Analisi approfondita di Privacy Sandbox

Privacy Sandbox è una serie di proposte volte a soddisfare i casi d'uso di terze parti senza cookie o altri meccanismi di monitoraggio di terze parti.

Riepilogo

• Questo post illustra le API e i concetti delle proposte Privacy Sandbox.
• Gli autori delle proposte invitano i feedback della community, in particolare dagli addetti ai lavori (publisher, inserzionisti e società di ad tech), per suggerire casi d'uso mancanti e condividere informazioni su come supportare i casi d'uso aziendali.
• Puoi commentare le proposte presentando problemi nei repository di cui trovi i link di seguito.
• Alla fine di questo post, c'è un glossario relativo alle proposte.

---

Lo stato attuale della privacy sul web

I siti web utilizzano servizi di altre aziende per fornire analisi, pubblicare video e fare molte altre cose utili. La componibilità è uno dei superpoteri del web. In particolare, gli annunci vengono inclusi nelle pagine web tramite JavaScript e iframe di terze parti. Le visualizzazioni degli annunci, i clic e le conversioni vengono monitorati tramite cookie e script di terze parti.

Tuttavia, quando visiti un sito web, potresti non essere a conoscenza delle terze parti coinvolte e del modo in cui utilizzano i tuoi dati. Anche i publisher e gli sviluppatori web potrebbero non comprendere l'intera catena di fornitura di terze parti.

Al momento, la selezione degli annunci, la misurazione delle conversioni e altri casi d'uso si basano sulla definizione di un'identità utente stabile su più siti. In passato questa operazione è stata eseguita con i cookie di terze parti, ma i browser hanno iniziato a limitare l'accesso a questi cookie. C'è stato anche un aumento nell'uso di altri meccanismi per il monitoraggio degli utenti tra siti, come l'archiviazione nascosta del browser, il fingerprinting del dispositivo e le richieste di informazioni personali come gli indirizzi email.

Questo è un dilemma per il web. Come è possibile supportare casi d'uso legittimi di terze parti senza consentire il monitoraggio degli utenti su più siti?

In particolare, come fanno i siti web a finanziare i contenuti consentendo a terze parti di mostrare annunci e misurarne il rendimento, senza consentire la profilazione di singoli utenti? In che modo inserzionisti e proprietari di siti possono valutare l'autenticità di un utente senza ricorrere a modelli scuri come il fingerprinting del dispositivo?

Il funzionamento attuale delle cose può essere problematico per l'intero ecosistema web, non solo per gli utenti. Per publisher e inserzionisti, monitorare l'identità e utilizzare una varietà di soluzioni di terze parti non standard può aumentare il debito tecnico, la complessità del codice e il rischio dei dati. Utenti, sviluppatori, publisher e inserzionisti devono avere la certezza che il web protegga le scelte di privacy degli utenti.

La pubblicità è un modello di business web di base per Internet, ma deve funzionare per tutti. Il che ci porta alla missione di Privacy Sandbox: creare un florido ecosistema web che rispetti gli utenti e la privacy per impostazione predefinita.

Introduzione a Privacy Sandbox

Privacy Sandbox introduce un insieme di API incentrate sulla tutela della privacy per supportare modelli di business che finanziano il web aperto in assenza di meccanismi di monitoraggio come i cookie di terze parti.

Le API Privacy Sandbox richiedono ai browser web di assumere un nuovo ruolo. Anziché utilizzare strumenti e protezioni limitati, le API consentono al browser dell'utente di agire per conto dell'utente, localmente sul suo dispositivo, al fine di proteggere le informazioni identificative dell'utente mentre naviga sul web. Le API consentono casi d'uso come la selezione degli annunci e la misurazione delle conversioni, senza rivelare informazioni private e personali individuali. In termini tecnici, una sandbox è un ambiente protetto. Un principio chiave di Privacy Sandbox è che le informazioni personali di un utente devono essere protette e non condivise in modo da consentire l'identificazione dell'utente su più siti.

