W3C中国

专利咨询组发布报告 建议W3C继续推进Web认证(Web Authentication)标准工作

2017年3月30日,W3C的Web认证工作组(Web Authentication Working Group)专利咨询组(Patent Advisory Group)发布了一份报告,建议W3C急需开展Web认证标准的制定工作。
 

2016年2月,在一份基于FIDO 2.0的会员提案基础上,W3C设立了Web认证工作组(W3C Web Authentication Working Group,详见工作组章程),致力于为Web应用定义基于非对称密码体系的API、数字签名及相关的数据格式。2016年5月31日,W3C发布了Web认证的首份工作草案。2016年8月,Visa Europe(W3C会员,但没有参与Web认证工作组)依据W3C专利政策提出了专利披露与豁免(disclosed and excluded)请求,10月,W3C设立专利咨询组,针对披露请求涉及的8项专利进行了分析和审查。所发布的审查报告认定这些披露的专利不对Web认证标准(Web Authentication Specification)的制定构成影响。
 

通常,在W3C中,如果某个技术标准中涉及的某项专利技术,相关专利已由持有者公开披露,是该技术标准实现中必须采用的技术(essntial),但根据W3C的 免费许可条款(Royalty-Free licensing terms)无法从专利持有人处获得免费授权时,W3C将设立专利咨询组(PAG, Patent Advisory Group),解决标准中的专利问题。
 

更多信息,请参阅英文原文,及该专利咨询组主页

W3C发布团队提案 建议安全披露最佳实践

W3C Security Disclosures Best Practice2017年3月2日,W3C发布了W3C安全披露最佳实践(W3C Security Disclosures Best Practices)的团队提案(Team Submission),该文档是W3C在2017年1月下旬关于HTML媒体扩展(HME)声明的延续,给出了一个关于安全和隐私的披露程序,并将作为安全和隐私保护领域开展进一步工作的基础。
 

任何一个组织都有保护其用户及应用免受欺诈、恶意软件及计算机病毒等的威胁,并应确保符合W3C推荐标准中有关安全及隐私保护的技术要求。本文给出了一个模版来指导这些组织。同时,也为支持来自安全技术社区的广泛参与、测试及审计提供支持,帮助提供更加安全的Web安全模型。
 

未来几天,W3C理事长(Director)会将加密媒体扩展(Encrypted Media Extensions)提案推荐标准提交给W3C会员,同时,也希望寻求会员对 W3C安全披露最佳实践 这份团队提案的意见和建议。更多信息,请参阅2017年1月 W3C关于漏洞披露程序的说明(January 2017 Information about W3C Guidelines for Vulnerability Disclosure Program),以及W3C理事长 Tim Berners Lee 关于HTML5中的EME支持的博客文章:HTML5中的加密媒体扩展W3C Blog: EME in HTML5)。
 

更多内容,请参阅英文原文

W3C发布Web加密API的正式推荐标准

2017年1月26日,W3C的Web加密工作组(Web Cryptography Working Group)发布发布Web加密API(Web Cryptography API)的正式W3C推荐标准(W3C Recommendation)。该规范定义了一个JavaScript API,帮助Web应用以标准的方式完成基本的密码学操作,如哈希、签字生成与验证、加密及解密等。此外,该规范还为Web应用提供了密钥管理与操作所需的API。Web加密API的可能应用场景包括服务器认证、文档及代码签字、通信中的机密性与完整性保证等。
 

更多内容,请参阅W3C的Web加密工作组

W3C发布Web加密API的提案推荐标准 征集审阅意见

2016年12月15日,W3C的Web加密工作组(Web Cryptography Working Group)发布发布Web加密API(Web Cryptography API)提案推荐标准,并征集审阅意见。该规范定义了一个JavaScript API,帮助Web应用以标准的方式完成基本的密码学操作,如哈希、签字生成与验证、加密及解密等。此外,该规范还为Web应用提供了密钥管理与操作所需的API。Web加密API的可能应用场景包括服务器认证、文档及代码签字、通信中的机密性与完整性保证等。欢迎您于2017年1月15日前,提交您对该文档的审阅意见。
 

更多内容,请参阅英文原文

W3C发布内容安全策略(Content Security Policy Level 2)正式推荐标准

2016年12月15日,W3C的Web应用安全工作组(Web Application Security Working Group )发布内容安全策略(Content Security Policy Level 2)正式推荐标准。该文档定义了一个策略语言,用来声明一组对Web资源的访问限制(restrictions);并定义了一种机制,用于在服务器和客户端之间传递策略并确保策略强制执行。
 

更多内容, 请参阅英文原文

W3C发布内容安全策略(Content Security Policy Level 2)的提案推荐标准

2016年11月8日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了内容安全策略(Content Security Policy Level 2)的提案推荐标准(Proposed Recommendation)。该文档定义了一个策略语言,用来声明一组对Web资源的访问限制(restrictions),并定义了一种在服务器和客户端之间传递策略并确保策略强制执行的机制。欢迎您于 2016年12月9日 前反馈您的意见和建议。

更多信息,请参阅英文原文,及W3C的Web应用安全工作组

W3C设立Web认证工作组专利咨询组 处理相关专利披露请求

2016年10月17日,依据W3C的专利政策,W3C启动了Web认证工作组专利咨询组(Web Authentication Working Group Patent Advisory Group,PAG),以应对关于Web认证 API中设计的专利披露请求,这些披露请求是由 Visa Europe 提出的,共涉及 8项在美国、加拿大、新加坡、澳大利亚及韩国注册的专利,更多详情请参阅该专利咨询组的小组章程
 

