W3C中国

W3C发布Cookie控制、嵌入式策略强制等两份CSP相关的标准工作草案

2015年12月15日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了Cookie控制 及 嵌入式控制(Embedded Enforcement)两份与内容安全策略(CSP)相关的标准工作草案:

内容安全策略:Cookie控制(Content Security Policy: Cookie Control)。该文档定义了一种机制,允许Web开发者通过指定 content-security-policy: cookie scope 策略,在不同站点和应用程序上下文环境中,限制浏览器对记录了用户信息及会话信息的Cookie向Web服务器的传送方式(如是否要求安全链路传输)和范围(如是否限定在指定主机或子域)。

内容安全策略:嵌入式策略强制(Content Security Policy:Embedded Enforcement):该文档定义了一种机制,允许开发者在Web页面中嵌入一个嵌套的浏览器上下文(nested browsing context),并在其中强制执行一组特定的内容安全策略限制,例如对页面中嵌入的 iframe 指定一组嵌入的特定内容安全策略。

更多信息,请参阅W3C的Web应用安全工作组,及英文原文。 

W3C发布安全与隐私自评估问题列表(Self-Review Questionnaire: Security and Privacy)

2015年12月10日,W3C的技术架构组(TAG)发布了安全与隐私自评估问题列表(Self-Review Questionnaire:Security and Privacy)的工作组备忘(Group Note)。该文档给出了一个帮助技术开发人员及标准研发者的自评估问题列表,可以作为辅助工具,帮助评估一项技术特性或一个Web相关的技术规范是否影响到用户的安全与隐私。但是,该列表并不适合作为一份关于安全与隐私的完整的检查单(checklist),也不能取代目前标准开发过程中在正式发布规范前对安全与隐私相关特性进行更大范围公众意见征集的过程。

12月10日,W3C的Nick Doty发布博客文章:一组确保开放Web平台安全与隐私的工具集(W3C Blog:An array of Tools to Ensure Security and Privacy of the Open Web Platform),在博文中,他提到:隐私保护兴趣组(Privacy Interest Group,简称PING)正在致力于为解决浏览器指纹导致的隐私泄漏问题开展工作寻求建议,同时,该兴趣组也在同TAG一起,开发关于隐私和安全的更详细的问题集(more detailed questionnaries for experts in privacy and security)

此外,PING兴趣组及Web安全兴趣组(Web Security Interest Group)欢迎大家对这一联合问题列表给出反馈意见和建议,这些建议可以帮助W3C的所有工作组、兴趣组、社区组在标准制定中更好的考虑安全与隐私问题。 今年早些时候的一项研究表明,人、流程、工具应当结合在一起,才能让Web更加安全并保护用户的隐私。欢迎您为构建更安全、更好隐私保护的开放Web平台贡献您的意见和建议。

更多信息,请参阅W3C的技术架构组,及本文原文。 

W3C发布面向Web规范开发者的浏览器指纹与隐私保护指南

2015年11月24日,W3C的隐私兴趣组(Privacy Interest Group)发布了Web规范作者细粒度指南(草案)(Fingerprinting Guidance for Web Specification Authors,Draft)的工作组备忘(Group Note)。浏览器在发送Web请求时披露浏览器相关的设置及特征,可能危害用户的隐私。该文档定义了不同类型的“浏览器指纹”,以及这些不同类型的指纹所对应的隐私风险,并为Web规范的开发者在设计开发新的Web功能特性时如何平衡功能性与隐私保护的指南。

更多信息,请参阅兴趣组主页,及英文原文。 

W3C发布子资源完整性(Subresource Integrity)的候选推荐标准并向公众征集参考实现

2015年11月12日,W3C的Web应用安全工作组(Web Application Security Working Group)发布子资源完整性(Subresource Integrity)的候选推荐标准并向公众征集参考实现。该规范定义了一种机制,依据这种机制,用户代理可以通过验证所获取到的资源文件是否经过篡改,保证获得资源的完整性。

更多信息,请参阅英文原文

W3C发布基于源Web标签的限制访问策略(Confinement with Origin Web Labels)的首份标准工作草案

2015年10月15日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了基于源Web标签的限制访问策略(Confinement with Origin Web Labels)的首份标准工作草案。该规范定义了一组用于指定数据的隐私和完整性策略的API,它采用Web标签(Labels)的形式,并支持基于这些策略限制程序代码访问数据的机制(mechanism for confining code according to such polices)。该规范将允许Web应用的开发者及服务器管理员在非可信代码(即可能存在代码缺陷,但非恶意)的情况下共享数据,如通过聚合(mashup)数据提供新服务,同时该草案后续将进一步支持对代码访问数据的更细粒度限制。
 

更多信息,请参阅W3C的Web应用安全工作组,及英文原文。 

W3C发布升级非安全请求、混合内容两份候选推荐标准 征集参考实现

2015年10月8日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了两份文档的候选推荐标准(Candidate Recommendations),帮助Web开发者和Web用户实现安全的、基于认证的内容浏览:
 