Questo è un cambiamento di direzione per i browser. La visione del futuro di Privacy Sandbox prevede browser che forniscono strumenti specifici per soddisfare casi d'uso specifici, tutelando al contempo la privacy degli utenti. Un potenziale modello di privacy per il web definisce i principi fondamentali alla base delle API:

• Per stabilire la gamma di attività web durante le quali il browser dell'utente può consentire ai siti web di considerare una persona come se avesse un'unica identità.
• Identificare i modi in cui le informazioni possono spostarsi oltre i confini dell'identità senza compromettere questa separazione.

Le proposte Privacy Sandbox

Per abbandonare correttamente i cookie di terze parti, l'iniziativa Privacy Sandbox ha bisogno del tuo supporto. Gli esplicativi della proposta hanno bisogno del feedback degli sviluppatori, nonché di publisher, inserzionisti e aziende di tecnologia pubblicitaria, per suggerire casi d'uso mancanti e condividere informazioni su come raggiungere i loro obiettivi nel rispetto della privacy.

Puoi commentare gli elementi esplicativi della proposta presentando problemi relativi a ciascun repository:

• Modello di privacy per il web
  Stabilisci la gamma di attività web attraverso la quale il browser di un utente può consentire ai siti web di trattare una persona come se avesse un'unica identità. Identifica i modi in cui le informazioni possono spostarsi oltre i confini dell'identità senza compromettere questa separazione.
• Budget per la privacy
  Limita la quantità totale di dati potenzialmente identificabili a cui i siti possono accedere. Aggiorna le API per ridurre la quantità di dati potenzialmente identificabili rivelati. Rendere misurabile l'accesso a dati potenzialmente identificabili.
• Gnatcatcher
  Limita la possibilità di identificare singoli utenti tramite l'accesso al loro indirizzo IP.
• API Trust Token
  Abilita un'origine che ritieni attendibile di un utente affinché possa emettere token crittografici archiviati dal browser dell'utente in modo che possano essere utilizzati in altri contesti per valutare l'autenticità dell'utente.
• Insiemi proprietari
  Consenti ai nomi di dominio correlati di proprietà della stessa entità di dichiararsi appartenenti alla stessa parte proprietaria.
• Report aggregati
  Fornisci meccanismi che tutelano la privacy per supportare una serie di casi d'uso, come conversioni view-through, brand, impatto e misurazione della copertura.
• Report sull'attribuzione
  Fornisci misurazioni di clic e visualizzazioni incentrate sulla tutela della privacy con report aggregati e a livello di evento.
• API Topics
  Abilita la pubblicità basata sugli interessi, senza dover ricorrere al monitoraggio dei siti visitati da un utente. Il design dell'API si basa sul feedback della community sulle nostre precedenti prove FLoC e sostituisce la proposta FLoC.
• FLEDGE
  Fornisce una soluzione per i casi d'uso di remarketing, progettata in modo che non possa essere utilizzata da terze parti per monitorare il comportamento di navigazione degli utenti su più siti.

Puoi approfondire subito il testo esplicativo della proposta API e, nei prossimi mesi, pubblicheremo post su ogni proposta singolarmente.

Aggiungeremo anche una nostra playlist di video di cinque minuti che forniscono una semplice spiegazione di ogni API.

Casi d'uso e obiettivi

Misura conversione

Obiettivo: consentire agli inserzionisti di misurare il rendimento degli annunci.

L'API Attribution Reporting consente la misurazione di due eventi collegati tra loro: 1. Un evento sul sito web di un publisher, ad esempio un utente che visualizza o fa clic su un annuncio. 1. Una conversione successiva sul sito di un inserzionista.

Questa API supporta la misurazione click-through e view-through.

Altre funzionalità di questa API includono i report sull'attribuzione cross-device e sull'attribuzione da app a web.

