2016年4月26日,W3C 追踪保护工作组(Tracking Protection Working Group)发布了追踪合规性及适用范围(Tracking Compliance and Scope)的候选推荐标准(Candidate Recommendation)。“不追踪”(Do Not Track,DNT)是W3C在追踪偏好表达(Tracking Preference Expression)规范中定义的一种允许用户通过浏览器设置表达对追踪行为偏好的方式。该文档帮助Web站点定义和描述其对用户的不追踪偏好的具体行为,包括含义、范围及Web站点如何符合用户各种不同的DNT偏好。
更多内容,请参阅英文原文,及W3C的隐私保护标准计划(Privacy Activity)。
2016年4月5日,HTML媒体扩展工作组(HTML Media Extension Working Group)完成章程修订工作并得到批准,工作组将延期到 2016年9月。W3C的前端交互技术领域负责人 Philippe Le Hegaret发表博客文章,确认W3C将继续推动HTML媒体扩展的标准化工作。文章要点如下:
随着视频在Web内容中的重要性不断上升,我们在2007年就在HTML5中启动视频相关的工作。在这一领域,W3C已经为开放Web平台提供了一系列扩展:Web应用可通过本地摄像头捕捉图片(capturing images)、处理视频流、面向残障人士的音轨及字幕增强、音频处理、实时通讯等。HTML媒体扩展工作组重点关注两类扩展:媒体源扩展(Media Source Extensions,MSE)能够更好的适应流媒体的需要;加密媒体扩展(Encrypted Media Extension,EME)关注对受保护内容的播放。所有这些扩展都是为了增强开放Web平台在处理各类富媒体时的能力。
W3C支持技术架构组之前做出的声明,即通过更广泛的参与、测试、审计来确保用户的安全及Web的安全。W3C的会员电子前沿基金会(EFF)关注加密媒体扩展可能引发的问题,并提出了一个方案希望得到W3C全体会员的支持,这一方案希望安全研究者的工作及提供参考实现的机构能够在美国数字千年版权法案(DMCA,US Digital Millennium Copyright Act)及其他国家和地区的类似法案的基础下开展。经过几个月的讨论,以及最近一次AC会议的审议,我们并没有就此事形成更加广泛的共识。
我们充分认识到Web安全问题的严重性,也认识到安全研究者所开展工作的重要性,但我们也认为继续开展EME相关标准的后续研究,努力达到EME标准启动时的承诺是仍然可行的。更多内容请参阅 W3C及加密媒体扩展。
EME的目标是希望以一种标准的方式替换掉一些无法支持互操作的私有内容保护API(详情见媒体管道任务组需求,Media Pipeline Task Force Requirements)。通过增强安全、隐私保护及无障碍访问能力,EME 将通过将底层内容解密模块放在沙箱中,提供更安全的接口来处理许可证、密钥交换。规范中提及的密钥系统并没有执行任何数字版权保护(DRM)的具体功能,并完全采用了被广泛接受的标准机制(如JSON Web密钥格式、RFC7517,以及相关算法、RFC7518),其核心是为EME提供完全可互操作的密钥系统。
我们感谢并欢迎 EFF及其他W3C会员积极探讨技术与政策的关系。技术和研究者将从EFF的建议中受益,并帮助更好的为安全研究者提供法律与政策的保护。W3C将持续关注美国 DMCA及欧盟版权指引(EU Copyright Directive)可能对我们的会员及技术团队带来的挑战。W3C正在设置一个新的技术和策略兴趣组(Technology and Policy Interest Group)跟踪这些与法律及政策相关的挑战及讨论。
更多内容,请参阅原文:W3C Blog: HTML Media Extensions to Countinue Work。
2016年3月29日,W3C的Web加密工作组(Web Cryptography Working Group)发布了WebCrypto密钥发现(WebCrypto Key Discovery)的工作组备忘(Group Note)。该文档试图定义了一个JavaScript API,帮助Web应用在使用Web加密API(Web Cryptograph API)发现命名的、特定来源的(Origin-specific)或预先提供(Pre-provisioned)的密钥。预先提供的密钥是指没有通过 WebCrypto API 来生成、导入、去封装,通过带外方式配置使用户代理可以访问的密钥。该工作组备忘解释如何处理这三类特定的密钥。
2016年2月17日,W3C宣布正式设立Web认证工作组(Web Authentication Working Group),致力于研发采用加密操作取代简单口令认证方法的技术标准。这一努力将为Web应用开发者提供一个不同于以往简单口令认证的、更加安全和灵活的Web认证方法,从而更好的保护网站及应用的内容。
W3C创始人Tim Berners-Lee表示:“如果在Web上能够更加容易的部署强认证(strong authentication)方法,Web在服务于日常生活、个人和商业时变得更加安全。随着网络攻击的范围和频率持续增加,W3C需要开发新的标准和最佳实践,来提升Web的安全性”。
