2014年11月13日，W3C的Web应用安全工作组（Web Application Security Working Group）发布了混合内容（Mixed Content）的标准草案最终征求意见稿。这是2014年9月W3C发布标准工作草案后的又一进展。

通常当用户代理通过一个安全信道（如HTTPS）从一个特定站点加载一个资源（如Web页面）时，用户代理可以获得关于该资源的用户安全和隐私状态的三种判断：认证性（authenticated）、加密性（encrypted）及数据完整性（data integrity）。这些判断对于防止资源内容被篡改或窃听，抵御中间人攻击非常重要。但如果这些经过认证和加密的资源再通过一个非安全的信道（如HTTP）请求其他的子资源（如脚本、图片等），该资源的安全性就不再能够得到保证，从而处在一个混合状态，而事实上这一情况非常普遍。

混合内容（Mixed Content）标准详细介绍了用户代理（浏览器等）如何通过限制资源借助非安全信道与其他站点通信，以及将非公开的资源内容通过非安全信道传输而暴露在Web上等方式，控制用户安全与隐私的风险。草案描述了用户代理在处理加密和认证的文档时，如何禁止（disallow）对经过非加密方式或非授权连接所加载的子资源进行渲染或执行。

欢迎您于2014年12月11日前提出您对该标准草案的意见和建议。更多信息，请参阅英文原文，及W3C的安全标准计划（Security Activity）。 

2014年11月7日，W3C的 Stéphane Boyera 在W3C官方博客上发文，总结了在TPAC 2014上举行的Web支付兴趣组（Web Payments Interest Group）会议中提出的未来电子支付领域重点工作计划。

2014年是W3C的支付年，2014年3月我们在法国巴黎举行了Web支付研讨会（Workshop on Web Payment），形成了共识，并建立了Web支付兴趣组作为开展这一工作的指导委员会。同时，W3C也在2014年10月宣布正式启动Web支付标准计划（Web Payments Activity）。在W3C TPAC 2014上，Web支付兴趣组举行了历时两天的工作会议，有超过50名技术专家及兴趣组成员参加了此次会议。

本次会议汇聚了电子支付产业链条的众多合作伙伴代表，包括电信（Orange, Verizon, AT&T, Deutsche Telekom等）、浏览器开发商（Opera等）、大零售商（NACS, Walmart等）、互联网安全及支付厂商（Paypal, Verisign, Intel等）、金融（Gemalto、Bloomberg等）、银行（Rabobank, World Bank等）、政府监管部门（US Federal Reserve/美联储等），及在该领域活跃的新兴创业企业代表。

在技术方面，会议讨论了ISO、X9及其他标准化组织已开展的与电子支付有关的各项工作，以及W3C中与支付相关的工作组（如Web加密工作组、近场通讯工作组、系统应用工作组等）及社区组（如Web支付社区组、信任证社区组/Credential CG）的工作，及近期关于信任和许可的相关研讨会取得的进展。讨论将当前的工作重点聚焦到电子钱包（wallet），即支付代理（payment agent）上。兴趣组讨论了已有的众多支付解决方案，并希望开发一个电子钱包的通用框架，以支持在线及（在便利店终端的）现场支付场景，同时支持这一过程中的安全，包括通过支持令牌支付（tokenized payment）及基于推送的支付（push based payment），以增强信用卡Web支付的安全。推送支付是指由用户发起支付过程，商户将账单发送给用户，并由用户将账单连同支付信息转发给支付系统，并向商户推送信息完成支付的过程，这不同于传统的类似SET协议的支付过程，后者由商户作为中转，由商户向支付系统发起请求完成支付。与会者也共同认为，有必要对用于支付的信用卡信息交互过程制定开放标准，在这一过程中，用于管理信用卡信息、用户身份信息及信任证的安全存储成为关键需求。最后，工作组对支付过程中的隐私保护进行了讨论。用户应当能够控制自己信息的传播范围，但同时也应满足监管及反欺诈所需的基本信息披露要求。