升级非安全请求(Upgrade Insecure Requests):该文档定义了一个新的内容安全策略指示符(Content Security Policy Directive)upgrade-insecure-requests,这种机制允许站点开发者引导用户代理,在获取一些受保护资源之前,从非安全的资源请求升级为安全请求。W3C在2015年2月发布了该标准的首份标准工作草案

混合内容(Mixed Content):该文档详细介绍了用户代理(浏览器等)如何通过限制资源借助非安全信道与其他站点通信,以及将非公开的资源内容通过非安全信道传输而暴露在Web上等方式,控制用户安全与隐私的风险。草案描述了用户代理在处理加密和认证的文档时,如何禁止(disallow)对经过非加密方式或非授权连接所加载的子资源进行渲染或执行。
 

更多内容,请参阅英文原文,及W3C的安全标准计划。

W3C发布追踪偏好表达(Tracking Preference Expression, DNT)的候选推荐标准 征集参考实现

2015年8月20日,W3C的追踪保护工作组(Tracking Protection Working Group)追踪偏好表达(Tracking Preference Expression,DNT)候选推荐标准(Candidate Recommendation),向公众征集参考实现。该规范将DNT请求头字段(header field)定义为:一个表达用户追踪偏好的HTTP机制;一个通过脚本使用户追踪偏好表达具有可读性的HTML DOM属性;允许脚本注册经用户允许的网站特定例外的APIs。该规范同时定义了一个可以通过使用提供机器可读的追踪状态的“Tk”响应字段以及众所周知的资源来传达是否需要以及如何处理公认用户偏好的沟通机制。

8月20日,W3C的Wendy Seltzer发布博客文章“TPE to CR: Advancing the Conversation about Web Tracking Preferences”,探讨未来追踪保护工作的思路,具体内容如下。

关于“DNT”的HTTP头的讨论是一个广泛的关于公众隐私保护的讨论。TPE允许用户通过其代理(如浏览器等)向服务器发送一个信号,“不要追踪我”,或告诉服务器“我不介意你的追踪行为”。这一规范将确保服务器端能够获得用户关于追踪行为的偏好。目前,DNT头已经获得了绝大多数浏览器的支持,用户已经有一个办法通过这个“1比特”的信息来表达自己的追踪偏好了。

目前,追踪保护工作组正在尝试定义与 DNT 偏好相适应的追踪含义(meaning of tracking)。工作组的目标是,在第二份工作文档中,定义对于大部分用例有真正应用价值的表达方法,确保所定义的标准足够灵活,以适应不同的商业应用场景,从而使站点通过对追踪状态消息的响应中加入一个URI,或其他方法来表达站点所遵循的追踪规则。工业界可以选择遵循 W3C定义的追踪行为的合规性规范(Compliance specification),或选择其他的替代物来表达这一规则。

我们欢迎其他的工作组考虑 DNT 这个HTTP头部的更多使用方法。EFF等也发布了关于描述追踪偏好合规性策略(compliance policy)的替代性方案。用户可以安装 EFF 的 Privacy Badger(一个浏览器插件),从而扩展支持追踪偏好策略,帮助屏蔽哪些违反追踪偏好行为的请求。我们观察到,这一工具正是基于 TPE 规范,是对 Do Not Track 这个生态系统的有益扩展,通过 DNT 头向服务器端表达隐私请求,并给出了一些新的响应文本。

这一工作的重要性在最近 W3C技术架构组(TAG)关于“未经许可的Web追踪行为(Unsanctioned Web Tracking)” 的报告中得到了肯定。TAG认识到,基于标准Web协议的追踪行为应充分考虑并尊重用户隐私保护需求,以及用户对数据流的控制需求,同时可以为用户和其他研究者提供透明性,这是Web产业的合理组成部分。而未经许可的追踪行为将凌驾于良好定义的Web标准和机制之上,并最终将损害用户的信任。TPE响应及追踪偏好的合规性将成为Web隐私及保持透明性的重要工具,帮助站点满足用户期望的同时,准种的隐私保护需求。

更多信息,请参阅英文原文,及W3C的隐私保护标准计划(Privacy Activity)。关于博客文章的详细信息,请参阅英文原文,W3C Blog: TPE to CR: Advancing the Conversation about Web Tracking Preferences 。更多博客文章,请参阅W3C Blog(中文)。欢迎您使用W3C官方博客W3C中国网站参与互动讨论。

W3C的Web应用安全工作组发布清除站点数据(Clear Site Data)的首个公开工作草案

2015年8月4日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了清除站点数据(Clear Site Data)的首个公开工作草案。该文档定义了一个重要机制,该机制允许Web开发者指令用户代理清除用户本地存储的与主机及其子域相关的数据。

更多信息,请参阅英文原文,及W3C的安全标准计划(Security Activity)

 

 