W3C的Web认证相关的技术工作得益于 FIDO联盟(FIDO Alliance)所提交的关于 FIDO 2.0 Web APIs 的会员提案(Member Submission)。该提案给出了一组API,可以在Web浏览器和相关的Web平台基础设施之间实现基于标准的强认证方法。
新设立的Web认证工作组将于 2016年3月4日在美国旧金山举行首次工作组会议,会议与同期举行的信息安全领域的盛会 RSA USA 会议同期举行。更多关于 W3C Web认证工作组的信息,请参阅工作组章程、英文原文,及W3C的官方声明(Press Release)。
2016年1月26日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了内容安全策略(Content Security Policy Level 3)的首个公开工作草案。该文档定义了一种机制,Web开发者凭借该机制能够控制一个特定页面可获取或可执行的资源,同时还定义了若干与安全相关的策略决策(policy decision)。
更多内容,请参阅英文原文。
2016年1月11日,W3C宣布已完成了所有的服务器升级,为W3C的所有开放资源提供基于 HTTP 及 HTTPS 的访问方式,全面支持安全加密及认证访问。W3C 在 2015年技术架构组(TAG)的一份报告中倡导在 Web平台中采用安全通信技术(secure communication)。W3C感谢近期Web应用安全工作组(Web Application Security Working Group)的工作,客户端(浏览器)实现的支持,以及W3C系统团队细致的部署升级工作。到目前位置,我们已经能够为所有 W3C的开放资源(包括 W3C的英文网站、各工作组制定的技术规范、文档、各类DTD、词汇表等)提供基于 HTTP 的访问,从而支持对内容的机密性、完整性、认证性保护。
升级具体内容及可能存在的副作用包括:
-支持 Upgrade-Insecure-Requests HTTP 请求头,透明地将 HTTP 请求升级为 HTTPS 请求。这一特性需要浏览器支持。
-支持 Strict-Transport-Security HTTP 请求头(HSTS),通知浏览器对 w3.org 域的访问请求透明地升级为安全请求。目前,所有近期发布的浏览器版本都已提供对这个请求头的支持。
-为保持兼容性,我们并没有在服务器端将所有 HTTP 请求重定向为对应的 HTTPS 请求。
-升级可能导致在某些代理服务器配置条件下出现重定向的死循环,部分不支持 Strict-Transport-Security 请求头的浏览器版本可能提示“混合内容(Mixed Content)"告警信息。
关于通过 HTTPS 访问这些开放Web资源带来的变化、挑战以及一些可能的副作用,请参阅 W3C的博客文章:W3C 官方网站提供 HTTPS 和 HSTS 协议支持(W3C Blog: Supporting HTTPS and HSTS on w3.org)。
2015年12月15日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了Cookie控制 及 嵌入式控制(Embedded Enforcement)两份与内容安全策略(CSP)相关的标准工作草案:
-内容安全策略:Cookie控制(Content Security Policy: Cookie Control)。该文档定义了一种机制,允许Web开发者通过指定 content-security-policy: cookie scope 策略,在不同站点和应用程序上下文环境中,限制浏览器对记录了用户信息及会话信息的Cookie向Web服务器的传送方式(如是否要求安全链路传输)和范围(如是否限定在指定主机或子域)。
-内容安全策略:嵌入式策略强制(Content Security Policy:Embedded Enforcement):该文档定义了一种机制,允许开发者在Web页面中嵌入一个嵌套的浏览器上下文(nested browsing context),并在其中强制执行一组特定的内容安全策略限制,例如对页面中嵌入的 iframe 指定一组嵌入的特定内容安全策略。
更多信息,请参阅W3C的Web应用安全工作组,及英文原文。
2015年12月10日,W3C的技术架构组(TAG)发布了安全与隐私自评估问题列表(Self-Review Questionnaire:Security and Privacy)的工作组备忘(Group Note)。该文档给出了一个帮助技术开发人员及标准研发者的自评估问题列表,可以作为辅助工具,帮助评估一项技术特性或一个Web相关的技术规范是否影响到用户的安全与隐私。但是,该列表并不适合作为一份关于安全与隐私的完整的检查单(checklist),也不能取代目前标准开发过程中在正式发布规范前对安全与隐私相关特性进行更大范围公众意见征集的过程。
