W3C中国

W3C发布子资源完整性(Subresource Integrity)的候选推荐标准并向公众征集参考实现

2015年11月12日,W3C的Web应用安全工作组(Web Application Security Working Group)发布子资源完整性(Subresource Integrity)的候选推荐标准并向公众征集参考实现。该规范定义了一种机制,依据这种机制,用户代理可以通过验证所获取到的资源文件是否经过篡改,保证获得资源的完整性。

更多信息,请参阅英文原文

W3C发布基于源Web标签的限制访问策略(Confinement with Origin Web Labels)的首份标准工作草案

2015年10月15日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了基于源Web标签的限制访问策略(Confinement with Origin Web Labels)的首份标准工作草案。该规范定义了一组用于指定数据的隐私和完整性策略的API,它采用Web标签(Labels)的形式,并支持基于这些策略限制程序代码访问数据的机制(mechanism for confining code according to such polices)。该规范将允许Web应用的开发者及服务器管理员在非可信代码(即可能存在代码缺陷,但非恶意)的情况下共享数据,如通过聚合(mashup)数据提供新服务,同时该草案后续将进一步支持对代码访问数据的更细粒度限制。
 

更多信息,请参阅W3C的Web应用安全工作组,及英文原文。 

W3C发布升级非安全请求、混合内容两份候选推荐标准 征集参考实现

2015年10月8日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了两份文档的候选推荐标准(Candidate Recommendations),帮助Web开发者和Web用户实现安全的、基于认证的内容浏览:
 

升级非安全请求(Upgrade Insecure Requests):该文档定义了一个新的内容安全策略指示符(Content Security Policy Directive)upgrade-insecure-requests,这种机制允许站点开发者引导用户代理,在获取一些受保护资源之前,从非安全的资源请求升级为安全请求。W3C在2015年2月发布了该标准的首份标准工作草案

混合内容(Mixed Content):该文档详细介绍了用户代理(浏览器等)如何通过限制资源借助非安全信道与其他站点通信,以及将非公开的资源内容通过非安全信道传输而暴露在Web上等方式,控制用户安全与隐私的风险。草案描述了用户代理在处理加密和认证的文档时,如何禁止(disallow)对经过非加密方式或非授权连接所加载的子资源进行渲染或执行。
 

更多内容,请参阅英文原文,及W3C的安全标准计划。

W3C发布追踪偏好表达(Tracking Preference Expression, DNT)的候选推荐标准 征集参考实现

2015年8月20日,W3C的追踪保护工作组(Tracking Protection Working Group)追踪偏好表达(Tracking Preference Expression,DNT)候选推荐标准(Candidate Recommendation),向公众征集参考实现。该规范将DNT请求头字段(header field)定义为:一个表达用户追踪偏好的HTTP机制;一个通过脚本使用户追踪偏好表达具有可读性的HTML DOM属性;允许脚本注册经用户允许的网站特定例外的APIs。该规范同时定义了一个可以通过使用提供机器可读的追踪状态的“Tk”响应字段以及众所周知的资源来传达是否需要以及如何处理公认用户偏好的沟通机制。

8月20日,W3C的Wendy Seltzer发布博客文章“TPE to CR: Advancing the Conversation about Web Tracking Preferences”,探讨未来追踪保护工作的思路,具体内容如下。

关于“DNT”的HTTP头的讨论是一个广泛的关于公众隐私保护的讨论。TPE允许用户通过其代理(如浏览器等)向服务器发送一个信号,“不要追踪我”,或告诉服务器“我不介意你的追踪行为”。这一规范将确保服务器端能够获得用户关于追踪行为的偏好。目前,DNT头已经获得了绝大多数浏览器的支持,用户已经有一个办法通过这个“1比特”的信息来表达自己的追踪偏好了。

目前,追踪保护工作组正在尝试定义与 DNT 偏好相适应的追踪含义(meaning of tracking)。工作组的目标是,在第二份工作文档中,定义对于大部分用例有真正应用价值的表达方法,确保所定义的标准足够灵活,以适应不同的商业应用场景,从而使站点通过对追踪状态消息的响应中加入一个URI,或其他方法来表达站点所遵循的追踪规则。工业界可以选择遵循 W3C定义的追踪行为的合规性规范(Compliance specification),或选择其他的替代物来表达这一规则。

