W3C中国

W3C发布Web认证(Web Authentication)中信任证访问API的首份工作草案

2016年5月31日,W3C的Web认证工作组(Web Authentication Working Group)发布Web认证:访问一定范围内凭证的Web API(Web Authentication: A Web API for accessing scoped credentials)的首份公开工作草案。该规范定义了一个API,允许Web页面通过浏览器脚本访问WebAuthn兼容的强加密凭证(Strong Authentication Credentials)。从概念上讲,在一个认证器(authenticator)上可以保存一个或者多个信任证(凭证),每一个信任证的使用范围可以限定在某一个信任方(relying party)。认证器应确保不会在用户不知情的情况下执行操作。为了保护用户隐私,用户代理(如 浏览器等)可用来协调这些对不同信任凭证的访问和使用操作。认证器可以通过认证(attestation)功能对属性的加密向信任方提供信息。此外,该规范还给出了与WebAuthn兼容的认证器功能模型,包括其签字及认证功能细则。

更多内容,请参阅英文原文

W3C发布子资源完整性(Subresource Integrity)提案推荐标准

2016年5月10日,W3C的Web应用安全工作组(Web Application Security Working Group)发布子资源完整性(Subresource Integrity)的提案推荐标准并向公众征集审阅意见。该规范定义了一种机制,用户代理可以通过该机制验证所获取的资源文件是否经过篡改,从而确保获得资源的完整性。欢迎您于2016年7月7日前对该规范进行审阅并提交审阅意见。

更多信息,请参阅英文原文

W3C发布追踪合规性及适用范围的候选推荐标准

2016年4月26日,W3C 追踪保护工作组(Tracking Protection Working Group)发布了追踪合规性及适用范围(Tracking Compliance and Scope)的候选推荐标准(Candidate Recommendation)。“不追踪”(Do Not Track,DNT)是W3C在追踪偏好表达(Tracking Preference Expression)规范中定义的一种允许用户通过浏览器设置表达对追踪行为偏好的方式。该文档帮助Web站点定义和描述其对用户的不追踪偏好的具体行为,包括含义、范围及Web站点如何符合用户各种不同的DNT偏好。

更多内容,请参阅英文原文,及W3C的隐私保护标准计划(Privacy Activity)

W3C Blog: W3C继续推动HTML媒体扩展(Media Extension)的标准化工作

2016年4月5日,HTML媒体扩展工作组(HTML Media Extension Working Group)完成章程修订工作并得到批准,工作组将延期到 2016年9月。W3C的前端交互技术领域负责人 Philippe Le Hegaret发表博客文章,确认W3C将继续推动HTML媒体扩展的标准化工作。文章要点如下:

随着视频在Web内容中的重要性不断上升,我们在2007年就在HTML5中启动视频相关的工作。在这一领域,W3C已经为开放Web平台提供了一系列扩展:Web应用可通过本地摄像头捕捉图片(capturing images)、处理视频流、面向残障人士的音轨及字幕增强、音频处理、实时通讯等。HTML媒体扩展工作组重点关注两类扩展:媒体源扩展(Media Source Extensions,MSE)能够更好的适应流媒体的需要;加密媒体扩展(Encrypted Media Extension,EME)关注对受保护内容的播放。所有这些扩展都是为了增强开放Web平台在处理各类富媒体时的能力。

W3C支持技术架构组之前做出的声明,即通过更广泛的参与、测试、审计来确保用户的安全及Web的安全。W3C的会员电子前沿基金会(EFF)关注加密媒体扩展可能引发的问题,并提出了一个方案希望得到W3C全体会员的支持,这一方案希望安全研究者的工作及提供参考实现的机构能够在美国数字千年版权法案(DMCA,US Digital Millennium Copyright Act)及其他国家和地区的类似法案的基础下开展。经过几个月的讨论,以及最近一次AC会议的审议,我们并没有就此事形成更加广泛的共识。