12月10日,W3C的Nick Doty发布博客文章:一组确保开放Web平台安全与隐私的工具集(W3C Blog:An array of Tools to Ensure Security and Privacy of the Open Web Platform),在博文中,他提到:隐私保护兴趣组(Privacy Interest Group,简称PING)正在致力于为解决浏览器指纹导致的隐私泄漏问题开展工作寻求建议,同时,该兴趣组也在同TAG一起,开发关于隐私和安全的更详细的问题集(more detailed questionnaries for experts in privacy and security)。
此外,PING兴趣组及Web安全兴趣组(Web Security Interest Group)欢迎大家对这一联合问题列表给出反馈意见和建议,这些建议可以帮助W3C的所有工作组、兴趣组、社区组在标准制定中更好的考虑安全与隐私问题。 今年早些时候的一项研究表明,人、流程、工具应当结合在一起,才能让Web更加安全并保护用户的隐私。欢迎您为构建更安全、更好隐私保护的开放Web平台贡献您的意见和建议。
更多信息,请参阅W3C的技术架构组,及本文原文。
2015年11月24日,W3C的隐私兴趣组(Privacy Interest Group)发布了Web规范作者细粒度指南(草案)(Fingerprinting Guidance for Web Specification Authors,Draft)的工作组备忘(Group Note)。浏览器在发送Web请求时披露浏览器相关的设置及特征,可能危害用户的隐私。该文档定义了不同类型的“浏览器指纹”,以及这些不同类型的指纹所对应的隐私风险,并为Web规范的开发者在设计开发新的Web功能特性时如何平衡功能性与隐私保护的指南。
2015年11月12日,W3C的Web应用安全工作组(Web Application Security Working Group)发布子资源完整性(Subresource Integrity)的候选推荐标准并向公众征集参考实现。该规范定义了一种机制,依据这种机制,用户代理可以通过验证所获取到的资源文件是否经过篡改,保证获得资源的完整性。
更多信息,请参阅英文原文。
2015年10月15日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了基于源Web标签的限制访问策略(Confinement with Origin Web Labels)的首份标准工作草案。该规范定义了一组用于指定数据的隐私和完整性策略的API,它采用Web标签(Labels)的形式,并支持基于这些策略限制程序代码访问数据的机制(mechanism for confining code according to such polices)。该规范将允许Web应用的开发者及服务器管理员在非可信代码(即可能存在代码缺陷,但非恶意)的情况下共享数据,如通过聚合(mashup)数据提供新服务,同时该草案后续将进一步支持对代码访问数据的更细粒度限制。
更多信息,请参阅W3C的Web应用安全工作组,及英文原文。
2015年10月8日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了两份文档的候选推荐标准(Candidate Recommendations),帮助Web开发者和Web用户实现安全的、基于认证的内容浏览:
-升级非安全请求(Upgrade Insecure Requests):该文档定义了一个新的内容安全策略指示符(Content Security Policy Directive)upgrade-insecure-requests,这种机制允许站点开发者引导用户代理,在获取一些受保护资源之前,从非安全的资源请求升级为安全请求。W3C在2015年2月发布了该标准的首份标准工作草案。
-混合内容(Mixed Content):该文档详细介绍了用户代理(浏览器等)如何通过限制资源借助非安全信道与其他站点通信,以及将非公开的资源内容通过非安全信道传输而暴露在Web上等方式,控制用户安全与隐私的风险。草案描述了用户代理在处理加密和认证的文档时,如何禁止(disallow)对经过非加密方式或非授权连接所加载的子资源进行渲染或执行。
更多内容,请参阅英文原文,及W3C的安全标准计划。
欢迎您关注W3C官方博客近期热点文章:
- 安全支付确认、Stripe试验、未来计划
- CSS X
- 新国标助力中国信息无障碍建设
- W3C与WHATWG共同开发HTML与DOM规范
- W3C的“战略漏斗(Strategy Funnel)”
更多内容>>
欢迎观看来自W3C各项会议的演讲视频:
- Open UI 释放创造力欢迎您加入W3C翻译计划,了解W3C标准和文档翻译情况,帮助提供不同语言的W3C标准规范及文档的志愿者翻译及W3C授权翻译,惠及全球技术社区。
更多内容>>W3C中国目前正在不断加大全球W3C工作的参与力度,并推动了一系列以了解中国行业需求、引导标准制定为主要目的的工作组(WG)、兴趣组(IG)和社区组(CG)。
Web中文兴趣组 |
MiniApps工作组 |
MiniApps生态社区组 |
弹幕特别任务组 |
中国信息无障碍社区组 |
中文数字出版社区组 |
数据可视化社区组 |
中文文字布局需求特别任务组
