2017年4月12日,W3C依据 W3C流程文档 5.1节,任命阿里巴巴集团的刘大鹏(Dapeng Liu)担任Web支付兴趣组(Web Payments Interest Group)的联合主席。大鹏将接任 Bloomberg 的 Eric Anderson,并与NACS 的 David Ezell 一起,负责兴趣组2017年的工作,及2017年中的兴趣组章程调整(rechartering)工作。我们感谢 Eric Anderson 对兴趣组的贡献。
W3C回应联合国教科文组织(UNESCO)对媒体加密扩展(EME)标准化的关切
2017年4月6日,W3C正式回应了联合国教科文组织(UNESCO)对W3C开展媒体加密扩展(Encrypted Media Extension,EME)标准化的关切。此前,联合国教科文组织通过撰文及正式信函向W3C表达了对EME标准化的担忧。
在这封正式函件中,联合国教科文组织表达了他们关于互联网普适性(Internet Universality)的概念及价值观。W3C认同这种互联网普适性的概念,我们认为任何试图禁止电影等媒体内容在互联网和Web上传播的努力,本质上都违背了互联网的普适性。
我们希望说明:EME并未比其他替代技术方案进一步改善隐私、安全和对内容的无障碍访问,但是:
-需要借助Web浏览器插件访问受版权保护内容的替代技术已经逐步被弃用。如果没有嵌入浏览器内部的解密能力,内容提供商将会自行开发集成了解密功能的本地应用(native applications)来支持加密内容的远程访问,这一方案将使内容提供商有更多的机会窥探用户隐私,甚至危害用户使用的计算设备的安全性。
-采用标准化的EME,浏览器可以将 DRM的行为限制在一个安全沙箱中,仅允许受控的访问网络、用户数据及用户所使用的计算设备,从而最大限度保护用户免受 DRM系统的副作用影响,并保护免受 root kit 攻击,避免隐私泄漏。
-分析测试表明,EME规范对字幕、转码(transcripts)及音频描述(audio description)并不会影响用户对信息的无障碍访问。而且,EME建议所有无障碍访问相关的信息都不应进行任何加密操作,这使基于EME的方案适合内容的无障碍访问和公平使用(见EME与无障碍),这些也适用于对视频流的无障碍访问。
联合国教科文组织认为类似美国数字千年法案(DMCA)的立法违反了联合国原则,但其在世界知识产权组织(WIPO)中的参与正是成员国产生此类立法的主要推动力。我们敦促联合国教科文组织用自己的力量坚持会员国在互联网法律上保持合理、适度及对人权的尊重。W3C是一个技术标准化组织,此类涉及到一个或多个国家主体的立法及诉讼(如WIPO条约)不应是W3C的职责,而更适合由 EFF或联合国教科文组织 来承担。
EFF作为W3C的会员,曾经发起过一项会员提案,建议参与开发EME标准工作组的W3C会员达成一项协议,确保这些会员机构不会依据美国的DMCA法案对EME标准的技术贡献者发起诉讼,但这一会员提案最终被W3C会员否决。为此,W3C考虑通过维护一个关于W3C安全披露与隐私的最佳实践文档(W3C Security Disclosures and Privacy Best Practices)来保护相关安全技术的研究者。我们邀请对此感兴趣的公众、技术专家、W3C会员及其他利益相关方就如何更好的保护和支持安全及隐私领域的研究人员对这一最佳实践提出意见和改进建议。
更多内容,请参阅本文英文原文,W3C媒体加密扩展标准进展,及 Tim Berners Lee 关于HTML5中的媒体加密扩展的博客文章。
W3C发布无障碍符合性测试规则格式(ACT Rules Format 1.0)的首份标准工作草案
2017年4月6日,W3C的无障碍指南工作组(Accessibility Guidelines Working Group)发布了无障碍符合性测试(Accessibility Conformance Testing, ACT)规则格式 1.0(Rules Format 1.0)的首份公开工作草案。该草案给定了一种标准格式,用来表达无障碍测试规则,同时给出了编写用于质量保障的测试流程。这份标准将有助于协调各类无障碍符合性测试工作,帮助各类组织更好的文档化和共享其无障碍测试方法。
欢迎您于 2017年5月5日 前通过向WCAG ACT的Github库提交反馈,或直接发邮件到 [email protected]。更多信息,请参阅:
-W3C的官方博客文章:W3C Blog: WCAG Accessibility Conformance Testing (ACT)
-W3C的无障碍指南工作组(Accessibility Guidelines Working Group)及W3C的Web无障碍计划(WAI)。
专利咨询组发布报告 建议W3C继续推进Web认证(Web Authentication)标准工作
2017年3月30日,W3C的Web认证工作组(Web Authentication Working Group)专利咨询组(Patent Advisory Group)发布了一份报告,建议W3C急需开展Web认证标准的制定工作。
2016年2月,在一份基于FIDO 2.0的会员提案基础上,W3C设立了Web认证工作组(W3C Web Authentication Working Group,详见工作组章程),致力于为Web应用定义基于非对称密码体系的API、数字签名及相关的数据格式。2016年5月31日,W3C发布了Web认证的首份工作草案。2016年8月,Visa Europe(W3C会员,但没有参与Web认证工作组)依据W3C专利政策提出了专利披露与豁免(disclosed and excluded)请求,10月,W3C设立专利咨询组,针对披露请求涉及的8项专利进行了分析和审查。所发布的审查报告认定这些披露的专利不对Web认证标准(Web Authentication Specification)的制定构成影响。
