Detalhes sobre o Sandbox de privacidade

O Sandbox de privacidade é uma série de propostas para atender a casos de uso de terceiros sem cookies de terceiros ou outros mecanismos de rastreamento.

Resumo

• Nesta postagem, descrevemos as APIs e os conceitos das propostas do Sandbox de privacidade.
• Os autores da proposta estão convidando o feedback da comunidade, principalmente das áreas de publicidade (editores, anunciantes e empresas de adtech), para sugerir casos de uso ausentes e compartilhar informações sobre como oferecer suporte aos seus casos de uso comerciais.
• Você pode comentar as propostas preenchendo os problemas nos repositórios nos links abaixo.
• Há um glossário das propostas no final desta postagem.

---

O estado atual da privacidade na Web

Os sites usam serviços de outras empresas para fornecer análises, exibir vídeos e fazer muitas outras coisas úteis. A composição é um dos superpoderes da Web. Mais especificamente, os anúncios são incluídos em páginas da Web por meio de JavaScript e iframes de terceiros. As visualizações, os cliques e as conversões de anúncios são acompanhados por cookies e scripts de terceiros.

No entanto, ao visitar um site, talvez você não esteja ciente dos terceiros envolvidos e do que eles estão fazendo com seus dados. Mesmo editores e desenvolvedores Web podem não entender toda a cadeia de suprimentos de terceiros.

A seleção de anúncios, a medição de conversões e outros casos de uso dependem do estabelecimento de uma identidade do usuário estável em vários sites. Historicamente, isso é feito com cookies de terceiros, mas os navegadores começaram a restringir o acesso a esses cookies. Houve também um aumento no uso de outros mecanismos para rastreamento de usuários entre sites, como armazenamento oculto no navegador, técnicas de impressão digital de dispositivos e solicitações de informações pessoais, como endereços de e-mail.

Esse é um dilema para a Web. Como casos de uso legítimos de terceiros podem ser atendidos sem permitir que os usuários sejam rastreados em sites?

Em particular, como os sites podem financiar o conteúdo permitindo que terceiros mostrem anúncios e meçam a performance deles, mas sem permitir que usuários individuais tenham perfis? Como os anunciantes e proprietários de sites podem avaliar a autenticidade de um usuário sem recorrer a padrões escuros, como técnicas de impressão digital do dispositivo?

A maneira como as coisas funcionam no momento pode ser problemática para todo o ecossistema da Web, não apenas para os usuários. Para editores e anunciantes, rastrear a identidade e usar uma variedade de soluções de terceiros não padrão pode aumentar a dívida técnica, a complexidade do código e os riscos dos dados. Os usuários, desenvolvedores, editores e anunciantes precisam saber que a Web protege as escolhas de privacidade dos usuários.

A publicidade é um dos principais modelos de negócios da Web, mas a publicidade precisa funcionar para todos. Isso nos leva à missão do Sandbox de privacidade: criar um ecossistema da Web próspero que respeite os usuários e seja particular por padrão.

Conheça o Sandbox de privacidade

O Sandbox de privacidade apresenta um conjunto de APIs que preservam a privacidade para oferecer suporte a modelos de negócios que financiam a Web aberta na ausência de mecanismos de rastreamento, como cookies de terceiros.

As APIs do Sandbox de privacidade exigem que os navegadores da Web assumam uma nova função. Em vez de trabalhar com ferramentas e proteções limitadas, as APIs permitem que o navegador do usuário aja em nome dele (localmente ou no dispositivo) para proteger as informações de identificação enquanto ele navega na Web. As APIs permitem casos de uso como seleção de anúncios e medição de conversões, sem revelar informações pessoais e particulares. Em termos de engenharia, um sandbox é um ambiente protegido. Um princípio fundamental do Sandbox de privacidade é que as informações pessoais dos usuários devem ser protegidas e não compartilhadas de modo a permitir que o usuário seja identificado em vários sites.

Essa é uma mudança na maneira como os navegadores funcionam. Como o Sandbox de privacidade visa o futuro, os navegadores oferecem ferramentas específicas para atender a casos de uso específicos e, ao mesmo tempo, preservar a privacidade do usuário. Um possível modelo de privacidade para a Web (em inglês) define os princípios básicos por trás das APIs:

• Para estabelecer o intervalo da atividade da Web na qual o navegador do usuário pode permitir que os sites tratem uma pessoa como tendo uma única identidade.
• Para identificar como as informações podem se mover pelas fronteiras da identidade sem comprometer essa separação.

