谷歌隐私沙盒是一系列提案的总称，旨在满足不使用第三方cookie或其他跟踪机制的跨站点的用例。它由不同技术方案所组成的隐私保护能力，覆盖Web端和移动端两大应用场景，对应到Google的产品就是Chrome和Android。目前，Google已收集到了30多份想法与提案，有一些已经在开发测试中了。本文将深入解析隐私沙盒的关键提案，包括First-Party Sets、Shared Storage、CHIPS、SameSite cookies、Storage Partitioning、Fenced Frames等。

🔍 谷歌隐私沙盒是一系列旨在无需第三方cookie或其他跟踪机制即可满足跨站点用例的提案总称，由不同技术方案组成的隐私保护能力，覆盖Web端和移动端。

🌐 隐私沙盒的关键提案包括First-Party Sets、Shared Storage、CHIPS、SameSite cookies、Storage Partitioning、Fenced Frames等，旨在加强跨站隐私边界，限制第三方服务设置cookie的读取范围，并通过分区技术提高安全性和隐私性。

📈 隐私沙盒的提案还包括Topics API和FLEDGE，旨在启用基于兴趣的广告和服务再营销，同时防止第三方使用它们来跟踪用户跨站点的浏览行为。

📊 隐私沙盒还提出了Core Attribution Reporting、User-Agent Client Hints、DNS-over-HTTPS、Gnatcatcher、Privacy Budget等提案，旨在衡量数字化广告效果，防止秘密追踪，并探索量化网站可用的有关用户浏览器或设备的信息量的方法。

🛡️ 隐私沙盒的最终目标是保护用户隐私，同时为广告商和出版商提供一种可持续的解决方案，以减少对第三方cookie的依赖。

韭菜永不黄 2022-08-05 21:16 北京

很久没更新这个公众号了，来一发

很久没更新这个公众号了，表面原因是最近半年工作内容发生了变化，沉迷于跟上新的工作节奏，而忘却了维护。实际上还是懒。

前两天老板让看看Google的Privacy Sandbox是个啥，大概整理了一下，放在这里。

一、Privacy Sandbox是一系列隐私提案(proposals)的总称

Google的官方网站说隐私沙盒（Privacy Sandbox）是一系列提案，用来满足不使用第三方cookie或其他跟踪机制的跨站点的用例（The Privacy Sandbox is a series of proposals to satisfy cross-site use cases without third-party cookies or other tracking mechanisms.）

https://developer.chrome.com/en/docs/privacy-sandbox/overview/

仔细阅读Google文档发现，这个所谓的「沙盒」并不真的是一个沙盒，而是由不同技术方案所组成的隐私保护能力。

这个能力会覆盖Web端和移动端两大应用场景，对应到Google的产品就是Chrome和Android。

目前，Google已收集到了30多份想法与提案（ideas and proposals）

(https://github.com/w3c/web-advertising#ideas-and-proposals-links-outside-this-repo），有一些已经在开发测试中了。

我们可以在Chrome浏览器的设置中（chrome://settings/privacySandbox）找到还在实验状态的隐私沙盒，可惜中国大陆地区不在FLoC这个proposal的试用地区范围，暂时无法实际测试。

另外，Android端的技术落地也还在开发中，根据路线图显示（https://developer.android.google.cn/design-for-safety/privacy-sandbox），2022年底才会发布Beta版的SDK运行时和隐私保护API。

二、Google应该是“被迫”发起这个项目

为什么会有隐私沙盒？一切都是从对第三方 Cookie 的声讨开始的。

Cookie 本身没什么问题。它是一段存储在本地的数据，一般用来保存用户的信息，比如你的登录状态。这样一段时间之内你重新上网站，网站服务器读你电脑上存的 Cookie，「喔，这人登录过这个账号的」，啪一下就让你浏览了，省得重复登录带来麻烦。但因为存了个人信息，Cookie 也可以拿来分析你做过什么，比如网站服务器那边就可以知道，「登录了这个账号的这个特定的人，在我的网站上看了 AB 和 C」。

如果是你访问的网站看到这些内容，其实也并无大碍，因为你自己点进去的，人家也是为了提供更好的服务。但如果访问这个网站，你的数据被另一个网站拿走，问题就变成了「我只跟 A 站说我喜欢番茄，结果 B 站也知道了」。如果 B 是个广告平台，问题就会变成「我跟 A 站说我喜欢番茄，CDEFGHI 开始每天催我买打折番茄」。侵犯隐私的边界是模糊的，因为它需要用户本人感知得到，但广告平台这么弄了好多年，论谁都感知得到了，甚至还进一步催生出了「手机窃听」「电脑偷窥」等等阴谋论出来。一件提供便利的事儿，生生被用成了恐怖故事。

用户骂浏览器，浏览器也烦，「管不了了，那给关了得了。」

在 2018 年 10 月，Mozilla 宣布 Enhanced Tracking Protection (ETP) 将在 Firefox 中实装。ETP 会自动屏蔽网页中的第三方 Cookie 追踪器，在严格模式下，ETP 会进一步屏蔽所有第三方 Cookie，这一功能在实装一年后，也就是 2019 年 9 月转为默认开启。另一边，Apple 早在 2017 年就确定了自己的隐私策略，在 WebKit 下推出了 Intelligent Tracking Prevention (ITP)，并在未来的几年中不断升级，于 2020 年完全禁用了第三方 Cookie。

很难说 Google 开发隐私沙盒的决定和这两者的隐私策略无关。尽管 Chrome 的市场占有率仍然是毋庸置疑的第一，Safari 加上 Firefox 带来的压迫感还是不容小觑。毕竟 Google 在《构建更私密的网络》（https://www.blog.google/products/chrome/building-a-more-private-web/）一文中开头就说了：「在我们从事的一切事务中，隐私永远是重中之重。」当竞争对手纷纷选择更加严格的隐私限制时，Chrome 必然需要带来一些改变。