通常,在W3C中,如果某个技术标准中涉及的某项专利技术,相关专利已由持有者公开披露,是该技术标准实现中必须采用的技术(essntial),但根据W3C的 免费许可条款(Royalty-Free licensing terms)无法从专利持有人处获得免费授权时,W3C将设立专利咨询组(PAG, Patent Advisory Group),解决标准中的专利问题。
W3C发布WebDriver的候选推荐标准 征集参考实现
2017年3月30日,W3C的浏览器测试和工具(Browser Testing and Tools)工作组发布了WebDriver的候选推荐标准(Candidate Recommendation),并征集参考实现及审阅意见。
WebDriver(Web驱动器)是一个平台和语言中立的访问接口,允许应用程序或脚本获得Web浏览器的状态并控制浏览器的行为。WebDriver API目前主要用于开发人员编写测试脚本,通过一个独立的控制流程实现基于浏览器的自动测试,未来该规范还可能使运行在浏览器中的脚本程序对浏览器行为进行控制。该规范还包括一个基于API调用和响应时,基于JSON的输入输出参数的序列化建议,可能对浏览器提供商提供帮助。
更多内容,请参阅浏览器测试与工具工作组,及本文英文原文。
W3C发布Web空间数据最佳实践(Spatial Data on the Web Best Practices)
2017年3月30日,W3C的Web空间数据工作组(Spatial Data on the Web Working Group)发布了Web空间数据最佳实践(Spatial Data on the Web Best Practices)的工作组备忘(Group Note)。该文档给出了一组在Web上发布和使用空间数据,及基于Web技术提供位置相关服务的应用场景和案例。最佳实践文档希望为 Web开发者、地理空间技术专家提供一组经过整理的真实的应用。这些最佳实践与传统空间数据基础设施的不同是,它们采用了互联数据(Linked Data)的方法,并将地理位置(locations)作为跨越多个数据集相互连接的关键因素,同时,空间数据也扩充了互联数据的范畴,并提供了对5星级互联数据模式的支持。这是对2017年2月16日版本的更新。
W3C发布资源计时(Resource Timing)的候选推荐标准 征集参考实现
2017年3月30日,W3C的Web性能工作组(Web Performance Working Group)更新了资源计时(Resource Timing Level 1)的候选推荐标准(Candidate Recommendation),向公众征集参考实现及审阅意见。该标准为Web应用定义了一组接口,用于存取页面中资源获取的完整的计时信息。
对于Web应用来说,用户延迟(user latency)是一个可度量的重要性能指标。在Web应用程序内部,基于JavaScript的机制可以提供相应的机制来度量用户延迟,但现有机制很难提供一个完整的端到端延迟的全景视图。该规范定义了一组API,引入了新的 PerformanceResourceTiming 接口,允许Web应用在文档中加载外部资源(如XMLHttpRequest对象、iframe、img、script、object、embed等HTML元素,以及指向样式表、SVG等的链接)时,通过JavaScript机制收集更加完整的资源计时信息。在此基础上,导航计时(Navigation Timing 2)扩展了本规范,提供与导航及页面跳转相关的计时机制。这些机制可以帮助提供更好的性能度量方法。
W3C发布页面可见性(Page Visibility Level 2)候选推荐标准,征集参考实现及审阅意见
2017年3月28日,W3C的Web性能工作组(Web Performance Working Group)更新了页面可见性(Page Visibility Level 2)的候选推荐标准,并向公众征集参考实现及审阅意见。该规范定义了一种标准机制,允许开发者通过程序确定一个文档的可见性状态(visibility state),这可以帮助开发出更好利用电能(power)及CPU计算效率的Web应用。
更多内容,请参阅英文原文。
W3C发布 XQuery 3.1, XQueryX 3.1, XPath 3.1 等六份与XML相关的推荐标准
2017年3月22日,W3C的XML查询工作组和XSLT工作组发布了6份有关XML的W3C正式推荐标准(W3C Recommendation),进一步通过maps、arrays及新的功能,加强JSON和Web平台。这6份推荐标准是:
-XQuery 3.1:一个XML查询语言(XQuery 3.1:A XML Query Language):XML是一种灵活可扩展的标记语言,广泛用于各类结构化和半结构化信息存储、关系数据库及对象存储系统中对信息的表达。基于XML的查询语义采用XML语法定义对这些存储在XML文档或各类数据存储系统的查询需求,并在相关中间件的支持下,以XML的格式返回查询结果。该规范定义了一种称为XQuery的XML查询语言,用于在各类XML数据源之上查询信息。
