2015年10月15日，W3C的Web应用安全工作组（Web Application Security Working Group）发布了基于源Web标签的限制访问策略（Confinement with Origin Web Labels）的首份标准工作草案。该规范定义了一组用于指定数据的隐私和完整性策略的API，它采用Web标签（Labels）的形式，并支持基于这些策略限制程序代码访问数据的机制（mechanism for confining code according to such polices）。该规范将允许Web应用的开发者及服务器管理员在非可信代码（即可能存在代码缺陷，但非恶意）的情况下共享数据，如通过聚合（mashup）数据提供新服务，同时该草案后续将进一步支持对代码访问数据的更细粒度限制。
 

更多信息，请参阅W3C的Web应用安全工作组，及英文原文。 

2015年8月20日，W3C的追踪保护工作组（Tracking Protection Working Group）就追踪偏好表达（Tracking Preference Expression,DNT）候选推荐标准（Candidate Recommendation），向公众征集参考实现。该规范将DNT请求头字段（header field）定义为：一个表达用户追踪偏好的HTTP机制；一个通过脚本使用户追踪偏好表达具有可读性的HTML DOM属性；允许脚本注册经用户允许的网站特定例外的APIs。该规范同时定义了一个可以通过使用提供机器可读的追踪状态的“Tk”响应字段以及众所周知的资源来传达是否需要以及如何处理公认用户偏好的沟通机制。

8月20日，W3C的Wendy Seltzer发布博客文章“TPE to CR: Advancing the Conversation about Web Tracking Preferences”，探讨未来追踪保护工作的思路，具体内容如下。

关于“DNT”的HTTP头的讨论是一个广泛的关于公众隐私保护的讨论。TPE允许用户通过其代理（如浏览器等）向服务器发送一个信号，“不要追踪我”，或告诉服务器“我不介意你的追踪行为”。这一规范将确保服务器端能够获得用户关于追踪行为的偏好。目前，DNT头已经获得了绝大多数浏览器的支持，用户已经有一个办法通过这个“1比特”的信息来表达自己的追踪偏好了。

目前，追踪保护工作组正在尝试定义与 DNT 偏好相适应的追踪含义（meaning of tracking）。工作组的目标是，在第二份工作文档中，定义对于大部分用例有真正应用价值的表达方法，确保所定义的标准足够灵活，以适应不同的商业应用场景，从而使站点通过对追踪状态消息的响应中加入一个URI，或其他方法来表达站点所遵循的追踪规则。工业界可以选择遵循 W3C定义的追踪行为的合规性规范（Compliance specification），或选择其他的替代物来表达这一规则。

我们欢迎其他的工作组考虑 DNT 这个HTTP头部的更多使用方法。EFF等也发布了关于描述追踪偏好合规性策略（compliance policy）的替代性方案。用户可以安装 EFF 的 Privacy Badger（一个浏览器插件），从而扩展支持追踪偏好策略，帮助屏蔽哪些违反追踪偏好行为的请求。我们观察到，这一工具正是基于 TPE 规范，是对 Do Not Track 这个生态系统的有益扩展，通过 DNT 头向服务器端表达隐私请求，并给出了一些新的响应文本。

这一工作的重要性在最近 W3C技术架构组（TAG）关于“未经许可的Web追踪行为（Unsanctioned Web Tracking）” 的报告中得到了肯定。TAG认识到，基于标准Web协议的追踪行为应充分考虑并尊重用户隐私保护需求，以及用户对数据流的控制需求，同时可以为用户和其他研究者提供透明性，这是Web产业的合理组成部分。而未经许可的追踪行为将凌驾于良好定义的Web标准和机制之上，并最终将损害用户的信任。TPE响应及追踪偏好的合规性将成为Web隐私及保持透明性的重要工具，帮助站点满足用户期望的同时，准种的隐私保护需求。

更多信息，请参阅英文原文，及W3C的隐私保护标准计划（Privacy Activity）。关于博客文章的详细信息，请参阅英文原文，W3C Blog: TPE to CR: Advancing the Conversation about Web Tracking Preferences 。更多博客文章，请参阅W3C Blog（中文）。欢迎您使用W3C官方博客及W3C中国网站参与互动讨论。

2015年7月23日，W3C的XML安全工作组（XML Security Working Group）发布了XML签名语法和处理2.0版（XML Signature Syntax and Processing Version 2.0）的工作组备忘。W3C的此份工作备忘描述了XML数字签名处理规则及语法格式。无论XML签名是位于包含签名的XML文档中还是其他任何地方，XML签名都可为各种类型的数据提供文档的完整性（integrity）、消息认证性（message authentication）和/或签名者身份验证服务（signer authentication services）。

更多信息，请参阅英文原文，及W3C的安全标准计划（Security Activity）。

2015年7月16日，W3C的技术架构组（Technical Architecture Group，TAG）发布Web的端到端安全（End-to-End Encryption and the Web）的技术架构组发现（TAG Findings）。

在这份文档中，TAG认为Web是一个用户信任的互操作开放平台。基于强加密（Strong Encryption），万维网可以支持商业创新，并维护用户的信任。在另一份关于加密的TAG发现中，TAG强烈表达了支持采用HTTPS来确保用户的认证性与内容加密保护。最近的W3C标准（如安全上下文、升级非安全需求等）使得加密Web更容易实现。基于TLS的内容加密对于抵御用户信任获取的攻击（如 Permacookie），以及攻击用户的信任证及其他敏感信息的攻击（如FireSheep）等有较好效果。

更多内容，请参阅英文原文。

2015年7月14日，W3C的追踪保护工作组（Tracking Protection Working Group）发布了追踪合规性及适用范围（Tracking Compliance and Scope）标准工作草案的最终征求意见稿（Last Call Working Draft）。该规范定义了“不追踪（Do Not Track, DNT）"偏好的含义、范围及Web站点如何符合用户的各种不同DNT偏好。欢迎您于 2015年10月7日 前提出对该草案的意见和建议。

更多内容，请参阅英文原文，及W3C的隐私保护标准计划（Privacy Activity）。

2015年4月30日，W3C的Web应用安全工作组（Web Application Security Working Group）发布了信任证管理（Credential Management Level 1）的标准工作草案。该规范提供了一组API，允许Web站点和Web应用通过用户代理（如浏览器等）请求用户的信任证（credentials），并帮助用户代理正确的存储用户的信任证以便后续使用。

更多信息，请参阅英文原文，及W3C的安全标准计划（Security Activity）。