2019年6月27日,W3C Web 应用安全工作组(Web Application Security Working Group)发布 Fetch Metadata Request Headers 规范的首个公开工作草案(First Public Working Draft)。该文档定义了一组 Fetch 元数据请求头,目的是为服务器提供足够的信息,以便根据请求的生成方式以及使用的上下文预先决定是否为请求提供服务。欢迎通过 GitHub 或小组公开邮件列表关注并参与相关话题讨论。
更多内容,请参阅消息原文。
2019年6月4日,W3C Web 认证工作组(Web Authentication Working Group)发布 Web 认证 API 第二版(Web Authentication: An API for accessing Public Key Credentials Level 2)规范的首个公开工作草案(First Public Working Draft)。该规范定义了一个 API,允许通过 Web 应用创建并使用强大的、经过认证的、作用域内的、基于公钥的凭证,从而对用户进行强认证。从概念上讲,每个作用于给定 WebAuthn 依赖方的一个或多个公钥凭证,由 Web 应用程序请求创建并绑定到身份验证器(authenticator)。用户代理(如浏览器等)调节对身份验证器及其公钥凭证的访问,以保护用户隐私。验证器有责任确保在未经用户许可的情况下不进行任何操作。验证器可以通过认证证书(attestation)向信任(依赖)方提供其属性的加密证明。该规范还描述了 WebAuthn 符合验证器的功能模型,包括其签名和认证证书功能。
更多内容,请参阅消息原文。
2019年4月17日,FIDO 联盟、EMVCo 与 W3C 共同宣布联合成立 Web 支付安全兴趣组(Web Payment Security Interest Group),提升 Web 支付的安全性与互操作性。该兴趣组的参与成员将定义潜在合作领域、识别现有技术规范间的差距,以增强不同技术之间的兼容性。Web 支付安全兴趣组的小组 [章程] 定义了该组的工作范围,包括构建 Web 支付安全的愿景、开发用例、分析差距、与其他组织的沟通合作、以及进一步探索各组织的标准化机会。兴趣组不会交付正式规范(标准)文档。具体的技术工作将在各组织的相关标准化小组内进行,具体涉及 FIDO2 技术工作组、W3C Web 支付工作组、EMVCo 的工作小组等。
更多内容,请参阅消息原文,及 W3C、FIDO、EMVCo 联合发布的官方新闻通稿(中文、英文)。
2019年4月16日,W3C Web 应用安全工作组(Web Application Security Working Group)发布特性策略(Feature Policy)规范的首个公开工作草案(First Public Working Draft)。该规范定义了一种机制,允许开发人员选择性地启用和禁止各种浏览器特性和 API,来更好地确保站点的安全性和隐私性。
更多内容,请参阅英文原文。
2019年3月28日,W3C 可验证声明工作组(Verifiable Claims Working Group)发布可验证凭证数据模型(Verifiable Credentials Data Model 1.0)候选推荐标准(Candidate Recommendation)并征集参考实现(Call for Implementations)。凭证是我们日常生活的一部分;驾照用于证明我们可以驾驶机动车辆,学位证书表明我们的受教育程度,由政府签发的护照则用于证明持有者的身份。这份规范以一种加密的、安全的、尊重隐私且可机器验证的方式,提供了一种在 Web 上表现这些凭证的机制。
更多内容,请参阅英文原文。
2019年3月11日,W3C 发布强认证与身份验证技术研讨会(W3C Workshop on Strong Authentication and Identity)总结报告(英文、中文)。本次研讨会于2018年12月10-11日在美国华盛顿举办。