我们充分认识到Web安全问题的严重性,也认识到安全研究者所开展工作的重要性,但我们也认为继续开展EME相关标准的后续研究,努力达到EME标准启动时的承诺是仍然可行的。更多内容请参阅 W3C及加密媒体扩展

EME的目标是希望以一种标准的方式替换掉一些无法支持互操作的私有内容保护API(详情见媒体管道任务组需求,Media Pipeline Task Force Requirements)。通过增强安全、隐私保护及无障碍访问能力,EME 将通过将底层内容解密模块放在沙箱中,提供更安全的接口来处理许可证、密钥交换。规范中提及的密钥系统并没有执行任何数字版权保护(DRM)的具体功能,并完全采用了被广泛接受的标准机制(如JSON Web密钥格式、RFC7517,以及相关算法、RFC7518),其核心是为EME提供完全可互操作的密钥系统。

我们感谢并欢迎 EFF及其他W3C会员积极探讨技术与政策的关系。技术和研究者将从EFF的建议中受益,并帮助更好的为安全研究者提供法律与政策的保护。W3C将持续关注美国 DMCA及欧盟版权指引(EU Copyright Directive)可能对我们的会员及技术团队带来的挑战。W3C正在设置一个新的技术和策略兴趣组(Technology and Policy Interest Group)跟踪这些与法律及政策相关的挑战及讨论。 

更多内容,请参阅原文:W3C Blog: HTML Media Extensions to Countinue Work

 

W3C发布Web加密密钥发现(WebCrypto Key Discovery)的工作组备忘

2016年3月29日,W3C的Web加密工作组(Web Cryptography Working Group)发布了WebCrypto密钥发现(WebCrypto Key Discovery)的工作组备忘(Group Note)。该文档试图定义了一个JavaScript API,帮助Web应用在使用Web加密API(Web Cryptograph API)发现命名的、特定来源的(Origin-specific)或预先提供(Pre-provisioned)的密钥。预先提供的密钥是指没有通过 WebCrypto API 来生成、导入、去封装,通过带外方式配置使用户代理可以访问的密钥。该工作组备忘解释如何处理这三类特定的密钥。

更多内容参阅英文原文,及Web加密工作组。 

W3C设立Web认证工作组 构建更安全的万维网

2016年2月17日,W3C宣布正式设立Web认证工作组(Web Authentication Working Group),致力于研发采用加密操作取代简单口令认证方法的技术标准。这一努力将为Web应用开发者提供一个不同于以往简单口令认证的、更加安全和灵活的Web认证方法,从而更好的保护网站及应用的内容。

W3C创始人Tim Berners-Lee表示:“如果在Web上能够更加容易的部署强认证(strong authentication)方法,Web在服务于日常生活、个人和商业时变得更加安全。随着网络攻击的范围和频率持续增加,W3C需要开发新的标准和最佳实践,来提升Web的安全性”。

W3C的Web认证相关的技术工作得益于 FIDO联盟(FIDO Alliance)所提交的关于 FIDO 2.0 Web APIs 的会员提案(Member Submission)。该提案给出了一组API,可以在Web浏览器和相关的Web平台基础设施之间实现基于标准的强认证方法。

新设立的Web认证工作组将于 2016年3月4日在美国旧金山举行首次工作组会议,会议与同期举行的信息安全领域的盛会 RSA USA 会议同期举行。更多关于 W3C Web认证工作组的信息,请参阅工作组章程英文原文,及W3C的官方声明(Press Release)。 

W3C发布内容安全策略(Content Security Policy Level 3)的首个公开工作草案

2016年1月26日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了内容安全策略(Content Security Policy Level 3)的首个公开工作草案。该文档定义了一种机制,Web开发者凭借该机制能够控制一个特定页面可获取或可执行的资源,同时还定义了若干与安全相关的策略决策(policy decision)。
 