L'API offre inoltre due tipi di report sull'attribuzione:

• I report a livello di evento associano una determinata visualizzazione o clic sull'annuncio (sul lato annuncio) ai dati sul lato conversione. Per tutelare la privacy degli utenti, impedendo l'unione dell'identità utente su più siti, i dati sul lato delle conversioni sono molto limitati e presentano un "noto" (in una piccola percentuale di casi, vengono inviati dati casuali). Come misura di protezione della privacy extra, i report non vengono inviati immediatamente.

• I report aggregati non sono collegati a un evento specifico sul lato annuncio. Questi report forniscono dati sulle conversioni più completi e affidabili rispetto ai report a livello di evento. Una combinazione di tecniche di privacy attraverso crittografia, distribuzione di fiducia e privacy differenziale contribuisce a ridurre il rischio di unione delle identità tra i siti.

Entrambi i tipi di report possono essere utilizzati contemporaneamente e sono complementari.

La sezione Introduzione ai report sull'attribuzione fornisce ulteriori informazioni sullo stato di queste funzionalità e su come provare questa API.

Seleziona annunci

Obiettivo: consentire agli inserzionisti di pubblicare annunci pertinenti per gli utenti.

Gli annunci pertinenti sono più favorevoli per gli utenti e più redditizi per i publisher, ovvero gli utenti che pubblicano siti web con pubblicità. Gli strumenti di selezione degli annunci di terze parti rendono lo spazio pubblicitario più prezioso per gli inserzionisti (le persone che acquistano lo spazio pubblicitario sui siti web), il che a sua volta aumenta le entrate per i siti web con pubblicità e consente la creazione e la pubblicazione di contenuti.

Esistono molti modi per rendere gli annunci pertinenti, tra cui:

• Dati proprietari: mostra annunci pertinenti ad argomenti che l'utente ha segnalato a un sito web di suo interesse o a contenuti che l'utente ha già esaminato in precedenza sul sito web corrente.
• Contestuale: scegli dove pubblicare gli annunci in base ai contenuti del sito. Ad esempio, "Metti questo annuncio accanto ad articoli sul lavoro a maglia".
• Remarketing: mostra annunci a utenti che hanno già visitato il tuo sito, mentre non lo sono. Ad esempio, "Mostra questo annuncio per lana a prezzi scontati agli utenti che hanno visitato il tuo negozio e hanno lasciato articoli per maglia nel carrello degli acquisti, mentre stavano visitando siti di artigianato".
• Basato sugli interessi: seleziona gli annunci in base alla cronologia di navigazione dell'utente. Ad esempio, "Mostra questo annuncio agli utenti il cui comportamento di navigazione indica che potrebbero essere interessati alla lavorazione a maglia".

I dati proprietari e la selezione contestuale degli annunci possono essere ottenuti senza sapere nulla dell'utente oltre alla sua attività all'interno di un sito. Queste tecniche non richiedono il monitoraggio tra siti.

In genere, il remarketing viene eseguito utilizzando i cookie o altri metodi per riconoscere gli utenti sui siti web: aggiungendo gli utenti agli elenchi e selezionando annunci specifici da mostrare loro.

La selezione degli annunci basata sugli interessi attualmente utilizza i cookie per monitorare il comportamento degli utenti sul maggior numero possibile di siti. Molte persone si preoccupano delle implicazioni legate alla privacy relative alla selezione degli annunci. Privacy Sandbox propone due alternative, per il remarketing e per la selezione basata sugli interessi:

• FLEDGE: per i casi d'uso per il remarketing.
  L'API è progettata in modo da non essere utilizzata da terze parti per monitorare il comportamento di navigazione degli utenti: il browser dell'utente, non l'inserzionista o la piattaforma di tecnologia pubblicitaria, memorizza i gruppi di interesse definiti dall'inserzionista a cui è associato il browser dell'utente. Il browser dell'utente combina i dati del gruppo di interesse con i dati di acquirenti e venditori degli annunci e la logica di business per condurre un'"asta" localmente sul dispositivo dell'utente per selezionare un annuncio, anziché condividere i dati con una terza parte.