As propostas do Sandbox de privacidade

Para deixar de usar cookies de terceiros, a iniciativa Sandbox de privacidade precisa da sua ajuda. As explicações da proposta precisam de feedback de desenvolvedores, editores, anunciantes e empresas de tecnologia de publicidade para sugerir casos de uso ausentes e compartilhar informações sobre como atingir as metas com proteção da privacidade.

Você pode comentar nas explicações da proposta, registrando os problemas em cada repositório:

• Modelo de privacidade para a Web
  Estabeleça a faixa de atividade da Web na qual o navegador do usuário pode permitir que os sites tratem uma pessoa como tendo uma única identidade. Identifique como as informações podem se mover pelas fronteiras da identidade sem comprometer essa separação.
• Orçamento de privacidade
  Limite a quantidade total de dados potencialmente identificáveis que os sites podem acessar. Atualize as APIs para reduzir a quantidade de dados possivelmente identificáveis que foram revelados. Torna mensurável o acesso a dados potencialmente identificáveis.
• Gnatcatcher (link em inglês)
  Limitar a capacidade de identificar usuários individuais acessando seus endereços IP.
• API Trust Token
  Ative uma origem que confia em um usuário para emitir tokens criptográficos armazenados pelo navegador do usuário para que possam ser usadas em outros contextos para avaliar a autenticidade do usuário.
• Conjuntos primários
  Permite que nomes de domínio relacionados da mesma entidade se declarem como pertencentes à mesma entidade.
• Relatórios agregados
  Fornecer mecanismos de preservação de privacidade para oferecer suporte a vários casos de uso, como conversão de visualização, marca, Lift e medição de alcance.
• API Attribution Reporting
  Disponibilize medições de cliques e visualizações que preservam a privacidade com relatórios agregados e no nível do evento.
• API Topics
  Ativar a publicidade com base em interesses sem precisar rastrear os sites que o usuário visita. O design da API foi baseado no feedback da comunidade dos testes anteriores do FLoC e substitui a proposta do FLoC.
• FLEDGE
  Fornece uma solução para casos de uso de remarketing, projetada para que não possa ser usada por terceiros para rastrear o comportamento de navegação do usuário em sites.

Você pode se aprofundar nas explicações das propostas de API imediatamente. Nos próximos meses, publicaremos postagens sobre cada proposta individualmente.

Além disso, adicionaremos vídeos de cinco minutos à nossa lista de reprodução que apresentam uma explicação simples de cada API.

Casos de uso e metas

Medir a conversão

Meta:permitir que os anunciantes meçam a performance dos anúncios.

A API Attribution Reporting permite a medição de dois eventos que estão vinculados: 1: É um evento no site de um editor, como a visualização ou o clique de um usuário em um anúncio. 1. Uma conversão subsequente no site de um anunciante.

Essa API é compatível com a medição de cliques e visualizações.

Outros recursos dessa API incluem relatórios de atribuição entre dispositivos e relatórios de atribuição de app para Web.

A API também oferece dois tipos de relatórios de atribuição:

• Os relatórios de eventos associam um determinado clique ou visualização (no lado do anúncio) a dados no lado da conversão. Para preservar a privacidade do usuário, ao impedir a combinação da identidade do usuário em vários sites, os dados da conversão são muito limitados e recebem ruídos (ou seja, em uma pequena porcentagem de casos, são enviados dados aleatórios). Como proteção extra de privacidade, os relatórios não são enviados imediatamente.

• Os relatórios agregados não são vinculados a um evento específico no lado do anúncio. Esses relatórios fornecem dados de conversão mais ricos e de maior fidelidade do que os relatórios de evento. Uma combinação de técnicas de privacidade em criptografia, distribuição de confiança e privacidade diferencial ajuda a reduzir o risco de mesclagem de identidade entre sites.

Os dois tipos de relatório podem ser usados simultaneamente: eles são complementares.

Introdução à API Attribution Reporting explica mais sobre o status desses recursos e como testar essa API.

Selecionar anúncios

Meta:permitir que os anunciantes exibam anúncios relevantes para os usuários.

Anúncios relevantes são mais favoráveis para os usuários e mais lucrativos para os editores (as pessoas que veiculam sites com anúncios). Ferramentas de seleção de anúncios de terceiros tornam o espaço publicitário mais valioso para os anunciantes (as pessoas que compram espaço publicitário em sites), o que, por sua vez, aumenta a receita de sites com suporte a anúncios e permite que o conteúdo seja criado e publicado.

