2017年1月26日,W3C的Web加密工作组(Web Cryptography Working Group)发布发布Web加密API(Web Cryptography API)的正式W3C推荐标准(W3C Recommendation)。该规范定义了一个JavaScript API,帮助Web应用以标准的方式完成基本的密码学操作,如哈希、签字生成与验证、加密及解密等。此外,该规范还为Web应用提供了密钥管理与操作所需的API。Web加密API的可能应用场景包括服务器认证、文档及代码签字、通信中的机密性与完整性保证等。
更多内容,请参阅W3C的Web加密工作组。
2016年12月15日,W3C的Web加密工作组(Web Cryptography Working Group)发布发布Web加密API(Web Cryptography API)提案推荐标准,并征集审阅意见。该规范定义了一个JavaScript API,帮助Web应用以标准的方式完成基本的密码学操作,如哈希、签字生成与验证、加密及解密等。此外,该规范还为Web应用提供了密钥管理与操作所需的API。Web加密API的可能应用场景包括服务器认证、文档及代码签字、通信中的机密性与完整性保证等。欢迎您于2017年1月15日前,提交您对该文档的审阅意见。
更多内容,请参阅英文原文。
2016年12月15日,W3C的Web应用安全工作组(Web Application Security Working Group )发布内容安全策略(Content Security Policy Level 2)正式推荐标准。该文档定义了一个策略语言,用来声明一组对Web资源的访问限制(restrictions);并定义了一种机制,用于在服务器和客户端之间传递策略并确保策略强制执行。
更多内容, 请参阅英文原文。
2016年11月8日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了内容安全策略(Content Security Policy Level 2)的提案推荐标准(Proposed Recommendation)。该文档定义了一个策略语言,用来声明一组对Web资源的访问限制(restrictions),并定义了一种在服务器和客户端之间传递策略并确保策略强制执行的机制。欢迎您于 2016年12月9日 前反馈您的意见和建议。
更多信息,请参阅英文原文,及W3C的Web应用安全工作组。
2016年10月17日,依据W3C的专利政策,W3C启动了Web认证工作组专利咨询组(Web Authentication Working Group Patent Advisory Group,PAG),以应对关于Web认证 API中设计的专利披露请求,这些披露请求是由 Visa Europe 提出的,共涉及 8项在美国、加拿大、新加坡、澳大利亚及韩国注册的专利,更多详情请参阅该专利咨询组的小组章程。
通常,在W3C中,如果某个技术标准中涉及的某项专利技术,相关专利已由持有者公开披露,是该技术标准实现中必须采用的技术(essntial),但根据W3C的 免版税条款(Royalty-Free licensing terms)无法从专利持有人处获得免费授权时,W3C将设立专利咨询组(PAG, Patent Advisory Group),解决标准中的专利问题。
更多信息,请参阅该专利咨询组主页,及公共邮件列表 public-webauthn-pag@w3.org。
2016年9月15日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了安全上下文(Secure Context)的候选推荐标准。该规范定义了“安全上下文(Secure Context)”,允许用户代理(如浏览器)实现和技术规范的作者对于在何种认证机制和机密性保证前提下,可以启用何种特定的技术特性做出约定。
更多信息,请参阅英文原文。
2016年8月2日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了混合内容(Mixed Content)的候选推荐标准(Candidate Recommendation),向公众征集参考实现。
通常当用户代理通过一个安全信道(如HTTPS)从一个特定站点加载一个资源(如Web页面)时,用户代理可以获得关于该资源的用户安全和隐私状态的三种判断:认证性(authenticated)、加密性(encrypted)及数据完整性(data integrity)。这些判断对于防止资源内容被篡改或窃听,抵御中间人攻击非常重要。但如果这些经过认证和加密的资源再通过一个非安全的信道(如HTTP)请求其他的子资源(如脚本、图片等),该资源的安全性就不再能够得到保证,从而处在一个混合状态,而事实上这一情况非常普遍。
混合内容(Mixed Content)标准详细介绍了用户代理(浏览器等)如何通过限制资源借助非安全信道与其他站点通信,以及将非公开的资源内容通过非安全信道传输而暴露在Web上等方式,控制用户安全与隐私的风险。草案描述了用户代理在处理加密和认证的文档时,如何禁止(disallow)对经过非加密方式或非授权连接所加载的子资源进行渲染或执行。
更多信息,请参阅英文原文,及W3C的安全标准计划(Security Activity)。
2016年6月23日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了子资源完整性(Subresource Integrity)的正式W3C推荐标准(W3C Recommendation)。该规范定义了一种机制,用户代理可以通过该机制验证所获取的资源文件是否经过篡改,从而确保获得资源的完整性。
更多内容,请参阅英文原文。