我们欢迎其他的工作组考虑 DNT 这个HTTP头部的更多使用方法。EFF等也发布了关于描述追踪偏好合规性策略(compliance policy)的替代性方案。用户可以安装 EFF 的 Privacy Badger(一个浏览器插件),从而扩展支持追踪偏好策略,帮助屏蔽哪些违反追踪偏好行为的请求。我们观察到,这一工具正是基于 TPE 规范,是对 Do Not Track 这个生态系统的有益扩展,通过 DNT 头向服务器端表达隐私请求,并给出了一些新的响应文本。

这一工作的重要性在最近 W3C技术架构组(TAG)关于“未经许可的Web追踪行为(Unsanctioned Web Tracking)” 的报告中得到了肯定。TAG认识到,基于标准Web协议的追踪行为应充分考虑并尊重用户隐私保护需求,以及用户对数据流的控制需求,同时可以为用户和其他研究者提供透明性,这是Web产业的合理组成部分。而未经许可的追踪行为将凌驾于良好定义的Web标准和机制之上,并最终将损害用户的信任。TPE响应及追踪偏好的合规性将成为Web隐私及保持透明性的重要工具,帮助站点满足用户期望的同时,准种的隐私保护需求。

更多信息,请参阅英文原文,及W3C的隐私保护标准计划(Privacy Activity)。关于博客文章的详细信息,请参阅英文原文,W3C Blog: TPE to CR: Advancing the Conversation about Web Tracking Preferences 。更多博客文章,请参阅W3C Blog(中文)。欢迎您使用W3C官方博客W3C中国网站参与互动讨论。

W3C的Web应用安全工作组发布清除站点数据(Clear Site Data)的首个公开工作草案

2015年8月4日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了清除站点数据(Clear Site Data)的首个公开工作草案。该文档定义了一个重要机制,该机制允许Web开发者指令用户代理清除用户本地存储的与主机及其子域相关的数据。

更多信息,请参阅英文原文,及W3C的安全标准计划(Security Activity)

 

 

W3C发布XML签名语法和处理2.0版的工作组备忘

2015年7月23日,W3C的XML安全工作组(XML Security Working Group)发布了XML签名语法和处理2.0版(XML Signature Syntax and Processing Version 2.0)的工作组备忘。W3C的此份工作备忘描述了XML数字签名处理规则及语法格式。无论XML签名是位于包含签名的XML文档中还是其他任何地方,XML签名都可为各种类型的数据提供文档的完整性(integrity)、消息认证性(message authentication)和/或签名者身份验证服务(signer authentication services)。

更多信息,请参阅英文原文,及W3C的安全标准计划(Security Activity)

W3C发布内容安全策略(Content Security Policy Level 2)的候选推荐标准 征集参考实现

2015年7月21日,W3C的Web应用安全工作组(Web Application Security Working Group)内容安全策略(Content Security Policy Level 2)候选推荐标准向公众征集参考实现。该文档定义了一个策略语言,用来声明一组对Web资源的访问限制(restrictions),并定义了一种在服务器和客户端之间传递策略并确保策略强制执行的机制。

更多信息,请参阅英文原文,及W3C的安全标准计划(Security Activity)

W3C TAG: Web的端到端加密(End-to-End Encryption and the Web)

2015年7月16日,W3C的技术架构组(Technical Architecture Group,TAG)发布Web的端到端安全(End-to-End Encryption and the Web)的技术架构组发现(TAG Findings)。

在这份文档中,TAG认为Web是一个用户信任的互操作开放平台。基于强加密(Strong Encryption),万维网可以支持商业创新,并维护用户的信任。在另一份关于加密的TAG发现中,TAG强烈表达了支持采用HTTPS来确保用户的认证性与内容加密保护。最近的W3C标准(如安全上下文升级非安全需求等)使得加密Web更容易实现。基于TLS的内容加密对于抵御用户信任获取的攻击(如 Permacookie),以及攻击用户的信任证及其他敏感信息的攻击(如FireSheep)等有较好效果。

更多内容,请参阅英文原文

W3C发布设备API访问权限的工作组备忘

2015年7月14日,W3C的设备API及策略工作组(Device APIs Working Group)发布了一份设备API访问权限(Permissions for Device API Access)的工作组备忘。该工作组备忘指出,这一标准规范的制定工作现已中止,该规范的进一步开展将由Web应用程序安全工作组(Web Application Security Working Group)执行。Web应用程序安全工作组已经发布了一份权限API(Permissions API)的更新版本。