• API Topics: per i segmenti di pubblico basati sugli interessi.
  Abilitare la pubblicità basata sugli interessi, senza dover ricorrere al monitoraggio dei siti visitati da un utente. L'API propone di utilizzare il machine learning per dedurre gli argomenti dai nomi host e un'API JavaScript che restituisce argomenti generici a cui un utente potrebbe essere attualmente interessato, in base ai nomi host dei siti visitati di recente.

Combattere il fingerprinting

Obiettivo: ridurre la quantità di dati potenzialmente identificabili rivelati dalle API e rendere l'accesso a dati potenzialmente identificabili controllabili dagli utenti e misurabili.

I browser hanno adottato misure per ritirare i cookie di terze parti, ma le tecniche per identificare e monitorare il comportamento dei singoli utenti, note come fingerprinting, hanno continuato a evolversi. Il fingerprinting utilizza meccanismi che gli utenti non sono a conoscenza e non possono controllare.

• La proposta Privacy Budget mira a limitare il potenziale di fingerprinting identificando la quantità di dati relativi alle impronte digitali esposte dalle API JavaScript o da altre "piattaforme" (come le intestazioni delle richieste HTTP) e impostando un limite relativo alla quantità di dati accessibili.

• L'ambito delle piattaforme di fingerprinting, come l'intestazione User-Agent, verrà ridotto e i dati resi disponibili da meccanismi alternativi come Client Hints saranno soggetti a limiti di budget per la privacy. Altre piattaforme, come le API relative all'orientamento del dispositivo e al livello di batteria, verranno aggiornate per ridurre al minimo il numero di informazioni esposte.

Sicurezza degli indirizzi IP

Obiettivo: controlla l'accesso agli indirizzi IP per ridurre il fingerprinting nascosto e consenti ai siti di disattivare la visualizzazione degli indirizzi IP per non consumare il budget per la privacy.

L'indirizzo IP di un utente è l'"indirizzo" pubblico del suo computer su internet, che nella maggior parte dei casi viene assegnato dinamicamente dalla rete attraverso la quale l'utente si connette a internet. Tuttavia, anche gli indirizzi IP dinamici possono rimanere stabili per un periodo di tempo significativo. Non sorprende che ciò significa che gli indirizzi IP sono una fonte significativa di dati relativi alle impronte digitali.

La proposta Gnatcatcher è un tentativo di fornire un approccio che tutela la privacy che eviti di consumare budget per la privacy, garantendo al contempo che i siti che richiedono l'accesso agli indirizzi IP per scopi legittimi come la prevenzione degli abusi possano farlo, soggetto a certificazione e controllo.

La proposta è composta da due parti: * Invisibilità IP volontaria consente ai siti web di informare i browser che non stanno collegando gli indirizzi IP agli utenti. * Near-path NAT consente ai gruppi di utenti di inviare il proprio traffico attraverso lo stesso server di privatizzazione, nascondendo di fatto i loro indirizzi IP all'host di un sito.

Combatti spam, attività fraudolente e attacchi denial-of-service

Obiettivo: verificare l'autenticità dell'utente senza fingerprinting.

La protezione antifrode è fondamentale per garantire la sicurezza degli utenti e per garantire che inserzionisti e proprietari di siti possano ottenere misurazioni accurate del rendimento degli annunci. Gli inserzionisti e i proprietari dei siti devono essere in grado di distinguere tra bot dannosi e utenti autentici. Se gli inserzionisti non sono in grado di stabilire in modo affidabile quali clic sugli annunci provengono da persone reali, spendono meno e, di conseguenza, i publisher dei siti ottengono meno entrate. Molti servizi di terze parti attualmente utilizzano tecniche come il device fingerprinting per contrastare le attività fraudolente.

Purtroppo, le tecniche utilizzate per identificare gli utenti legittimi e bloccare spammer, truffatori e bot funzionano in modo simile alle tecniche di fingerprinting che danneggiano la privacy.

• L'API Trust Tokens propone un approccio alternativo, consentendo di trasmettere l'autenticità di un utente in un contesto, ad esempio un sito di social media, in un altro contesto, ad esempio un annuncio pubblicato su un sito di notizie, senza identificare l'utente o collegare le due identità.