2016年5月31日,W3C的Web认证工作组(Web Authentication Working Group)发布Web认证:访问一定范围内凭证的Web API(Web Authentication: A Web API for accessing scoped credentials)的首份公开工作草案。该规范定义了一个API,允许Web页面通过浏览器脚本访问WebAuthn兼容的强加密凭证(Strong Authentication Credentials)。从概念上讲,在一个认证器(authenticator)上可以保存一个或者多个信任证(凭证),每一个信任证的使用范围可以限定在某一个信任方(relying party)。认证器应确保不会在用户不知情的情况下执行操作。为了保护用户隐私,用户代理(如 浏览器等)可用来协调这些对不同信任凭证的访问和使用操作。认证器可以通过认证(attestation)功能对属性的加密向信任方提供信息。此外,该规范还给出了与WebAuthn兼容的认证器功能模型,包括其签字及认证功能细则。
更多内容,请参阅英文原文。
2016年5月10日,W3C的Web应用安全工作组(Web Application Security Working Group)发布子资源完整性(Subresource Integrity)的提案推荐标准并向公众征集审阅意见。该规范定义了一种机制,用户代理可以通过该机制验证所获取的资源文件是否经过篡改,从而确保获得资源的完整性。欢迎您于2016年7月7日前对该规范进行审阅并提交审阅意见。
更多信息,请参阅英文原文。
2016年4月26日,W3C 追踪保护工作组(Tracking Protection Working Group)发布了追踪合规性及适用范围(Tracking Compliance and Scope)的候选推荐标准(Candidate Recommendation)。“不追踪”(Do Not Track,DNT)是W3C在追踪偏好表达(Tracking Preference Expression)规范中定义的一种允许用户通过浏览器设置表达对追踪行为偏好的方式。该文档帮助Web站点定义和描述其对用户的不追踪偏好的具体行为,包括含义、范围及Web站点如何符合用户各种不同的DNT偏好。
更多内容,请参阅英文原文,及W3C的隐私保护标准计划(Privacy Activity)。
2016年4月5日,HTML媒体扩展工作组(HTML Media Extension Working Group)完成章程修订工作并得到批准,工作组将延期到 2016年9月。W3C的前端交互技术领域负责人 Philippe Le Hegaret发表博客文章,确认W3C将继续推动HTML媒体扩展的标准化工作。文章要点如下:
随着视频在Web内容中的重要性不断上升,我们在2007年就在HTML5中启动视频相关的工作。在这一领域,W3C已经为开放Web平台提供了一系列扩展:Web应用可通过本地摄像头捕捉图片(capturing images)、处理视频流、面向残障人士的音轨及字幕增强、音频处理、实时通讯等。HTML媒体扩展工作组重点关注两类扩展:媒体源扩展(Media Source Extensions,MSE)能够更好的适应流媒体的需要;加密媒体扩展(Encrypted Media Extension,EME)关注对受保护内容的播放。所有这些扩展都是为了增强开放Web平台在处理各类富媒体时的能力。
W3C支持技术架构组之前做出的声明,即通过更广泛的参与、测试、审计来确保用户的安全及Web的安全。W3C的会员电子前沿基金会(EFF)关注加密媒体扩展可能引发的问题,并提出了一个方案希望得到W3C全体会员的支持,这一方案希望安全研究者的工作及提供参考实现的机构能够在美国数字千年版权法案(DMCA,US Digital Millennium Copyright Act)及其他国家和地区的类似法案的基础下开展。经过几个月的讨论,以及最近一次AC会议的审议,我们并没有就此事形成更加广泛的共识。
我们充分认识到Web安全问题的严重性,也认识到安全研究者所开展工作的重要性,但我们也认为继续开展EME相关标准的后续研究,努力达到EME标准启动时的承诺是仍然可行的。更多内容请参阅 W3C及加密媒体扩展。
EME的目标是希望以一种标准的方式替换掉一些无法支持互操作的私有内容保护API(详情见媒体管道任务组需求,Media Pipeline Task Force Requirements)。通过增强安全、隐私保护及无障碍访问能力,EME 将通过将底层内容解密模块放在沙箱中,提供更安全的接口来处理许可证、密钥交换。规范中提及的密钥系统并没有执行任何数字版权保护(DRM)的具体功能,并完全采用了被广泛接受的标准机制(如JSON Web密钥格式、RFC7517,以及相关算法、RFC7518),其核心是为EME提供完全可互操作的密钥系统。
我们感谢并欢迎 EFF及其他W3C会员积极探讨技术与政策的关系。技术和研究者将从EFF的建议中受益,并帮助更好的为安全研究者提供法律与政策的保护。W3C将持续关注美国 DMCA及欧盟版权指引(EU Copyright Directive)可能对我们的会员及技术团队带来的挑战。W3C正在设置一个新的技术和策略兴趣组(Technology and Policy Interest Group)跟踪这些与法律及政策相关的挑战及讨论。
更多内容,请参阅原文:W3C Blog: HTML Media Extensions to Countinue Work。
欢迎您关注W3C官方博客近期热点文章:
- 安全支付确认、Stripe试验、未来计划
- CSS X
- 新国标助力中国信息无障碍建设
- W3C与WHATWG共同开发HTML与DOM规范
- W3C的“战略漏斗(Strategy Funnel)”
更多内容>>
欢迎观看来自W3C各项会议的演讲视频:
- Open UI 释放创造力欢迎您加入W3C翻译计划,了解W3C标准和文档翻译情况,帮助提供不同语言的W3C标准规范及文档的志愿者翻译及W3C授权翻译,惠及全球技术社区。
更多内容>>W3C中国目前正在不断加大全球W3C工作的参与力度,并推动了一系列以了解中国行业需求、引导标准制定为主要目的的工作组(WG)、兴趣组(IG)和社区组(CG)。
Web中文兴趣组 |
MiniApps工作组 |
MiniApps生态社区组 |
弹幕特别任务组 |
中国信息无障碍社区组 |
中文数字出版社区组 |
数据可视化社区组 |
中文文字布局需求特别任务组