研讨会聚集了众多社区技术专家,围绕强认证与身份验证等话题展开了系列讨论。与会成员汇报了W3C Web 认证和可验证声明小组正在开展的标准化工作进程,探讨了包括分布式身份标识和认证在内的潜在标准化机会。与会者从 web 应用登陆到供应链跟踪、政府服务条款、许可授权、医疗保健以及金融交易等诸多方面分享了可以通过 web 技术进行辅助的激励用例。会议期间,通过演示文稿和分组讨论进一步识别了各工作领域之间存在的差异和接口。研讨会总结报告阐述了当前的最新技术水平,并提供了在 W3C 技术社区内部及周围开展的各项新提案的参考信息。
W3C 感谢会员公司微软在本次研讨会组织方面提供的大力支持,同时感谢本次研讨会管理委员会成员以及所有与会者的贡献。
更多内容,请参阅消息原文。
2019年3月4日,W3C Web认证工作组(Web Authentication Working Group)发布 Web认证(Web Authentication: An API for accessing Public Key Credentials Level 1)正式推荐标准(W3C Recommendation),简称 “WebAuthn” 。该规范定义了一个API,允许通过 Web 应用创建和使用强大的、经过认证的、作用域内的、基于公钥的凭证来对用户进行强认证。作为 FIDO 联盟 FIDO2 规范的核心组件,WebAuthn 是一项推动更加便捷安全的身份认证的浏览器/平台标准。用户可以通过生物识别、移动设备以及 FIDO 安全秘钥来实现便捷且安全的线上登录。目前 Windows 10、Android、Chrome、Firefox、Edge 与 Safari 等 Web 浏览器均已实施了对 WebAuthn 标准的支持。
2019年1月17日,W3C的Web认证工作组(Web Authentication Working Group)发布Web认证API(Web Authentication:An API for accessing Public Key Credentials Level 1)提案推荐标准(Proposed Recommendation),并征集审阅意见(Call for Review)。该规范定义了一个API,允许为了对用户进行强身份认证,通过Web应用创建和使用强大的、经过认证的、有范围的、基于公钥的凭证。从概念上讲,每个作用于给定WebAuthn依赖方的一个或多个公钥凭证,由Web应用程序请求创建并绑定到验证器。用户代理(如浏览器等)调节对身份认证及其公钥凭证的访问,以保护用户隐私。验证器(authenticator)有责任确保在未经用户许可的情况下不进行任何操作。验证器可以通过认证证书(attestation)向信任(依赖)方提供其属性的加密证明。该规范还描述了WebAuthn符合验证器的功能模型,包括其签名和认证证书功能。
欢迎公众于2019年2月14日之前,反馈审阅意见。更多内容,请参阅英文原文。
2018年8月7日,W3C的Web认证工作组(Web Authentication Working Group)更新Web认证API(Web Authentication:An API for accessing Public Key Credentials Level 1)候选推荐标准(Candidate Recommendation),并征集参考实现(Call for Implementations)。该规范定义了一个API,允许为了对用户进行强认证,通过Web应用创建和使用强大的、经过验证的、范围广泛的、基于公钥的凭证。从概念上讲,一个或多个公钥凭证(每个凭证使用范围限定在某一个给定的信任方)由用户代理和Web应用程序共同创建并存储在一个认证器上。为了保护用户隐私,用户代理(如浏览器等)可用来协调这些对公钥凭证的访问。认证器(authenticator)负责确保在未经用户许可的情况下不进行任何操作。认证器可以通过认证(attestation)功能向信任(依赖)方提供属性的加密证明。该规范还描述了与WebAuthn兼容的认证器功能模型,包括其签名和认证功能。
更多内容,请参阅英文原文。
