2019年4月16日，W3C Web 应用安全工作组（Web Application Security Working Group）发布特性策略（Feature Policy）规范的首个公开工作草案（First Public Working Draft）。该规范定义了一种机制，允许开发人员选择性地启用和禁止各种浏览器特性和 API，来更好地确保站点的安全性和隐私性。

更多内容，请参阅英文原文。

2019年3月11日，W3C 发布强认证与身份验证技术研讨会（W3C Workshop on Strong Authentication and Identity）总结报告（英文、中文）。本次研讨会于2018年12月10-11日在美国华盛顿举办。

研讨会聚集了众多社区技术专家，围绕强认证与身份验证等话题展开了系列讨论。与会成员汇报了W3C Web 认证和可验证声明小组正在开展的标准化工作进程，探讨了包括分布式身份标识和认证在内的潜在标准化机会。与会者从 web 应用登陆到供应链跟踪、政府服务条款、许可授权、医疗保健以及金融交易等诸多方面分享了可以通过 web 技术进行辅助的激励用例。会议期间，通过演示文稿和分组讨论进一步识别了各工作领域之间存在的差异和接口。研讨会总结报告阐述了当前的最新技术水平，并提供了在 W3C 技术社区内部及周围开展的各项新提案的参考信息。

W3C 感谢会员公司微软在本次研讨会组织方面提供的大力支持，同时感谢本次研讨会管理委员会成员以及所有与会者的贡献。

更多内容，请参阅消息原文。

2019年1月17日，W3C的Web认证工作组（Web Authentication Working Group）发布Web认证API（Web Authentication：An API for accessing Public Key Credentials Level 1）提案推荐标准（Proposed Recommendation），并征集审阅意见（Call for Review）。该规范定义了一个API，允许为了对用户进行强身份认证，通过Web应用创建和使用强大的、经过认证的、有范围的、基于公钥的凭证。从概念上讲，每个作用于给定WebAuthn依赖方的一个或多个公钥凭证，由Web应用程序请求创建并绑定到验证器。用户代理（如浏览器等）调节对身份认证及其公钥凭证的访问，以保护用户隐私。验证器（authenticator）有责任确保在未经用户许可的情况下不进行任何操作。验证器可以通过认证证书（attestation）向信任（依赖）方提供其属性的加密证明。该规范还描述了WebAuthn符合验证器的功能模型，包括其签名和认证证书功能。

欢迎公众于2019年2月14日之前，反馈审阅意见。更多内容，请参阅英文原文。

2018年4月10日消息— W3C与FIDO Alliance联合取得了Web认证标准的重大进展，为全球用户带来更简单、更强大的Web认证方式。FIDO2标准化工作，W3C WebAuthn标准的推进，以及浏览器供应商对实现这一标准的承诺，使得用户能够轻松地在桌面或移动设备上安全地登陆在线服务。WebAuthn是一个标准Web API，为用户提供在跨站点和设备上进行安全认证的新方法。WebAuthn由W3C与FIDO联盟合作开发，连同FIDO的客户端到认证器协议规范（Client to Authenticator Protocol，CTAP），共同构成了FIDO2项目的核心组件。CTAP启用外部认证器（例如安全秘钥或手机）通过USB、蓝牙、或者NFC向用户的互联网接入设备（电脑或手机）局部传递强认证凭证。

更多内容，请参阅英文原文，W3C官方新闻稿（中文、英文）。

2018年1月26日，W3C宣布将于2018年4月17-18日，在奥地利维也纳举办隐私与互联数据：数据隐私控制与词汇表技术研讨会（W3C Workshop on Privacy and Linked Data: Data Privacy Controls and Vocabularies）。本次研讨会由维也纳经济大学（WU Vienna）主办。

本次研讨会的主旨是探索使用互联数据的隐私与合规表达中的互操作性。基于移动式互联数据，可以创建许多隐私概念。研讨会议题将涵盖：

    *   互联数据中的隐私和透明度
    *   身份管理词汇表
    *   敏感数据与个人数据类别
    *   隐私与来源的建模／互联
    *   建模许可以及使其可移动
    *   模拟隐私政策，法规和涉及（业务）流程的词汇表
    *   在处理个人数据时建立权限，义务，及其范围
    *   论证正式宣布的隐私政策，以识别违规行为，违约和执行政策
    *   在诸如W3C的社交Web（Social Web）工作组，验证声明（Verifiable Claims）工作组，ODRL/POE工作组，证书兴趣组（Credentials CG)，PROV工作组以及其他（非W3C工作，例如OASIS XDI, OASIS COEL, Kantarainitiative’s CISWG）相关的背景下使用互联数据，来探索链接和协同作用
    *   数据和政策信息的可视化，以促进数据的自动测定

有关本次研讨会的更多信息，请参阅参会指南及投稿说明。欢迎公众与2018年4月2日前，注册参加本次研讨会。更多内容，请参阅英文原文。

2017年7月26－27日，2017 网络安全生态峰会（简称ISS）将在北京国家会议中心举行，阿里、腾讯、百度、360、启明星辰、绿盟科技等互联网巨头和安全厂商以“新安全•共担当”为主题，从如何维护网络安全、建设生态网络环境等多方面进行探讨，推动中国互联网事业的安全发展。

W3C中国受邀参加了27日下午举行的“安全标准与赋能分论坛”，并作为论坛嘉宾参与了“标准化如何赋能互联网安全”的panel讨论，分享了W3C在推进Web及Web安全标准、确保标准被工业界采纳及应用的实践。阿里巴巴的朱红儒主持了论坛。

自2015年以来，W3C在技术架构组TAG的建议下，重点从HTTP加密通信、强身份认证、应用代理与Web服务器的安全策略及强制三个方面开展Web安全标准化工作。其中，TAG在2015年发布的两份技术发现（TAG Findings，2015年1月，及2015年7月）阐述了技术架构组建议W3C开展的标准工作及优先级。在此指导下，W3C针对HTTP/HTTPS切换的安全上下文、数据交换的同源策略冲突、基于TLS/HTTPS的安全协议、浏览器与Web应用开发者之间的安全策略强制、浏览器API提供更丰富的安全原语等产业界关心的需求开展了一系列标准制定工作，最终实现端到端、模块化、加密、开放的Web安全体系结构。具体工作包括：

－Web加密API（WebCrypto API）－提供标准的Javascript接口，实现加解密和密码学操作，已发布为W3C正式推荐标准。

－Web认证（WebAuthentication）－提供WebAPI实现强身份认证机制，目前正在FIDO 2.0会员提案的基础上进行信任证访问的Web Authentication API标准工作，目前处于工作草案阶段。

－面向加密优化的Web应用安全：安全上下文、升级非安全需求、混合内容、Referrer Policy、子资源完整性、HSTS及HPKP等

－将用户代理纳入合作策略强制环境的Web应用安全：内容安全策略（CSP L2已发布正式推荐标准，L3正在编辑草案阶段）、安全上下文、子资源完整性、混合内容等。

－安全与隐私保护：面向W3C Web标准开发的安全审查指南，提供指南，对标准开发者进行培训和教育。

更多内容，请参阅W3C的Web加密、Web应用安全、Web认证工作组主页。

据悉，ISS始于2014年， 始终致力于网络安全生态领域建设，汇集众多互联网行业领军企业和人物同台交流。峰会是由中央网信办网安局、工信部网安局、公安部网安局指导下，由中国互联网协会、中国网络空间协会、阿里巴巴集团、蚂蚁金服集团联合主办。