W3C中国

W3C发布可验证声明数据模型和表示(Verifiable Claims Data Model and Representations)的首份标准工作草案

2017年8月3日,可验证声明工作组(Verifiable Claims Working Group)发布可验证声明数据模型和表示(Verifiable Claims Data Model and Representations)的标准首份公开工作草案。驾照用于声明驾驶资格和能力;学位用于申报受教育情况;政府颁发的护照用于证明持有者的身份。该规范提供了一种标准方式,能以密码安全,尊重隐私和可自动验证的方式在Web上表达诸如以上各种类型的声明。

更多内容,请参阅英文原文

W3C受邀参加2017网络安全生态峰会(ISS 2017)

2017年7月26-27日,2017 网络安全生态峰会(简称ISS)将在北京国家会议中心举行,阿里、腾讯、百度、360、启明星辰、绿盟科技等互联网巨头和安全厂商以“新安全•共担当”为主题,从如何维护网络安全、建设生态网络环境等多方面进行探讨,推动中国互联网事业的安全发展。

W3C中国受邀参加了27日下午举行的“安全标准与赋能分论坛”,并作为论坛嘉宾参与了“标准化如何赋能互联网安全”的panel讨论,分享了W3C在推进Web及Web安全标准、确保标准被工业界采纳及应用的实践。阿里巴巴的朱红儒主持了论坛。

自2015年以来,W3C在技术架构组TAG的建议下,重点从HTTP加密通信、强身份认证、应用代理与Web服务器的安全策略及强制三个方面开展Web安全标准化工作。其中,TAG在2015年发布的两份技术发现(TAG Findings,2015年1月,及2015年7月)阐述了技术架构组建议W3C开展的标准工作及优先级。在此指导下,W3C针对HTTP/HTTPS切换的安全上下文、数据交换的同源策略冲突、基于TLS/HTTPS的安全协议、浏览器与Web应用开发者之间的安全策略强制、浏览器API提供更丰富的安全原语等产业界关心的需求开展了一系列标准制定工作,最终实现端到端、模块化、加密、开放的Web安全体系结构。具体工作包括:

Web加密API(WebCrypto API)-提供标准的Javascript接口,实现加解密和密码学操作,已发布为W3C正式推荐标准。

Web认证(WebAuthentication)-提供WebAPI实现强身份认证机制,目前正在FIDO 2.0会员提案的基础上进行信任证访问的Web Authentication API标准工作,目前处于工作草案阶段。

-面向加密优化的Web应用安全安全上下文升级非安全需求混合内容Referrer Policy子资源完整性HSTS及HPKP

-将用户代理纳入合作策略强制环境的Web应用安全内容安全策略CSP L2已发布正式推荐标准L3正在编辑草案阶段)、安全上下文子资源完整性混合内容等。

-安全与隐私保护:面向W3C Web标准开发的安全审查指南,提供指南,对标准开发者进行培训和教育。

更多内容,请参阅W3C的Web加密Web应用安全Web认证工作组主页。

 

据悉,ISS始于2014年, 始终致力于网络安全生态领域建设,汇集众多互联网行业领军企业和人物同台交流。峰会是由中央网信办网安局、工信部网安局、公安部网安局指导下,由中国互联网协会、中国网络空间协会、阿里巴巴集团、蚂蚁金服集团联合主办。

W3C回应联合国教科文组织(UNESCO)对媒体加密扩展(EME)标准化的关切

2017年4月6日,W3C正式回应了联合国教科文组织(UNESCO)对W3C开展媒体加密扩展(Encrypted Media Extension,EME)标准化的关切。此前,联合国教科文组织通过撰文正式信函向W3C表达了对EME标准化的担忧。
 

在这封正式函件中,联合国教科文组织表达了他们关于互联网普适性(Internet Universality)的概念及价值观。W3C认同这种互联网普适性的概念,我们认为任何试图禁止电影等媒体内容在互联网和Web上传播的努力,本质上都违背了互联网的普适性。 
 

我们希望说明:EME并未比其他替代技术方案进一步改善隐私、安全和对内容的无障碍访问,但是:

-需要借助Web浏览器插件访问受版权保护内容的替代技术已经逐步被弃用。如果没有嵌入浏览器内部的解密能力,内容提供商将会自行开发集成了解密功能的本地应用(native applications)来支持加密内容的远程访问,这一方案将使内容提供商有更多的机会窥探用户隐私,甚至危害用户使用的计算设备的安全性。

-采用标准化的EME,浏览器可以将 DRM的行为限制在一个安全沙箱中,仅允许受控的访问网络、用户数据及用户所使用的计算设备,从而最大限度保护用户免受 DRM系统的副作用影响,并保护免受 root kit 攻击,避免隐私泄漏。

-分析测试表明,EME规范对字幕、转码(transcripts)及音频描述(audio description)并不会影响用户对信息的无障碍访问。而且,EME建议所有无障碍访问相关的信息都不应进行任何加密操作,这使基于EME的方案适合内容的无障碍访问和公平使用(见EME与无障碍),这些也适用于对视频流的无障碍访问。
 

联合国教科文组织认为类似美国数字千年法案(DMCA)的立法违反了联合国原则,但其在世界知识产权组织(WIPO)中的参与正是成员国产生此类立法的主要推动力。我们敦促联合国教科文组织用自己的力量坚持会员国在互联网法律上保持合理、适度及对人权的尊重。W3C是一个技术标准化组织,此类涉及到一个或多个国家主体的立法及诉讼(如WIPO条约)不应是W3C的职责,而更适合由 EFF联合国教科文组织 来承担。
 

EFF作为W3C的会员,曾经发起过一项会员提案,建议参与开发EME标准工作组的W3C会员达成一项协议,确保这些会员机构不会依据美国的DMCA法案对EME标准的技术贡献者发起诉讼,但这一会员提案最终被W3C会员否决。为此,W3C考虑通过维护一个关于W3C安全披露与隐私的最佳实践文档(W3C Security Disclosures and Privacy Best Practices)来保护相关安全技术的研究者。我们邀请对此感兴趣的公众、技术专家、W3C会员及其他利益相关方就如何更好的保护和支持安全及隐私领域的研究人员对这一最佳实践提出意见和改进建议。
 

更多内容,请参阅本文英文原文W3C媒体加密扩展标准进展,及 Tim Berners Lee 关于HTML5中的媒体加密扩展的博客文章

专利咨询组发布报告 建议W3C继续推进Web认证(Web Authentication)标准工作

2017年3月30日,W3C的Web认证工作组(Web Authentication Working Group)专利咨询组(Patent Advisory Group)发布了一份报告,建议W3C急需开展Web认证标准的制定工作。
 

2016年2月,在一份基于FIDO 2.0的会员提案基础上,W3C设立了Web认证工作组(W3C Web Authentication Working Group,详见工作组章程),致力于为Web应用定义基于非对称密码体系的API、数字签名及相关的数据格式。2016年5月31日,W3C发布了Web认证的首份工作草案。2016年8月,Visa Europe(W3C会员,但没有参与Web认证工作组)依据W3C专利政策提出了专利披露与豁免(disclosed and excluded)请求,10月,W3C设立专利咨询组,针对披露请求涉及的8项专利进行了分析和审查。所发布的审查报告认定这些披露的专利不对Web认证标准(Web Authentication Specification)的制定构成影响。
 

通常,在W3C中,如果某个技术标准中涉及的某项专利技术,相关专利已由持有者公开披露,是该技术标准实现中必须采用的技术(essntial),但根据W3C的 免费许可条款(Royalty-Free licensing terms)无法从专利持有人处获得免费授权时,W3C将设立专利咨询组(PAG, Patent Advisory Group),解决标准中的专利问题。
 

更多信息,请参阅英文原文,及该专利咨询组主页

W3C发布团队提案 建议安全披露最佳实践

W3C Security Disclosures Best Practice2017年3月2日,W3C发布了W3C安全披露最佳实践(W3C Security Disclosures Best Practices)的团队提案(Team Submission),该文档是W3C在2017年1月下旬关于HTML媒体扩展(HME)声明的延续,给出了一个关于安全和隐私的披露程序,并将作为安全和隐私保护领域开展进一步工作的基础。
 