更多信息,请参阅英文原文及W3C的安全标准计划。

W3C发布追踪合规性及适用范围(Tracking Compliance and Scope)的标准草案最终征求意见稿

2015年7月14日,W3C的追踪保护工作组(Tracking Protection Working Group)发布了追踪合规性及适用范围(Tracking Compliance and Scope)标准工作草案的最终征求意见稿(Last Call Working Draft)。该规范定义了“不追踪(Do Not Track, DNT)"偏好的含义、范围及Web站点如何符合用户的各种不同DNT偏好。欢迎您于 2015年10月7日 前提出对该草案的意见和建议。

更多内容,请参阅英文原文,及W3C的隐私保护标准计划(Privacy Activity)

W3C发布入口点监管(Entry Point Regulation)的首个公开工作草案

2015年6月9日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了入口点监管(Entry Point Regulation)的首个公开工作草案。入口点监管旨在通过界定外部可引用应用程序的范围,来减轻因跨站脚本攻击(XSS)、跨站脚本包含(XSSI)与跨站请求伪造(CSRF)等网络攻击带来的风险。该规范允许站点制定针对所有未界定资源的外部请求的特定的控制策略。

更多信息,请参阅英文原文,及W3C的安全标准计划(Security Activity)

W3C发布信任证管理(Credential Management Level 1)的工作草案

2015年4月30日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了信任证管理(Credential Management Level 1)的标准工作草案。该规范提供了一组API,允许Web站点和Web应用通过用户代理(如浏览器等)请求用户的信任证(credentials),并帮助用户代理正确的存储用户的信任证以便后续使用。

更多信息,请参阅英文原文,及W3C的安全标准计划(Security Activity)。 

站内搜索

万维网联盟(World Wide Web Consortium, W3C)是Web领域的国际标准化组织,开发开放Web标准,确保Web的长期发展。欢迎您加入W3C的朋友计划,支持W3C实现“尽展Web无限潜能”的使命,并为Web开发者提供更多工具。

更多内容>>

TPAC 2017

W3C 2017年度技术大会及顾问委员会会议(TPAC 2017)将于11月6-10日在美国加利福尼亚州柏林格姆(Burlingame)举行。注册现已开放。

更多内容>>

W3Cx 开放课程

W3C与edX合作,推出W3Cx系列课程,您可以免费注册这些课程:

- CSS概述
- HTML5:第一部分
- HTML5:第二部分
- HTML5概述
更多内容>>

W3C技术标准

查看Web技术标准
- 按时间 | 按工作组
■ Web与产业融合 ■
- 汽车 | 数字出版 | Web与电信
- 娱乐与广播电视 | Web支付 | Web数据
- 物联万维网(WoT) | Web安全
■ Web For All ■
- Web无障碍 | 国际化 | 索引(A to Z)
■ 社区组与商务组 ■
- 所有社区组 | 新建社区组
■ 标准工作组 ■
- 所有推荐标准 | 参与指南

更多内容>>

W3C标准翻译

我们欢迎您加入W3C标准翻译计划,了解W3C标准和文档的翻译情况,并成为W3C翻译计划的志愿者,帮助提供不同语言的W3C标准规范及文档的志愿者翻译及W3C授权翻译,更好服务全球技术社区。

更多内容>>

W3C中国贡献榜

我们通过贡献榜,感谢您积极参与W3C标准制定及审阅工作并提供建设性意见、提供W3C相关标准及技术文章的中文翻译、参与各类W3C技术研讨会。

更多内容>>

中国参与W3C

W3C中国目前正在不断加大全球W3C工作的参与力度,并设立了一系列以了解中国行业需求、引导标准制定为主要目的兴趣小组(IG)和社区组(CG)。
- HTML中文兴趣小组
- 中国信息无障碍社区组
- 中文数字出版社区组
- 中文文字布局需求特别任务组
- 数据可视化社区组

更多内容>>

开发者资源

会员链接

相关资源需要使用 W3C账号登录后使用

首页 | 加入工作组 | 申请W3C账号

合作伙伴

  • 北京航空航天大学
  • 北航计算机学院
  • w3ctech