Google возобновляет работу по уменьшению детализации информации, представленной в строках пользовательского агента в своем браузере Chrome, как он заявил сегодня, продолжая усилия, которые он приостановил в прошлом году, в первые дни пандемии COVID-19, когда он сказал он хотел избежать чрезмерного бремени миграции на веб-экосистему в разгар чрезвычайной ситуации в области общественного здравоохранения.
Возобновление перехода имеет последствия для веб-разработчиков, поскольку изменения в строках пользовательского агента могут нарушить некоторую существующую инфраструктуру без обновлений кода. Хотя Google опубликовал довольно щедрую шкалу времени проведения тестов происхождения, и в своем сообщении в блоге подчеркивается, что «Никакие изменения строки User-Agent не поступят в стабильный канал Chrome в 2021 году«. Так что изменения, безусловно, появятся не раньше 2022 года.
Шаг, связанный с разработкой движка Chromium, по сокращению строк пользовательского агента, чтобы уменьшить их способность использоваться для отслеживания пользователей, связан с всеобъемлющим планом Google Privacy Sandbox – он же пакет предложений, который он объявил в 2019 году – когда он сказал это. хотел развить веб-архитектуру, разработав набор открытых стандартов для «фундаментального повышения» конфиденциальности в Интернете.
Частично этот шаг к более частному использованию Chromium по умолчанию заключается в прекращении поддержки сторонних файлов cookie для отслеживания. Другая часть – это предлагаемая Google технологическая альтернатива для таргетинга рекламы на устройствах когорт пользователей (также известных как FLoC).
Очистка уязвимых областей поверхности, таких как строки пользовательского агента, считываемые отпечатками пальцев, является еще одним компонентом, и его следует понимать как часть более широкой «гигиенической» инициативы, необходимой для достижения целей Privacy Sandbox.
Тем не менее, последнее по-прежнему требует значительных усилий по переворачиванию танкеров.
И хотя были некоторые предположения, что Google может быть готов выпустить Privacy Sandbox в начале 2022 года, учитывая сроки, которые он допускает для исходных тестов изменений в строках пользовательского агента – семиэтапное развертывание с двумя исходными испытаниями продолжительностью не менее шести месяцев. за штуку – маловероятно. (По крайней мере, не для отправки всех составных частей песочницы.)
Действительно, еще в 2019 году Google был уверен, что изменения, которые он имел в виду, не произойдут в одночасье, заявив тогда: «Это будет многолетний путь». Хотя в январе 2020 года казалось, что он набрал хотя бы часть графика, заявив, что он хочет поэтапно отказаться от поддержки сторонних файлов cookie в течение двух лет.
Тем не менее, Google не может реально снизить ценность файлов cookie для отслеживания без внесения изменений в стандарты браузеров, которые необходимы для предоставления издателям и рекламодателям альтернативных средств таргетинга, измерения и предотвращения мошенничества. Таким образом, любая задержка с элементами песочницы конфиденциальности может повлиять на ее «двухлетний» срок до прекращения поддержки сторонних файлов cookie. (И 2022 год вполне может стать самым ранним сроком, когда может произойти сдвиг.)
Здесь происходит что-то напористое, поскольку усилия Google по переоснащению веб-инфраструктуры – и, в частности, по изменению того, как веб-пользователи и их действия могут и не могут отслеживаться, – имеют огромные последствия для многих других веб-пользователей; в первую очередь игроки и издатели рекламных технологий, чьи компании глубоко интегрированы в эту сеть отслеживания.
Неудивительно, что он столкнулся с серьезным сопротивлением со стороны этих секторов.
Его план по прекращению поддержки сторонних файлов cookie для отслеживания также находится под пристальным вниманием регулирующих органов в Европе, где рекламодатели жаловались, что блокирование доступа третьих сторон к пользовательским данным является антиконкурентным шагом, продолжая при этом помогать себе в огромном количестве основных пользовательских данных ( учитывая доминирование ключевых интернет-сервисов). Таким образом, в зависимости от того, как регулирующие органы реагируют на проблемы экосистемы, Google также может не иметь возможности полностью контролировать сроки.
Тем не менее, с точки зрения конфиденциальности, Chrome, связывающий строки пользовательского агента, является долгожданным – если и назревшим – шагом.
Действительно, в сообщении в блоге Google отмечается, что это отставание по сравнению с аналогичными усилиями, уже предпринятыми веб-движками, лежащими в основе Appleбраузер Safari и Firefox от Mozilla.
«Как отмечено в объяснении подсказок клиента пользовательского агента, строка пользовательского агента представляет проблемы по двум причинам. Во-первых, он пассивно предоставляет довольно много информации о браузере для каждого HTTP-запроса, который может быть использован для снятия отпечатков пальцев », – пишет Google, конкретизируя свою рациональность в отношении изменений. «Во-вторых, с годами он стал длиннее и сложнее, а также способствует подверженному ошибкам синтаксическому анализу строк. Мы считаем, что API подсказок клиента агента пользователя решает обе эти проблемы более удобным для разработчика и пользователя способом ».
Комментируя разработку, Д-р Лукаш Олейник, независимый консультант и исследователь безопасности и конфиденциальности, который консультировал W3C по технической архитектуре и стандартам, описывает входящие изменения как «значительное улучшение конфиденциальности».
«Изменение пользовательского агента снизит энтропию и, следовательно, уменьшит идентифицируемость», – сказал он TechCrunch. «Я считаю это значительным улучшением конфиденциальности, потому что одновременное рассмотрение IP-адреса и строки UA очень важно. UA не совсем упрощены в Firefox / Safari в том смысле, в котором это предлагает Chrome ».
В сообщении блога Google отмечается, что его план UA был «разработан с учетом обратной совместимости », и призван успокоить разработчиков, добавив, что:« Хотя любыми изменениями в строке User Agent нужно управлять осторожно, мы ожидаем минимальных трений для разработчиков по мере развертывания этого (т. е. существующие парсеры должны продолжать работать должным образом).
«Если ваш сайт, служба, библиотека или приложение полагаются на определенные биты информации, присутствующие в строке пользовательского агента, например Дополнительная версия Chrome, Номер версии ОС, или же Модель устройства Android, вам нужно будет начать миграцию, чтобы вместо этого использовать API клиентских подсказок пользовательского агента », – продолжает он. «Если вам ничего из этого не требуется, то никаких изменений не требуется, и все должно работать так, как есть на сегодняшний день».
Несмотря на заверения Google, Олейник предположил, что некоторые веб-разработчики все еще могут быть пойманы на прыжке – если они не обратят внимание на разработку и не внесут необходимые обновления в свой код вовремя.
«Веб-разработчики могут быть обеспокоены тем, что некоторые библиотеки или серверные системы зависят от строгой строки UA, существующей в настоящее время», – отметил он, добавив: «Все может перестать работать, как предполагалось. Это может быть внезапная и неожиданная поломка. Но реальное воздействие в масштабе непредсказуемо ».