Consenti ai domini di appartenere alla stessa parte proprietaria

Obiettivo: consentire alle entità di dichiarare che i nomi di dominio correlati sono di proprietà della stessa parte proprietaria.

Molte organizzazioni possiedono siti in più domini. Questo può rappresentare un problema se vengono imposte restrizioni al monitoraggio dell'identità degli utenti su siti considerati "di terze parti", ma che in realtà appartengono alla stessa organizzazione.

• Gli insiemi proprietari mirano a rendere il concetto del web di prima e terze parti più in linea con quello del mondo reale consentendo a più domini di dichiararsi appartenenti alla stessa parte proprietaria.

Scopri di più

Spiegazioni della proposta Privacy Sandbox

L'iniziativa Privacy Sandbox ha bisogno del tuo supporto. Le spiegazioni della proposta API hanno bisogno di feedback, in particolare per suggerire casi d'uso mancanti e metodi più privati per raggiungere i loro obiettivi.

• Budget per la privacy
• API Trust Token
• Tacchino
• API di reporting aggregato
• Misurazione delle conversioni
• API Topics
• FLEDGE

Un potenziale modello di privacy per il web definisce i principi alla base delle API.

Privacy Sandbox

• Panoramica tecnica: Privacy Sandbox
• Panoramica non tecnica: privacysandbox.com
• Principi del progetto: Costruire un web più privato
• Il futuro dei cookie di terze parti

Discussione e partecipazione

• Come partecipare all'iniziativa Privacy Sandbox
• Aggiornamento dei progressi nell'ambito dell'iniziativa Privacy Sandbox
• Assistenza per gli sviluppatori di Privacy Sandbox: partecipa alle discussioni o poni domande.

Casi d'uso, norme e requisiti

• Casi d'uso in ambito pubblicitario
• Norme anti-monitoraggio di Mozilla
• Norme sulla prevenzione del monitoraggio di WebKit
• Attribuzione dei clic sugli annunci per il web
• Budget per coraggio, fingerprinting e privacy

---

Appendice: glossario dei termini utilizzati nelle spiegazioni della proposta

Percentuale di clic (CTR)

Il rapporto tra utenti che hanno fatto clic su un annuncio dopo averlo visto. Vedi anche impression.

Conversione clickthrough (CTC)

Una conversione attribuita a un annuncio su cui è stato fatto clic.

Conversione

Il completamento di un'azione sul sito web di un inserzionista da parte di un utente che ha precedentemente interagito con un annuncio di tale inserzionista. Ad esempio, l'acquisto di un prodotto o l'iscrizione a una newsletter dopo aver fatto clic su un annuncio che rimanda al sito dell'inserzionista.

Privacy differenziale

Condividere informazioni su un set di dati per rivelare modelli di comportamento senza rivelare informazioni private sui singoli individui o senza indicare se appartengono al set di dati.

Dominio

Vedi Dominio di primo livello ed eTLD.

eTLD, eTLD+1

I domini di primo livello "efficaci" sono definiti dall'elenco di suffissi pubblici. Ad esempio:

co.uk
appspot.com
glitch.me

I domini di primo livello effettivi sono ciò che consente a foo.appspot.com di essere un sito diverso da bar.appspot.com. Il dominio di primo livello effettivo (eTLD) in questo caso è appspot.com, mentre il nome completo del sito (foo.appspot.com, bar.appspot.com) è noto come eTLD+1.

Vedi anche Dominio di primo livello.

Entropia

Una misura di quanto un dato rivela l'identità individuale.

L'entropia dei dati viene misurata in bit. Più i dati rivelano l'identità, maggiore è il suo valore di entropia.

I dati possono essere combinati per identificare un individuo, ma può essere difficile capire se nuovi dati aggiungono all'entropia. Ad esempio, sapere che una persona proviene dall'Australia non riduce l'entropia se sai già che la persona proviene dall'isola dei canguri.