W3C发布XML签名语法和处理2.0版的工作组备忘

2015年7月23日,W3C的XML安全工作组(XML Security Working Group)发布了XML签名语法和处理2.0版(XML Signature Syntax and Processing Version 2.0)的工作组备忘。W3C的此份工作备忘描述了XML数字签名处理规则及语法格式。无论XML签名是位于包含签名的XML文档中还是其他任何地方,XML签名都可为各种类型的数据提供文档的完整性(integrity)、消息认证性(message authentication)和/或签名者身份验证服务(signer authentication services)。

更多信息,请参阅英文原文,及W3C的安全标准计划(Security Activity)

W3C发布内容安全策略(Content Security Policy Level 2)的候选推荐标准 征集参考实现

2015年7月21日,W3C的Web应用安全工作组(Web Application Security Working Group)内容安全策略(Content Security Policy Level 2)候选推荐标准向公众征集参考实现。该文档定义了一个策略语言,用来声明一组对Web资源的访问限制(restrictions),并定义了一种在服务器和客户端之间传递策略并确保策略强制执行的机制。

更多信息,请参阅英文原文,及W3C的安全标准计划(Security Activity)

W3C TAG: Web的端到端加密(End-to-End Encryption and the Web)

2015年7月16日,W3C的技术架构组(Technical Architecture Group,TAG)发布Web的端到端安全(End-to-End Encryption and the Web)的技术架构组发现(TAG Findings)。

在这份文档中,TAG认为Web是一个用户信任的互操作开放平台。基于强加密(Strong Encryption),万维网可以支持商业创新,并维护用户的信任。在另一份关于加密的TAG发现中,TAG强烈表达了支持采用HTTPS来确保用户的认证性与内容加密保护。最近的W3C标准(如安全上下文升级非安全需求等)使得加密Web更容易实现。基于TLS的内容加密对于抵御用户信任获取的攻击(如 Permacookie),以及攻击用户的信任证及其他敏感信息的攻击(如FireSheep)等有较好效果。

更多内容,请参阅英文原文

W3C发布设备API访问权限的工作组备忘

2015年7月14日,W3C的设备API及策略工作组(Device APIs Working Group)发布了一份设备API访问权限(Permissions for Device API Access)的工作组备忘。该工作组备忘指出,这一标准规范的制定工作现已中止,该规范的进一步开展将由Web应用程序安全工作组(Web Application Security Working Group)执行。Web应用程序安全工作组已经发布了一份权限API(Permissions API)的更新版本。

更多信息,请参阅英文原文及W3C的安全标准计划。

站内搜索

万维网联盟(World Wide Web Consortium, W3C)是Web领域的国际标准化组织,开发开放Web标准,确保Web的长期发展。欢迎您加入W3C的朋友计划,支持W3C实现“尽展Web无限潜能”的使命,并为Web开发者提供更多工具。

更多内容>>

AC 2018

W3C 2018年度顾问委员会会议(AC 2018)将于5月13-15日在德国柏林(Berlin, Germany)举行。注册现已开放。

更多内容>>

W3Cx 开放课程

W3C与edX合作,推出W3Cx系列课程,您可以免费注册这些课程:

- CSS概述
- HTML5:第一部分
- HTML5:第二部分
- HTML5概述
更多内容>>

W3C技术标准

查看Web技术标准
- 按时间 | 按工作组
■ Web与产业融合 ■
- 汽车 | 数字出版 | Web与电信
- 娱乐与广播电视 | Web支付 | Web数据
- 物联万维网(WoT) | Web安全
■ Web For All ■
- Web无障碍 | 国际化 | 索引(A to Z)
■ 社区组与商务组 ■
- 所有社区组 | 新建社区组
■ 标准工作组 ■
- 所有推荐标准 | 参与指南

更多内容>>

W3C标准翻译

我们欢迎您加入W3C标准翻译计划,了解W3C标准和文档的翻译情况,并成为W3C翻译计划的志愿者,帮助提供不同语言的W3C标准规范及文档的志愿者翻译及W3C授权翻译,更好服务全球技术社区。

更多内容>>

W3C中国贡献榜

我们通过贡献榜,感谢您积极参与W3C标准制定及审阅工作并提供建设性意见、提供W3C相关标准及技术文章的中文翻译、参与各类W3C技术研讨会。

更多内容>>

中国参与W3C

W3C中国目前正在不断加大全球W3C工作的参与力度,并设立了一系列以了解中国行业需求、引导标准制定为主要目的兴趣小组(IG)和社区组(CG)。
- HTML中文兴趣小组
- 中国信息无障碍社区组
- 中文数字出版社区组
- 中文文字布局需求特别任务组
- 数据可视化社区组

更多内容>>

开发者资源

会员链接

相关资源需要使用 W3C账号登录后使用

首页 | 加入工作组 | 申请W3C账号

合作伙伴

  • 北京航空航天大学
  • 北航计算机学院
  • w3ctech