通常,在W3C中,如果某个技术标准中涉及的某项专利技术,相关专利已由持有者公开披露,是该技术标准实现中必须采用的技术(essntial),但根据W3C的 免版税条款(Royalty-Free licensing terms)无法从专利持有人处获得免费授权时,W3C将设立专利咨询组(PAG, Patent Advisory Group),解决标准中的专利问题。
 

更多信息,请参阅该专利咨询组主页,及公共邮件列表 public-webauthn-pag@w3.org

W3C发布安全上下文(Secure Context)的候选推荐标准

2016年9月15日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了安全上下文(Secure Context)的候选推荐标准。该规范定义了“安全上下文(Secure Context)”,允许用户代理(如浏览器)实现和技术规范的作者对于在何种认证机制和机密性保证前提下,可以启用何种特定的技术特性做出约定。
 

更多信息,请参阅英文原文

W3C发布混合内容(Mixed Content)的候选推荐标准 征集参考实现

2016年8月2日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了混合内容(Mixed Content)的候选推荐标准(Candidate Recommendation),向公众征集参考实现。

通常当用户代理通过一个安全信道(如HTTPS)从一个特定站点加载一个资源(如Web页面)时,用户代理可以获得关于该资源的用户安全和隐私状态的三种判断:认证性(authenticated)、加密性(encrypted)及数据完整性(data integrity)。这些判断对于防止资源内容被篡改或窃听,抵御中间人攻击非常重要。但如果这些经过认证和加密的资源再通过一个非安全的信道(如HTTP)请求其他的子资源(如脚本、图片等),该资源的安全性就不再能够得到保证,从而处在一个混合状态,而事实上这一情况非常普遍。

混合内容(Mixed Content)标准详细介绍了用户代理(浏览器等)如何通过限制资源借助非安全信道与其他站点通信,以及将非公开的资源内容通过非安全信道传输而暴露在Web上等方式,控制用户安全与隐私的风险。草案描述了用户代理在处理加密和认证的文档时,如何禁止(disallow)对经过非加密方式或非授权连接所加载的子资源进行渲染或执行。

更多信息,请参阅英文原文,及W3C的安全标准计划(Security Activity)。  

 

W3C发布Web认证(Web Authentication)中信任证访问API的首份工作草案

2016年5月31日,W3C的Web认证工作组(Web Authentication Working Group)发布Web认证:访问一定范围内凭证的Web API(Web Authentication: A Web API for accessing scoped credentials)的首份公开工作草案。该规范定义了一个API,允许Web页面通过浏览器脚本访问WebAuthn兼容的强加密凭证(Strong Authentication Credentials)。从概念上讲,在一个认证器(authenticator)上可以保存一个或者多个信任证(凭证),每一个信任证的使用范围可以限定在某一个信任方(relying party)。认证器应确保不会在用户不知情的情况下执行操作。为了保护用户隐私,用户代理(如 浏览器等)可用来协调这些对不同信任凭证的访问和使用操作。认证器可以通过认证(attestation)功能对属性的加密向信任方提供信息。此外,该规范还给出了与WebAuthn兼容的认证器功能模型,包括其签字及认证功能细则。

更多内容,请参阅英文原文

W3C发布子资源完整性(Subresource Integrity)提案推荐标准

2016年5月10日,W3C的Web应用安全工作组(Web Application Security Working Group)发布子资源完整性(Subresource Integrity)的提案推荐标准并向公众征集审阅意见。该规范定义了一种机制,用户代理可以通过该机制验证所获取的资源文件是否经过篡改,从而确保获得资源的完整性。欢迎您于2016年7月7日前对该规范进行审阅并提交审阅意见。

更多信息,请参阅英文原文

站内搜索

万维网联盟(World Wide Web Consortium, W3C)是Web领域的国际标准化组织,致力开发开放Web标准确保Web的长期发展,实现“尽展Web无限潜能”的使命。

更多内容>>

TPAC 2021

2021年度全球技术大会 · 10月18-29日 · 线上会议

更多内容>>

W3Cx 开放课程

W3C与edX合作,推出W3Cx系列课程,您可以免费注册这些课程:

Web无障碍入门 | JavaScript入门 | CSS概述
HTML5概论 | HTML5(一) | HTML5 (二)
更多内容>>

W3C技术标准

查看Web技术标准
- 所有标准
■ Web与产业融合 ■
- 汽车 | 数字出版 | Web与电信
- 娱乐与广播电视 | Web支付 | Web数据
- 物联万维网(WoT) | Web安全
■ Web For All ■
- Web无障碍 | 国际化 | 索引(A to Z)
■ 社区组与商务组 ■
- 所有社区组 | 新建社区组
■ 标准工作组 ■
- 所有标准小组 | 参与指南

更多内容>>

W3C标准翻译

欢迎您加入W3C翻译计划,了解W3C标准和文档翻译情况,帮助提供不同语言的W3C标准规范及文档的志愿者翻译及W3C授权翻译,惠及全球技术社区。

更多内容>>

W3C中国贡献榜

我们通过贡献榜,感谢您积极参与W3C的标准制定及审阅工作、提供标准及技术文章的中文翻译、参与各类技术研讨会。

更多内容>>

中国参与W3C

W3C中国目前正在不断加大全球W3C工作的参与力度,并推动了一系列以了解中国行业需求、引导标准制定为主要目的的工作组(WG)、兴趣组(IG)和社区组(CG)。
Web中文兴趣组 | MiniApps工作组 | MiniApps生态社区组 | 弹幕特别任务组 | 中国信息无障碍社区组 | 中文数字出版社区组 | 数据可视化社区组 | 中文文字布局需求特别任务组

更多内容>>

会员链接

相关资源需要使用 W3C账号登录后使用

首页 | 加入工作组 | 申请W3C账号 | 中国会员参考

开发者资源

合作伙伴

  • 北京航空航天大学
  • 北航计算机学院
  • w3ctech