recensire questo post.

Foto di Pierre Bamin su Unsplash.