2017年7月26－27日，2017 网络安全生态峰会（简称ISS）将在北京国家会议中心举行，阿里、腾讯、百度、360、启明星辰、绿盟科技等互联网巨头和安全厂商以“新安全•共担当”为主题，从如何维护网络安全、建设生态网络环境等多方面进行探讨，推动中国互联网事业的安全发展。

W3C中国受邀参加了27日下午举行的“安全标准与赋能分论坛”，并作为论坛嘉宾参与了“标准化如何赋能互联网安全”的panel讨论，分享了W3C在推进Web及Web安全标准、确保标准被工业界采纳及应用的实践。阿里巴巴的朱红儒主持了论坛。

自2015年以来，W3C在技术架构组TAG的建议下，重点从HTTP加密通信、强身份认证、应用代理与Web服务器的安全策略及强制三个方面开展Web安全标准化工作。其中，TAG在2015年发布的两份技术发现（TAG Findings，2015年1月，及2015年7月）阐述了技术架构组建议W3C开展的标准工作及优先级。在此指导下，W3C针对HTTP/HTTPS切换的安全上下文、数据交换的同源策略冲突、基于TLS/HTTPS的安全协议、浏览器与Web应用开发者之间的安全策略强制、浏览器API提供更丰富的安全原语等产业界关心的需求开展了一系列标准制定工作，最终实现端到端、模块化、加密、开放的Web安全体系结构。具体工作包括：

－Web加密API（WebCrypto API）－提供标准的Javascript接口，实现加解密和密码学操作，已发布为W3C正式推荐标准。

－Web认证（WebAuthentication）－提供WebAPI实现强身份认证机制，目前正在FIDO 2.0会员提案的基础上进行信任证访问的Web Authentication API标准工作，目前处于工作草案阶段。

－面向加密优化的Web应用安全：安全上下文、升级非安全需求、混合内容、Referrer Policy、子资源完整性、HSTS及HPKP等

－将用户代理纳入合作策略强制环境的Web应用安全：内容安全策略（CSP L2已发布正式推荐标准，L3正在编辑草案阶段）、安全上下文、子资源完整性、混合内容等。

－安全与隐私保护：面向W3C Web标准开发的安全审查指南，提供指南，对标准开发者进行培训和教育。

更多内容，请参阅W3C的Web加密、Web应用安全、Web认证工作组主页。

据悉，ISS始于2014年， 始终致力于网络安全生态领域建设，汇集众多互联网行业领军企业和人物同台交流。峰会是由中央网信办网安局、工信部网安局、公安部网安局指导下，由中国互联网协会、中国网络空间协会、阿里巴巴集团、蚂蚁金服集团联合主办。

2017年3月30日，W3C的Web认证工作组（Web Authentication Working Group）专利咨询组（Patent Advisory Group）发布了一份报告，建议W3C急需开展Web认证标准的制定工作。
 

2016年2月，在一份基于FIDO 2.0的会员提案基础上，W3C设立了Web认证工作组（W3C Web Authentication Working Group，详见工作组章程），致力于为Web应用定义基于非对称密码体系的API、数字签名及相关的数据格式。2016年5月31日，W3C发布了Web认证的首份工作草案。2016年8月，Visa Europe（W3C会员，但没有参与Web认证工作组）依据W3C专利政策提出了专利披露与豁免（disclosed and excluded）请求，10月，W3C设立专利咨询组，针对披露请求涉及的8项专利进行了分析和审查。所发布的审查报告认定这些披露的专利不对Web认证标准（Web Authentication Specification）的制定构成影响。
 

通常，在W3C中，如果某个技术标准中涉及的某项专利技术，相关专利已由持有者公开披露，是该技术标准实现中必须采用的技术（essntial），但根据W3C的 免费许可条款（Royalty-Free licensing terms）无法从专利持有人处获得免费授权时，W3C将设立专利咨询组（PAG, Patent Advisory Group），解决标准中的专利问题。
 

更多信息，请参阅英文原文，及该专利咨询组主页。

2017年1月26日，W3C的Web加密工作组（Web Cryptography Working Group）发布发布Web加密API（Web Cryptography API）的正式W3C推荐标准（W3C Recommendation）。该规范定义了一个JavaScript API，帮助Web应用以标准的方式完成基本的密码学操作，如哈希、签字生成与验证、加密及解密等。此外，该规范还为Web应用提供了密钥管理与操作所需的API。Web加密API的可能应用场景包括服务器认证、文档及代码签字、通信中的机密性与完整性保证等。
 

更多内容，请参阅W3C的Web加密工作组。

2016年12月15日，W3C的Web应用安全工作组（Web Application Security Working Group ）发布内容安全策略（Content Security Policy Level 2）正式推荐标准。该文档定义了一个策略语言，用来声明一组对Web资源的访问限制（restrictions）；并定义了一种机制，用于在服务器和客户端之间传递策略并确保策略强制执行。
 

更多内容， 请参阅英文原文。

2016年10月17日，依据W3C的专利政策，W3C启动了Web认证工作组专利咨询组（Web Authentication Working Group Patent Advisory Group，PAG），以应对关于Web认证 API中设计的专利披露请求，这些披露请求是由 Visa Europe 提出的，共涉及 8项在美国、加拿大、新加坡、澳大利亚及韩国注册的专利，更多详情请参阅该专利咨询组的小组章程。
 

通常，在W3C中，如果某个技术标准中涉及的某项专利技术，相关专利已由持有者公开披露，是该技术标准实现中必须采用的技术（essntial），但根据W3C的 免版税条款（Royalty-Free licensing terms）无法从专利持有人处获得免费授权时，W3C将设立专利咨询组（PAG, Patent Advisory Group），解决标准中的专利问题。
 

更多信息，请参阅该专利咨询组主页，及公共邮件列表 [email protected]。

2016年8月2日，W3C的Web应用安全工作组（Web Application Security Working Group）发布了混合内容（Mixed Content）的候选推荐标准（Candidate Recommendation），向公众征集参考实现。

通常当用户代理通过一个安全信道（如HTTPS）从一个特定站点加载一个资源（如Web页面）时，用户代理可以获得关于该资源的用户安全和隐私状态的三种判断：认证性（authenticated）、加密性（encrypted）及数据完整性（data integrity）。这些判断对于防止资源内容被篡改或窃听，抵御中间人攻击非常重要。但如果这些经过认证和加密的资源再通过一个非安全的信道（如HTTP）请求其他的子资源（如脚本、图片等），该资源的安全性就不再能够得到保证，从而处在一个混合状态，而事实上这一情况非常普遍。

混合内容（Mixed Content）标准详细介绍了用户代理（浏览器等）如何通过限制资源借助非安全信道与其他站点通信，以及将非公开的资源内容通过非安全信道传输而暴露在Web上等方式，控制用户安全与隐私的风险。草案描述了用户代理在处理加密和认证的文档时，如何禁止（disallow）对经过非加密方式或非授权连接所加载的子资源进行渲染或执行。

更多信息，请参阅英文原文，及W3C的安全标准计划（Security Activity）。