Há muitas maneiras de tornar os anúncios relevantes para o usuário, incluindo:

• Dados próprios: mostre anúncios relevantes para tópicos que uma pessoa informou a um site no qual tem interesse ou conteúdo que ela visualizou anteriormente no site atual.
• Contextual: escolha onde você quer exibir os anúncios com base no conteúdo do site. Por exemplo, "Coloque este anúncio ao lado de artigos sobre tricô".
• Remarketing: anunciar para pessoas que já visitaram seu site quando elas não estão nele. Por exemplo, "Mostre este anúncio de lã com desconto para pessoas que visitaram sua loja e deixaram itens de tricô no carrinho de compras enquanto elas visitam sites de artesanato".
• Com base em interesses: selecione anúncios com base no histórico de navegação do usuário. Por exemplo, "Exibir este anúncio para usuários cujo comportamento de navegação indica que eles podem ter interesse em tricô".

A seleção de anúncios contextuais e de dados próprios pode ser feita sem saber nada sobre o usuário além da atividade dele no site. Essas técnicas não exigem rastreamento entre sites.

O remarketing geralmente é feito com o uso de cookies ou de alguma outra forma de reconhecer pessoas em sites: adicionar usuários a listas e selecionar anúncios específicos para exibi-los.

Atualmente, a seleção de anúncios com base em interesses usa cookies para rastrear o comportamento do usuário no maior número possível de sites. Muitas pessoas estão preocupadas com as implicações de privacidade da seleção de anúncios. O Sandbox de privacidade propõe duas alternativas, para remarketing e seleção com base em interesses:

• FLEDGE: para casos de uso de remarketing.
  A API foi projetada para que não possa ser usada por terceiros para rastrear o comportamento de navegação do usuário: o navegador do usuário, não o anunciante ou a plataforma de adtech, armazena grupos de interesse definidos pelo anunciante aos quais o navegador do usuário está associado. O navegador do usuário combina os dados do grupo de interesse com os dados do comprador/vendedor de anúncios e a lógica de negócios para conduzir um "leilão". localmente no dispositivo do usuário para selecionar um anúncio, em vez de compartilhar dados com terceiros.

• API Topics: para públicos-alvo com base em interesses.
  Ativar a publicidade com base em interesses sem precisar rastrear os sites que o usuário visita. A API propõe o uso de machine learning para inferir temas de nomes de host e uma API JavaScript que retorna temas gerais nos quais um usuário pode estar interessado no momento, com base nos nomes do host dos sites visitados recentemente.

Combater técnicas de impressão digital

Objetivo:reduzir a quantidade de dados potencialmente identificáveis revelados pelas APIs e tornar o acesso a dados potencialmente identificáveis controlável pelos usuários e mensurável.

Os navegadores tomaram medidas para descontinuar o uso de cookies de terceiros, mas as técnicas para identificar e rastrear o comportamento de usuários individuais, conhecidas como técnicas de impressão digital, continuaram a evoluir. As técnicas de impressão digital usam mecanismos que os usuários não conhecem e não podem controlar.

• A proposta de Orçamento de privacidade tem como objetivo limitar o potencial de técnicas de impressão digital identificando quantos dados de impressão digital são expostos pelas APIs JavaScript ou outras "plataformas" (como cabeçalhos de solicitação HTTP) e definir um limite para a quantidade desses dados que pode ser acessada.

• O escopo das plataformas de impressão digital, como o cabeçalho User-Agent, será reduzido, e os dados disponibilizados por mecanismos alternativos, como as dicas do cliente, estarão sujeitos aos limites do orçamento de privacidade. Outras plataformas, como as APIs de orientação do dispositivo e nível da bateria, serão atualizadas para manter o mínimo de exposição das informações.

Segurança do endereço IP

Objetivo:controlar o acesso a endereços IP para reduzir as técnicas de impressão digital ocultas e permitir que os sites desativem a visualização de endereços IP para não consumir o orçamento de privacidade.

O endereço IP de um usuário é o "endereço" público do computador na Internet, que, na maioria dos casos, é atribuído dinamicamente pela rede de conexão. No entanto, mesmo endereços IP dinâmicos podem permanecer estáveis por um período significativo. Como seria de se esperar, isso significa que os endereços IP são uma fonte significativa de dados de impressões digitais.