更多内容,请参阅英文原文

W3C为所有开放资源提供基于 HTTPS 的安全认证连接

2016年1月11日,W3C宣布已完成了所有的服务器升级,为W3C的所有开放资源提供基于 HTTP 及 HTTPS 的访问方式,全面支持安全加密及认证访问。W3C 在 2015年技术架构组(TAG)的一份报告中倡导在 Web平台中采用安全通信技术(secure communication)。W3C感谢近期Web应用安全工作组(Web Application Security Working Group)的工作,客户端(浏览器)实现的支持,以及W3C系统团队细致的部署升级工作。到目前位置,我们已经能够为所有 W3C的开放资源(包括 W3C的英文网站、各工作组制定的技术规范、文档、各类DTD、词汇表等)提供基于 HTTP 的访问,从而支持对内容的机密性、完整性、认证性保护。

升级具体内容及可能存在的副作用包括:

-支持 Upgrade-Insecure-Requests HTTP 请求头,透明地将 HTTP 请求升级为 HTTPS 请求。这一特性需要浏览器支持。

-支持 Strict-Transport-Security HTTP 请求头(HSTS),通知浏览器对 w3.org 域的访问请求透明地升级为安全请求。目前,所有近期发布的浏览器版本都已提供对这个请求头的支持。 

-为保持兼容性,我们并没有在服务器端将所有 HTTP 请求重定向为对应的 HTTPS 请求。

-升级可能导致在某些代理服务器配置条件下出现重定向的死循环,部分不支持 Strict-Transport-Security 请求头的浏览器版本可能提示“混合内容(Mixed Content)"告警信息。

关于通过 HTTPS 访问这些开放Web资源带来的变化、挑战以及一些可能的副作用,请参阅 W3C的博客文章:W3C 官方网站提供 HTTPS 和 HSTS 协议支持(W3C Blog: Supporting HTTPS and HSTS on w3.org)。 

W3C发布Cookie控制、嵌入式策略强制等两份CSP相关的标准工作草案

2015年12月15日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了Cookie控制 及 嵌入式控制(Embedded Enforcement)两份与内容安全策略(CSP)相关的标准工作草案:

内容安全策略:Cookie控制(Content Security Policy: Cookie Control)。该文档定义了一种机制,允许Web开发者通过指定 content-security-policy: cookie scope 策略,在不同站点和应用程序上下文环境中,限制浏览器对记录了用户信息及会话信息的Cookie向Web服务器的传送方式(如是否要求安全链路传输)和范围(如是否限定在指定主机或子域)。

内容安全策略:嵌入式策略强制(Content Security Policy:Embedded Enforcement):该文档定义了一种机制,允许开发者在Web页面中嵌入一个嵌套的浏览器上下文(nested browsing context),并在其中强制执行一组特定的内容安全策略限制,例如对页面中嵌入的 iframe 指定一组嵌入的特定内容安全策略。

更多信息,请参阅W3C的Web应用安全工作组,及英文原文。 

W3C发布安全与隐私自评估问题列表(Self-Review Questionnaire: Security and Privacy)

2015年12月10日,W3C的技术架构组(TAG)发布了安全与隐私自评估问题列表(Self-Review Questionnaire:Security and Privacy)的工作组备忘(Group Note)。该文档给出了一个帮助技术开发人员及标准研发者的自评估问题列表,可以作为辅助工具,帮助评估一项技术特性或一个Web相关的技术规范是否影响到用户的安全与隐私。但是,该列表并不适合作为一份关于安全与隐私的完整的检查单(checklist),也不能取代目前标准开发过程中在正式发布规范前对安全与隐私相关特性进行更大范围公众意见征集的过程。

12月10日,W3C的Nick Doty发布博客文章:一组确保开放Web平台安全与隐私的工具集(W3C Blog:An array of Tools to Ensure Security and Privacy of the Open Web Platform),在博文中,他提到:隐私保护兴趣组(Privacy Interest Group,简称PING)正在致力于为解决浏览器指纹导致的隐私泄漏问题开展工作寻求建议,同时,该兴趣组也在同TAG一起,开发关于隐私和安全的更详细的问题集(more detailed questionnaries for experts in privacy and security)