兴趣组会议决定设立两个特别任务组：

- 第一个任务组自底向上的梳理电子支付的应用场景及要解决的技术问题，开发电子钱包（wallet）的通用体系架构所需的需求文档、设计原则及用例。同时，该任务组也将审阅W3C及其他相关标准化组织已开展的应用场景工作，如X9面向ISO 12812规范所整理的用例等。

- 第二个任务组将更多采用自顶向下的方式开展工作，基于会议讨论，提出一个电子钱包的体系结构。

我们希望能够加速这一过程，并在2015年第一季度兴趣组下次工作会议前形成方案并提交讨论。

更多信息，请参阅 Stéphane Boyera 的博客文章：W3C Blog: Payment Industry Priorities: Meeting Summary of Web Payments IG。 更多博客文章，请参阅W3C Blog（中文）。欢迎您使用W3C官方博客及W3C中国网站参与互动讨论。 

2014年10月23日，W3C发布了积极工作环境的框架，包括道德和职业行为规范（Code of Ethics and Professional Conduct），以及相关的操作流程。W3C是一个不断成长的全球化技术社区。所提出的道德和职业行为规范定义了一组行为守则，这些原则将帮助W3C的全球团队及整个W3C技术社区的参与者建立更加积极的工作环境。这项工作也作为本月W3C成立20周年纪念的一部分，希望能够促进进一步提升W3C及全球Web技术社区的影响力。

2014年10月23日，W3C的高效XML交换工作组（Efficient XML Interchange Working Group）发布了规范化EXI（Canonical EXI）的工作草案。在特定的上下文中，任何一个EXI文档都有一组与其逻辑等价但语法表现形式上不同与它资深的、符合EXI格式要求的文档。该标准草案描述了一个相对简单的方法来为EXI格式（高效XML交换格式）的文档产生一个规范化的物理表示，从而能够帮助判断两个内容不同的EXI文档是否在逻辑上等价。规范化EXI的一个很重要的应用就是在对一个基于XML的文档或文档片段进行数字签名。在不需要扫描文本全文而实现EXI的规范化在一些能力受限或对处理开销敏感的设备或计算环境下也具有重要意义。

高效XML交换格式（Efficient XML Interchang Format, EXI）是W3C研发的XML信息高效交换的二进制数据格式，EXI详细规定了如何用简短语言描述XML信息集合，以利于优化交换XML信息的计算效率和性能。EXI使用相对简单的算法（迅速简约的实现算法及小数据类型集），提供高效的XML事件流编码。 

更多信息，请参阅英文原文，及W3C的可扩展标记语言标准计划（XML Activity）。 

2014年10月23日，W3C的Web应用工作组发布了两份工作草案：

- 流API（Steams API）：WHATWG 流API规范提供了一个API，在JavaScript中标识和处理一个数据流（stream of data）。W3C规范希望在WHAT WG流API规范的基础上进行扩展，以满足特定与浏览器环境的一些需求。

- 屏幕方向API（The Screen Orientation API）：该标准能够帮助Web应用获得屏幕方向的状态，在状态改变时获得通知，并能够从应用程序中将屏幕状态锁定到特定状态。W3C在2014年2月发布了该标准的一个工作草案。

更多信息，请参阅英文原文，及W3C的富Web客户端标准计划（Rich Web Client Activity）。

2014年10月23日，W3C发布了于2014年9月10-11日在美国加利福尼亚州硅谷（Silicon Valley, Mountain View, CA）举行的W3C未来Web加密技术研讨会（W3C Workshop on Web Cryptography Next Step: Authentication, Hardware Tokens and Beyond）的总结报告。本次会议由微软公司（Microsoft）主办，并得到了谷歌（Google）和Tyfone的赞助。

与会者表达了对设立新的W3C工作组开展新一代基于硬件令牌的身份认证技术及标准化工作的强烈支持，并讨论了各种安全认证的应用场景和用例。关于设立新工作组的讨论将在 Web安全公共邮件列表 上进行，欢迎您的关注和参与。W3C认为，安全的密钥存储（secure key store）及通过Web访问加密操作（cryptographic operations）对于未来安全的Web至关重要。 

更多信息，请参与英文原文、研讨会主页（英文）、研讨会通知（中文）、总结报告（英文）及W3C的安全标准计划（Security Activity）。