Impronta

Tecniche per identificare e monitorare il comportamento dei singoli utenti. Il fingerprinting utilizza meccanismi che gli utenti non sono a conoscenza e non possono controllare. Siti quali Panopticlick e amiunique.org mostrano in che modo i dati relativi alle impronte possono essere combinati per identificarti come privato.

Superficie di impronta

Elemento che può essere utilizzato (probabilmente in combinazione con altre piattaforme) per identificare un particolare utente o dispositivo. Ad esempio, il metodo JavaScript navigator.userAgent() e l'intestazione della richiesta HTTP User-Agent forniscono l'accesso a una piattaforma di fingerprinting (la stringa dello user agent).

Proprietaria

Risorse dal sito che stai visitando. Ad esempio, la pagina che stai leggendo si trova sul sito web.dev e include risorse di quel sito. Vedi anche Terze parti.

Impressione

Visualizzazione di un annuncio. Vedi anche percentuale di clic.

k-anonymity

Una misura dell'anonimato all'interno di un set di dati. Se hai l'anonimato k, non puoi distinguerti da altre k-1 persone nel set di dati. In altre parole, k persone hanno le stesse informazioni (incluso te).

Nonce

Numero arbitrario utilizzato una sola volta nella comunicazione crittografica.

Origin

L'origine di una richiesta, incluso il nome del server ma nessuna informazione sul percorso. Ad esempio: https://web.dev.

Superficie passiva

Alcune piattaforme di fingerprinting, come le stringhe dello user agent, gli indirizzi IP e le intestazioni in lingua Accetta, sono disponibili per ogni sito web indipendentemente dal fatto che il sito le chieda o meno. Ciò significa che le piattaforme passive possono consumare facilmente il budget per la privacy di un sito.

L'iniziativa Privacy Sandbox propone di sostituire le piattaforme passive con metodi attivi per ottenere informazioni specifiche, ad esempio utilizzando i suggerimenti client una sola volta per ottenere la lingua dell'utente, invece di avere un'intestazione in lingua accetta per ogni risposta a ogni server.

Publisher

Le spiegazioni della proposta di Privacy Sandbox riguardano principalmente gli annunci, quindi i tipi di publisher a cui si fa riferimento sono quelli che pubblicano gli annunci sui propri siti web.

Copertura

Il numero totale di persone che vedono un annuncio.

Remarketing

Proporre pubblicità destinate a utenti che hanno già visitato il tuo sito. Ad esempio, un negozio online potrebbe mostrare gli annunci di una vendita di giocattoli agli utenti che in precedenza li hanno visualizzati sul suo sito.

Sito

Vedi Dominio di primo livello ed eTLD.

Piattaforma

Visita le pagine Superficie per il fingerprinting e Superficie passiva.

Di terze parti

Risorse pubblicate da un dominio diverso da quello del sito web che stai visitando. Ad esempio, un sito web foo.com potrebbe utilizzare il codice di analisi di google-analytics.com (tramite JavaScript), i caratteri di use.typekit.net (tramite un elemento link) e un video da vimeo.com (in un iframe). Vedi anche Proprietario.

Dominio di primo livello (TLD)

I domini di primo livello come .com e .org sono elencati nel Root Zone Database.

Tieni presente che alcuni "siti" sono in realtà solo sottodomini. Ad esempio, Traduttore.google.com e map.google.com sono solo sottodomini di google.com (che corrisponde a eTLD + 1).

.well-known

Potrebbe essere utile accedere al criterio o ad altre informazioni su un host prima di effettuare una richiesta. Ad esempio, il file robots.txt indica ai web crawler quali pagine visitare e quali ignorare. Lo standard IETF RFC8615 illustra un modo standardizzato per rendere accessibili i metadati a livello di sito in posizioni standard in una sottodirectory /.well-known/. Puoi trovare un elenco di questi valori all'indirizzo iana.org/assignments/well-known-uris/well-known-uris.xhtml.

---

Grazie a tutte le persone che hanno contribuito a scrivere e recensire questo post.

Foto di Pierre Bamin su Unsplash.