任何一个组织都有保护其用户及应用免受欺诈、恶意软件及计算机病毒等的威胁,并应确保符合W3C推荐标准中有关安全及隐私保护的技术要求。本文给出了一个模版来指导这些组织。同时,也为支持来自安全技术社区的广泛参与、测试及审计提供支持,帮助提供更加安全的Web安全模型。
 

未来几天,W3C理事长(Director)会将加密媒体扩展(Encrypted Media Extensions)提案推荐标准提交给W3C会员,同时,也希望寻求会员对 W3C安全披露最佳实践 这份团队提案的意见和建议。更多信息,请参阅2017年1月 W3C关于漏洞披露程序的说明(January 2017 Information about W3C Guidelines for Vulnerability Disclosure Program),以及W3C理事长 Tim Berners Lee 关于HTML5中的EME支持的博客文章:HTML5中的加密媒体扩展W3C Blog: EME in HTML5)。
 

更多内容,请参阅英文原文

W3C发布Web加密API的正式推荐标准

2017年1月26日,W3C的Web加密工作组(Web Cryptography Working Group)发布发布Web加密API(Web Cryptography API)的正式W3C推荐标准(W3C Recommendation)。该规范定义了一个JavaScript API,帮助Web应用以标准的方式完成基本的密码学操作,如哈希、签字生成与验证、加密及解密等。此外,该规范还为Web应用提供了密钥管理与操作所需的API。Web加密API的可能应用场景包括服务器认证、文档及代码签字、通信中的机密性与完整性保证等。
 

更多内容,请参阅W3C的Web加密工作组

W3C发布Web加密API的提案推荐标准 征集审阅意见

2016年12月15日,W3C的Web加密工作组(Web Cryptography Working Group)发布发布Web加密API(Web Cryptography API)提案推荐标准,并征集审阅意见。该规范定义了一个JavaScript API,帮助Web应用以标准的方式完成基本的密码学操作,如哈希、签字生成与验证、加密及解密等。此外,该规范还为Web应用提供了密钥管理与操作所需的API。Web加密API的可能应用场景包括服务器认证、文档及代码签字、通信中的机密性与完整性保证等。欢迎您于2017年1月15日前,提交您对该文档的审阅意见。
 

更多内容,请参阅英文原文

W3C发布内容安全策略(Content Security Policy Level 2)正式推荐标准

2016年12月15日,W3C的Web应用安全工作组(Web Application Security Working Group )发布内容安全策略(Content Security Policy Level 2)正式推荐标准。该文档定义了一个策略语言,用来声明一组对Web资源的访问限制(restrictions);并定义了一种机制,用于在服务器和客户端之间传递策略并确保策略强制执行。
 

更多内容, 请参阅英文原文

W3C发布内容安全策略(Content Security Policy Level 2)的提案推荐标准

2016年11月8日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了内容安全策略(Content Security Policy Level 2)的提案推荐标准(Proposed Recommendation)。该文档定义了一个策略语言,用来声明一组对Web资源的访问限制(restrictions),并定义了一种在服务器和客户端之间传递策略并确保策略强制执行的机制。欢迎您于 2016年12月9日 前反馈您的意见和建议。

更多信息,请参阅英文原文,及W3C的Web应用安全工作组

W3C设立Web认证工作组专利咨询组 处理相关专利披露请求

2016年10月17日,依据W3C的专利政策,W3C启动了Web认证工作组专利咨询组(Web Authentication Working Group Patent Advisory Group,PAG),以应对关于Web认证 API中设计的专利披露请求,这些披露请求是由 Visa Europe 提出的,共涉及 8项在美国、加拿大、新加坡、澳大利亚及韩国注册的专利,更多详情请参阅该专利咨询组的小组章程
 

通常,在W3C中,如果某个技术标准中涉及的某项专利技术,相关专利已由持有者公开披露,是该技术标准实现中必须采用的技术(essntial),但根据W3C的 免版税条款(Royalty-Free licensing terms)无法从专利持有人处获得免费授权时,W3C将设立专利咨询组(PAG, Patent Advisory Group),解决标准中的专利问题。
 