A proposta Gnatcatcher é uma tentativa de fornecer uma abordagem de preservação da privacidade que não consuma esse orçamento e garanta que os sites exigir acesso a endereços IP para fins legítimos, como prevenção de abuso, pode fazer isso, sujeito certificação e auditoria.

A proposta tem duas partes: * Blindagem de IP intencional oferece aos sites uma forma de informar aos navegadores que não estão conectando endereços IP aos usuários. * A NAT próxima permite grupos de usuários para enviarem seu tráfego pelo mesmo servidor que privatiza, ocultando efetivamente seus endereços IP de um host de site.

Combata spam, fraude e ataques de negação de serviço

Meta: verificar a autenticidade do usuário sem usar técnicas de impressão digital.

A proteção antifraude é essencial para manter os usuários seguros e garantir que anunciantes e proprietários de sites recebam medições precisas de performance de anúncios. Anunciantes e proprietários de sites devem ser capazes de distinguir entre bots maliciosos e usuários autênticos. Se os anunciantes não puderem determinar com segurança quais cliques são provenientes de pessoas reais, eles gastarão menos, e os editores de sites receberão menos receita. Atualmente, muitos serviços de terceiros usam técnicas como a impressão digital de dispositivos para combater fraudes.

Infelizmente, as técnicas usadas para identificar usuários legítimos e bloquear criadores de spam, fraudadores e bots funcionam de maneira semelhante às técnicas de impressão digital que prejudicam a privacidade.

• A API Trust Tokens propõe uma abordagem alternativa, que permite que a autenticidade estabelecida para um usuário em um contexto, como um site de mídia social, seja transmitida para outro contexto, como um anúncio veiculado em um site de notícias, sem identificar o usuário nem vincular as duas identidades.

Permitir que os domínios pertençam ao mesmo domínio

Meta:permitir que as entidades declarem que os nomes de domínio relacionados pertencem aos mesmos nomes.

Muitas organizações têm sites em múltiplos domínios. Isso pode se tornar um problema se forem impostas restrições ao rastreamento da identidade do usuário em sites considerados de "terceiros" mas que pertençam à mesma organização.

• O objetivo dos conjuntos primários é tornar o conceito da Web de primários e terceiros mais alinhado com o do mundo real, permitindo que vários domínios se declarem como pertencentes à mesma entidade.

Saiba mais

Explicações sobre a proposta do Sandbox de privacidade

A iniciativa do Sandbox de privacidade precisa do seu apoio. As explicações da proposta de API precisam de feedback, principalmente para sugerir casos de uso ausentes e maneiras mais particulares de atingir as metas.

• Orçamento de privacidade
• API Trust Token
• Gnatcatcher (link em inglês)
• API Aggregated Reporting
• Medição de conversões
• API Topics
• FLEDGE

Um possível modelo de privacidade para a Web (em inglês) define os princípios básicos das APIs.

Sandbox de privacidade

• Visão geral técnica: Sandbox de privacidade
• Visão geral não técnica: privacysandbox.com
• Princípios de projeto: Como criar uma Web com mais privacidade
• O futuro dos cookies de terceiros

Discussão e participação

• Como participar da iniciativa do Sandbox de privacidade
• Atualização sobre o progresso da iniciativa do Sandbox de privacidade
• Suporte ao desenvolvedor do Sandbox de privacidade: participe de discussões ou faça perguntas.

Casos de uso, políticas e requisitos

• Casos de uso de publicidade
• Política antirastreamento da Mozilla
• Política de prevenção contra rastreamento do WebKit
• Atribuição de cliques no anúncio para a Web que preserva a privacidade
• Brave, Impressão digital e Orçamentos de privacidade

---

Apêndice: glossário de termos usados nas explicações da proposta

Taxa de cliques (CTR)

A proporção de usuários que clicaram em um anúncio e que o viram. Veja também impressão.

Conversão de clique (CTC)

Uma conversão atribuída a um anúncio que foi "clicado".

Conversão

A conclusão de uma ação no site de um anunciante por um usuário que já interagiu com um anúncio desse anunciante. Por exemplo, a compra de um produto ou a inscrição em um boletim informativo depois de clicar em um anúncio que direciona para o site do anunciante.

Privacidade diferencial

Compartilhar informações sobre um conjunto de dados para revelar padrões de comportamento sem revelar informações particulares sobre indivíduos ou se elas pertencem ao conjunto de dados.