-XQueryX 3.1:XQueryX是一个XQuery的XML表示。它是通过将XQuery语法作品映射到XML作品来创建的,其最终结果并不见得是方便人类阅读或书写,但更易于程序解析。因为XQueryX是以XML格式表示,那么就可以利用标准的XML工具来创建、解释或修改查询。
-XML路径查询语言 3.1(XML Path Language: XPath 3.1):XPath3.1是一种认可处理值符合XQuery和XPath数据模型(XDM)3.1中所定义数据模型的表达式语言。该数据模型不但提供了一个XML文档的树型结构表示,同时还提供了例如整数、字符串、布尔值(booleans)以及可能包含对XML文档与原子值中节点进行引用的序列的原子值。
-XQuery与XPath数据模型 3.1(XQuery and XPath Data Model 3.1):该规范定义的XQuery与XPath数据模型3.1,是XML路径语言(XPath)3.1,XSL转换(XSLT)3.0版本,以及XML查询语言XQuery 3.1的数据模型。XQuery与XPath数据模型3.1(在此简称“数据模型”)有两个用途:一是定义输入XSLT或者XQuery处理器所包含的信息;二是定义XSLT,XQuery以及XPath语言中所有表达式的容许值。
-XPath及XQuery函数和操作符 3.1 (XPath and XQuery Functions and Operators 3.1):该文档旨在编录XPath 3.1, XQuery 3.1以及XSLT 3.0所需的函数与操作符。其定义了数据类型的构造器函数、操作符以及函数。
-XSLT与XQuery序列化 3.1(XSLT and XQuery Serialization 3.1):该规范定义了如何将XPath和XQuery(或XQueryX)查询表达式的处理结果以HTML、XHTML、JSON、XML或纯文本等格式输出,即,该文档将一个数据模型实例序列定义为一个八位字节序列。
W3C发布加密媒体扩展(EME)的提案推荐标准
2017年3月20日,W3C的HTML媒体扩展工作组(HTML Media Extensions Working Group)发布了加密媒体扩展(Encrypted Media Extensions)的提案推荐标准(Proposed Recommendation),向公众征集审阅意见。
W3C的加密媒体扩展规范扩展了HTMLMediaElement,提供API来操作受保护的媒体内容。API可以支持简单的明文密钥加密,也可以根据用户代理的实现需要进行扩展。许可证(license)/密钥(key)的交换则由应用程序来控制。该规范并不定义如何实现内容保护(如很多数字版权管理系统/Digital Rights Management system),而是侧重定义一组通用API,允许用户选择相应的数字版权保护系统或简化的内容加密系统,并与之交互。
欢迎您于 2017年4月13日 前反馈您的意见和建议。更多内容,请参阅英文原文,Tim Berners Lee 关于HTML5中的加密媒体扩展的博客文章(英文),及W3C的公开声明。
W3C发布团队提案 建议安全披露最佳实践
2017年3月2日,W3C发布了W3C安全披露最佳实践(W3C Security Disclosures Best Practices)的团队提案(Team Submission),该文档是W3C在2017年1月下旬关于HTML媒体扩展(HME)声明的延续,给出了一个关于安全和隐私的披露程序,并将作为安全和隐私保护领域开展进一步工作的基础。
任何一个组织都有保护其用户及应用免受欺诈、恶意软件及计算机病毒等的威胁,并应确保符合W3C推荐标准中有关安全及隐私保护的技术要求。本文给出了一个模版来指导这些组织。同时,也为支持来自安全技术社区的广泛参与、测试及审计提供支持,帮助提供更加安全的Web安全模型。
未来几天,W3C理事长(Director)会将加密媒体扩展(Encrypted Media Extensions)提案推荐标准提交给W3C会员,同时,也希望寻求会员对 W3C安全披露最佳实践 这份团队提案的意见和建议。更多信息,请参阅2017年1月 W3C关于漏洞披露程序的说明(January 2017 Information about W3C Guidelines for Vulnerability Disclosure Program),以及W3C理事长 Tim Berners Lee 关于HTML5中的EME支持的博客文章:HTML5中的加密媒体扩展(W3C Blog: EME in HTML5)。
更多内容,请参阅英文原文。
W3C发布专利咨询报告 继续推进Web支付标准化
2017年3月16日,W3C的Web支付工作组(Web Payments Working Group)专利咨询组(Patent Advisory Group,PAG)发布了专利咨询报告,建议W3C支付工作组继续开展Web支付的相关标准化工作。该专利咨询组设置于2016年8月,主要针对Web支付工作组关于支付API等两份相关技术规范的专利披露问题开展调查和咨询。
咨询报告认为,Web支付相关的标准并不依赖于所披露专利中的权利声明。同时,PAG也认为所披露的专利并没有包含 W3C专利政策所要求的必要声明(Essential Claims)。
通常,在W3C中,如果某个技术标准中涉及的某项专利技术,相关专利已由持有者公开披露,是该技术标准实现中必须采用的技术(essntial),但根据W3C的 免费许可条款(Royalty-Free licensing terms)无法从专利持有人处获得免费授权时,W3C将设立专利咨询组(PAG, Patent Advisory Group),解决标准中的专利问题。