2018年4月10日消息— W3C与FIDO Alliance联合取得了Web认证标准的重大进展,为全球用户带来更简单、更强大的Web认证方式。FIDO2标准化工作,W3C WebAuthn标准的推进,以及浏览器供应商对实现这一标准的承诺,使得用户能够轻松地在桌面或移动设备上安全地登陆在线服务。WebAuthn是一个标准Web API,为用户提供在跨站点和设备上进行安全认证的新方法。WebAuthn由W3C与FIDO联盟合作开发,连同FIDO的客户端到认证器协议规范(Client to Authenticator Protocol,CTAP),共同构成了FIDO2项目的核心组件。CTAP启用外部认证器(例如安全秘钥或手机)通过USB、蓝牙、或者NFC向用户的互联网接入设备(电脑或手机)局部传递强认证凭证。
2018年3月20日,W3C的Web认证工作组(Web Authentication Working Group)发布Web认证:一个访问公钥凭证的API(Web Authentication:An API for accessing Public Key Credentials Level 1)候选推荐标准(Candidate Recommendation),并征集参考实现(Call for Implementations)。该规范定义了一个API,允许为了对用户身份进行强认证,通过Web应用创建和使用强大的、经过验证的、范围广泛的、基于公钥的凭证。从概念上讲,一个或多个公钥凭证(每个凭证使用范围限定在某一个给定的信任方)由用户代理和Web应用程序共同创建并存储在一个认证器上。为了保护用户隐私,用户代理(如浏览器等)可用来协调这些对公钥凭证的访问。认证器(authenticator)负责确保在未经用户许可的情况下不进行任何操作。认证器可以通过认证(attestation)功能向信任(依赖)方提供属性的加密证明。该规范还描述了与WebAuthn兼容的认证器功能模型,包括其签名和认证功能。
更多内容,请参阅英文原文。
2018年1月26日,W3C宣布将于2018年4月17-18日,在奥地利维也纳举办隐私与互联数据:数据隐私控制与词汇表技术研讨会(W3C Workshop on Privacy and Linked Data: Data Privacy Controls and Vocabularies)。本次研讨会由维也纳经济大学(WU Vienna)主办。
本次研讨会的主旨是探索使用互联数据的隐私与合规表达中的互操作性。基于移动式互联数据,可以创建许多隐私概念。研讨会议题将涵盖:
* 互联数据中的隐私和透明度
* 身份管理词汇表
* 敏感数据与个人数据类别
* 隐私与来源的建模/互联
* 建模许可以及使其可移动
* 模拟隐私政策,法规和涉及(业务)流程的词汇表
* 在处理个人数据时建立权限,义务,及其范围
* 论证正式宣布的隐私政策,以识别违规行为,违约和执行政策
* 在诸如W3C的社交Web(Social Web)工作组,验证声明(Verifiable Claims)工作组,ODRL/POE工作组,证书兴趣组(Credentials CG),PROV工作组以及其他(非W3C工作,例如OASIS XDI, OASIS COEL, Kantarainitiative’s CISWG)相关的背景下使用互联数据,来探索链接和协同作用
* 数据和政策信息的可视化,以促进数据的自动测定
有关本次研讨会的更多信息,请参阅参会指南及投稿说明。欢迎公众与2018年4月2日前,注册参加本次研讨会。更多内容,请参阅英文原文。
欢迎您关注W3C官方博客近期热点文章:
- W3C声明《Web伦理原则》引导全球社区共筑理想Web
- 安全支付确认、Stripe试验、未来计划
- CSS X
- 新国标助力中国信息无障碍建设
- W3C与WHATWG共同开发HTML与DOM规范
- W3C的“战略漏斗(Strategy Funnel)”
更多内容>>
欢迎观看来自W3C各项会议的演讲视频:
- Open UI 释放创造力欢迎您加入W3C翻译计划,了解W3C标准和文档翻译情况,帮助提供不同语言的W3C标准规范及文档的志愿者翻译及W3C授权翻译,惠及全球技术社区。
更多内容>>W3C中国目前正在不断加大全球W3C工作的参与力度,并推动了一系列以了解中国行业需求、引导标准制定为主要目的的工作组(WG)、兴趣组(IG)和社区组(CG)。
Web中文兴趣组 |
MiniApps工作组 |
MiniApps生态社区组 |
弹幕特别任务组 |
中国信息无障碍社区组 |
中文数字出版社区组 |
数据可视化社区组 |
中文文字布局需求特别任务组