更多信息,请参阅该专利咨询组主页,及公共邮件列表 public-webauthn-pag@w3.org

W3C发布安全上下文(Secure Context)的候选推荐标准

2016年9月15日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了安全上下文(Secure Context)的候选推荐标准。该规范定义了“安全上下文(Secure Context)”,允许用户代理(如浏览器)实现和技术规范的作者对于在何种认证机制和机密性保证前提下,可以启用何种特定的技术特性做出约定。
 

更多信息,请参阅英文原文

W3C发布混合内容(Mixed Content)的候选推荐标准 征集参考实现

2016年8月2日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了混合内容(Mixed Content)的候选推荐标准(Candidate Recommendation),向公众征集参考实现。

通常当用户代理通过一个安全信道(如HTTPS)从一个特定站点加载一个资源(如Web页面)时,用户代理可以获得关于该资源的用户安全和隐私状态的三种判断:认证性(authenticated)、加密性(encrypted)及数据完整性(data integrity)。这些判断对于防止资源内容被篡改或窃听,抵御中间人攻击非常重要。但如果这些经过认证和加密的资源再通过一个非安全的信道(如HTTP)请求其他的子资源(如脚本、图片等),该资源的安全性就不再能够得到保证,从而处在一个混合状态,而事实上这一情况非常普遍。

混合内容(Mixed Content)标准详细介绍了用户代理(浏览器等)如何通过限制资源借助非安全信道与其他站点通信,以及将非公开的资源内容通过非安全信道传输而暴露在Web上等方式,控制用户安全与隐私的风险。草案描述了用户代理在处理加密和认证的文档时,如何禁止(disallow)对经过非加密方式或非授权连接所加载的子资源进行渲染或执行。

更多信息,请参阅英文原文,及W3C的安全标准计划(Security Activity)。  

 

站内搜索

万维网联盟(World Wide Web Consortium, W3C)是Web领域的国际标准化组织,开发开放Web标准,确保Web的长期发展。欢迎您加入W3C的朋友计划,支持W3C实现“尽展Web无限潜能”的使命,并为Web开发者提供更多工具。

更多内容>>

诚聘英才

TPAC 2017

W3C 2017年度技术大会及顾问委员会会议(TPAC 2017)将于11月6-10日在美国加利福尼亚州柏林格姆(Burlingame)举行。注册现已开放。

更多内容>>

W3Cx 开放课程

W3C与edX合作,推出W3Cx系列课程,您可以免费注册这些课程:

- CSS概述
- HTML5:第一部分
- HTML5:第二部分
- HTML5概述
更多内容>>

W3C技术标准

查看Web技术标准
- 按时间 | 按工作组
■ Web与产业融合 ■
- 汽车 | 数字出版 | Web与电信
- 娱乐与广播电视 | Web支付 | Web数据
- 物联万维网(WoT) | Web安全
■ Web For All ■
- Web无障碍 | 国际化

更多内容>>

W3C标准翻译

我们欢迎您加入W3C标准翻译计划,了解W3C标准和文档的翻译情况,并成为W3C翻译计划的志愿者,帮助提供不同语言的W3C标准规范及文档的志愿者翻译及W3C授权翻译,更好服务全球技术社区。

更多内容>>

W3C中国贡献榜

我们通过贡献榜,感谢您积极参与W3C标准制定及审阅工作并提供建设性意见、提供W3C相关标准及技术文章的中文翻译、参与各类W3C技术研讨会。

更多内容>>

中国参与W3C

W3C中国目前正在不断加大全球W3C工作的参与力度,并设立了一系列以了解中国行业需求、引导标准制定为主要目的兴趣小组(IG)和社区组(CG)。
- HTML中文兴趣小组
- 中国信息无障碍社区组
- 中文数字出版社区组
- 中文文字布局需求特别任务组
- 数据可视化社区组

更多内容>>

合作伙伴

  • 北京航空航天大学
  • 北航计算机学院
  • w3ctech