问题在于，Google 不仅是浏览器的开发者，还拥有互联网世界中最大的广告平台。在 2021 年，广告相关业务为 Alphabet 带来的收益高达 2094.9 亿美元，而 Google Ad 及相关产品选用的跟踪方法就是 Cookie，业务网页中也有大量与 Cookie 具体使用相关的介绍。

Google 自然不可能像 Apple 和 Mozilla 一样，把第三方 Cookie 说砍就砍，要不然对不起自己这每年占了 80% 比重的营收来源。但 Safari、Firefox 和诸如 Brave 等其他浏览器已经将「注重隐私」当成了宣传板，概念深入用户内心，Chrome 不作回应并不合适；但如果要回应，它就需要同时拿出一套方案，让用户开心的同时安抚住广告商和出版商，至少把对赚钱的影响程度降到最小。

那隐私沙盒需要做的是将原本服务器处理的工作，交到浏览器或操作系统本地来做，而沙盒本身仅提供一系列API用于广告服务。

Ref: https://mp.weixin.qq.com/s/a9n7B39fZZWHEinGevmK-A

三、关键提案（proposals）简介

Google在官网上公布了关键提案的介绍

（https://developer.chrome.com/en/docs/privacy-sandbox/overview/），

如下所示：

加强跨站隐私边界First-Party Sets: 允许同一实体拥有的相关域名声明自己属于同一第一方。

Shared Storage: 提议一个通用的低级 API，它可以服务于当前依赖于未分区存储（已被弃用）的许多合法用例。

CHIPS: 与First-Party Sets一样，该提案解决了围绕分区的用例，以及如何启用跨域交互和共享，在哪里有意义，以及如何保持安全。核心目标是允许第三方服务设置 cookie，但只能在最初设置它们的顶级站点的上下文中读取。分区的第三方 cookie 与最初设置它的顶级站点相关联，无法从其他地方访问。

SameSite cookies: 通过显式标记跨站点 cookie 来保护站点。

Storage Partitioning: 启用所有形式的用户代理状态，例如localStorage或 cookie，以双键：由顶级站点以及正在加载的资源的来源，而不是单个来源或站点。

Fenced Frames: 提供一种框架元素，可用于显示内容（例如广告），但不能与其周围的页面交互。

Network State Partitioning: 对网络状态进行分区，以防止浏览器网络资源在第一方上下文之间共享，方法是确保每个请求都有一个必须匹配的网络分区键才能重用资源。

HTTP Cache Partitioning: 通过对浏览器 HTTP 缓存进行分区来提高安全性和隐私性。

Federated Credential Management: 支持联合身份（用户可以通过第三方服务登录网站），无需与第三方服务或网站共享用户的电子邮件地址或其他识别信息，除非用户明确同意这样做. WebID 无需使用可用于跨站点识别和跟踪用户的重定向、弹出窗口或第三方 cookie 即可实现联合登录。

显示相关内容和广告Topics API: 启用基于兴趣的广告。设计为不需要第三方 cookie，并且第三方不能使用它来跟踪用户跨站点的浏览行为。Topics API 提出了一种将网站主机名映射到感兴趣的主题的机制，并提供了一个 JavaScript API，它根据用户最近的浏览活动返回用户当前可能感兴趣的粗粒度主题。

FLEDGE: 用于服务再营销和自定义受众用例的广告选择，旨在防止第三方使用它来跟踪用户跨站点的浏览行为。FLEDGE 是TURTLEDOVE提案系列中第一个在 Chromium 中实施的实验。

衡量数字化广告Core Attribution Reporting: 将广告点击或广告浏览与转化相关联。以前称为事件转换测量 API。启用两种类型的报告：事件级报告和聚合报告。

防止秘密追踪User-Agent Client Hints: UA 字符串是一个重要的被动指纹表面，并且难以处理。客户端提示使开发人员能够主动请求他们需要的有关用户设备或条件的信息，而不需要从 User-Agent 字符串中解析这些数据。

DNS-over-HTTPS: 通过HTTPS的安全上下文进行DNS 解析的协议。

Gnatcatcher: 限制通过访问其 IP 地址来识别个人用户的能力。该提案有两个部分：Willful IP Blindness为网站提供了一种方法，让浏览器知道他们没有将 IP 地址与用户连接，而Near-path NAT允许用户组通过同一个私有化服务器发送他们的流量，有效地隐藏他们来自站点主机的 IP 地址。Gnatcatcher 还确保需要访问 IP 地址以用于防止滥用等合法目的的站点可以这样做，但需要经过认证和审核。

Privacy Budget:探索量化网站可用的有关用户浏览器或设备的信息量的方法，并开发实用机制以对网站可以访问的信息进行基于浏览器的限制。

打击网络上的垃圾邮件和欺诈Trust Tokens: 使网站能够将有限数量的信息从一个浏览上下文传送到另一个（例如，跨站点）以帮助打击欺诈，而无需被动跟踪。

最后，根据Google最新的blog，淘汰第三方cookie的工作会延期到2024年下半年启动。

（https://blog.google/products/chrome/update-testing-privacy-sandbox-web/）

---

作者：韭不黄，十余年来一直混迹于信息安全行业，扛过设备，卖过服务，做过审计，查过黑客，反过欺诈，岁月神偷带走了我的苹果肌，留下了一肚子的瘫软，貌似我将要成为一个油腻的中年男人，不过依然对世界充满好奇，依然是一颗嫩绿的韭菜~

阅读原文

跳转微信打开