Domínio

Consulte Domínio de nível superior e eTLD.

eTLD, eTLD+1

"Efetivo" domínios de nível superior são definidos pela lista de sufixos públicos. Exemplo:

co.uk
appspot.com
glitch.me

TLDs efetivos são o que permite que foo.appspot.com seja um site diferente de bar.appspot.com. Nesse caso, o domínio de nível superior efetivo (eTLD) é appspot.com, e o nome inteiro do site (foo.appspot.com, bar.appspot.com) é conhecido como eTLD+1.

Consulte também Domínio de nível superior.

Entropia

Uma medida de quanto um item de dados revela a identidade individual.

A entropia de dados é medida em bits. Quanto mais os dados revelarem uma identidade, maior será seu valor de entropia.

Os dados podem ser combinados para identificar um indivíduo, mas pode ser difícil descobrir se novos dados contribuem para a entropia. Por exemplo, saber que uma pessoa é da Austrália não reduz a entropia se você já sabe que a pessoa é da Ilha Kangaroo.

Impressão digital

técnicas para identificar e acompanhar o comportamento de usuários individuais. As técnicas de impressão digital usam mecanismos que os usuários não conhecem e não podem controlar.

Superfície de impressão digital

Algo que pode ser usado (provavelmente em combinação com outras plataformas) para identificar um usuário ou dispositivo específico. Por exemplo, o método JavaScript navigator.userAgent() e o cabeçalho de solicitação HTTP User-Agent fornecem acesso a uma superfície de impressão digital (a string do user agent).

Integração própria

Recursos do site que você está visitando. Por exemplo, a página que você está lendo está no site web.dev e inclui recursos desse site. Consulte também Terceiros.

Impressão

Visualização de um anúncio. Consulte também Taxa de cliques.

k-anonimato

Uma medida de anonimato dentro de um conjunto de dados. Se você tiver k de anonimato, não será possível fazer distinção entre k-1 e outros indivíduos no conjunto de dados. Em outras palavras, k indivíduos têm as mesmas informações, incluindo você.

Valor de uso único

Número arbitrário usado apenas uma vez na comunicação criptográfica.

Origem

A origem de uma solicitação, incluindo o nome do servidor, mas nenhuma informação de caminho. Por exemplo, https://web.dev.

Superfície passiva

Algumas plataformas de impressão digital, como strings do user agent, endereços IP e cabeçalhos de idiomas aceitos, estão disponíveis para todos os sites, independentemente de serem solicitados ou não. Isso significa que as plataformas passivas podem consumir facilmente a cota de privacidade de um site.

A iniciativa do Sandbox de privacidade propõe a substituição de plataformas passivas por formas ativas de conseguir informações específicas. Por exemplo, usar dicas do cliente uma única vez para identificar o idioma do usuário, em vez de ter um cabeçalho Accept-language para cada resposta a todos os servidores.

Editor

As explicações da proposta do Sandbox de privacidade são principalmente sobre anúncios, então os tipos de editores mencionados são aqueles que veiculam publicidade nos sites.

Alcance

O número total de pessoas que veem um anúncio.

Remarketing

Direcionar a publicidade a pessoas que já visitaram seu site. Por exemplo, uma loja on-line pode exibir anúncios de uma venda de brinquedos para pessoas que já visualizaram brinquedos no site.

Site

Consulte Domínio de nível superior e eTLD.

Superfície

Consulte Superfície de impressão digital e Superfície passiva.

Terceiros

Recursos veiculados de um domínio diferente do site que você está visitando. Por exemplo, um site foo.com pode usar código analítico de google-analytics.com (via JavaScript), fontes de use.typekit.net (por meio de um elemento de link) e um vídeo de vimeo.com (em um iframe). Consulte também Próprios.

Domínio de nível superior (TLD)

Os domínios de nível superior, como .com e .org, estão listados no Banco de dados da zona raiz.

Alguns "sites" são apenas subdomínios. Por exemplo, translate.google.com e maps.google.com são apenas subdomínios de google.com (que é o eTLD + 1).

.well-known

Pode ser útil acessar a política ou outras informações sobre um host antes de fazer uma solicitação. Por exemplo, o robots.txt informa aos rastreadores da Web quais páginas visitar e quais ignorar. O IETF RFC8615 (em inglês) descreve uma maneira padronizada de tornar os metadados de todo o site acessíveis em locais padrão em um subdiretório /.well-known/. Acesse uma lista deles em iana.org/assignments/well-known-uris/well-known-uris.xhtml.

---

Agradecemos a todos que ajudaram a escrever e analisar esta postagem.

Foto de Pierre Bamin no Unsplash.