此外,PING兴趣组及Web安全兴趣组(Web Security Interest Group)欢迎大家对这一联合问题列表给出反馈意见和建议,这些建议可以帮助W3C的所有工作组、兴趣组、社区组在标准制定中更好的考虑安全与隐私问题。 今年早些时候的一项研究表明,人、流程、工具应当结合在一起,才能让Web更加安全并保护用户的隐私。欢迎您为构建更安全、更好隐私保护的开放Web平台贡献您的意见和建议。

更多信息,请参阅W3C的技术架构组,及本文原文。 

W3C发布面向Web规范开发者的浏览器指纹与隐私保护指南

2015年11月24日,W3C的隐私兴趣组(Privacy Interest Group)发布了Web规范作者细粒度指南(草案)(Fingerprinting Guidance for Web Specification Authors,Draft)的工作组备忘(Group Note)。浏览器在发送Web请求时披露浏览器相关的设置及特征,可能危害用户的隐私。该文档定义了不同类型的“浏览器指纹”,以及这些不同类型的指纹所对应的隐私风险,并为Web规范的开发者在设计开发新的Web功能特性时如何平衡功能性与隐私保护的指南。

更多信息,请参阅兴趣组主页,及英文原文。 

站内搜索

万维网联盟(World Wide Web Consortium, W3C)是Web领域的国际标准化组织,开发开放Web标准,确保Web的长期发展。欢迎您加入W3C的朋友计划,支持W3C实现“尽展Web无限潜能”的使命,并为Web开发者提供更多工具。

更多内容>>

TPAC 2017

W3C 2017年度技术大会及顾问委员会会议(TPAC 2017)将于11月6-10日在美国加利福尼亚州柏林格姆(Burlingame)举行。注册现已开放。

更多内容>>

W3Cx 开放课程

W3C与edX合作,推出W3Cx系列课程,您可以免费注册这些课程:

- CSS概述
- HTML5:第一部分
- HTML5:第二部分
- HTML5概述
更多内容>>

W3C技术标准

查看Web技术标准
- 按时间 | 按工作组
■ Web与产业融合 ■
- 汽车 | 数字出版 | Web与电信
- 娱乐与广播电视 | Web支付 | Web数据
- 物联万维网(WoT) | Web安全
■ Web For All ■
- Web无障碍 | 国际化 | 索引(A to Z)
■ 社区组与商务组 ■
- 所有社区组 | 新建社区组
■ 标准工作组 ■
- 所有推荐标准 | 参与指南

更多内容>>

W3C标准翻译

我们欢迎您加入W3C标准翻译计划,了解W3C标准和文档的翻译情况,并成为W3C翻译计划的志愿者,帮助提供不同语言的W3C标准规范及文档的志愿者翻译及W3C授权翻译,更好服务全球技术社区。

更多内容>>

W3C中国贡献榜

我们通过贡献榜,感谢您积极参与W3C标准制定及审阅工作并提供建设性意见、提供W3C相关标准及技术文章的中文翻译、参与各类W3C技术研讨会。

更多内容>>

中国参与W3C

W3C中国目前正在不断加大全球W3C工作的参与力度,并设立了一系列以了解中国行业需求、引导标准制定为主要目的兴趣小组(IG)和社区组(CG)。
- HTML中文兴趣小组
- 中国信息无障碍社区组
- 中文数字出版社区组
- 中文文字布局需求特别任务组
- 数据可视化社区组

更多内容>>

开发者资源

会员链接

相关资源需要使用 W3C账号登录后使用

首页 | 加入工作组 | 申请W3C账号

合作伙伴

  • 北京航空航天大学
  • 北航计算机学院
  • w3ctech