2016年3月29日,W3C的Web加密工作组(Web Cryptography Working Group)发布了WebCrypto密钥发现(WebCrypto Key Discovery)的工作组备忘(Group Note)。该文档试图定义了一个JavaScript API,帮助Web应用在使用Web加密API(Web Cryptograph API)发现命名的、特定来源的(Origin-specific)或预先提供(Pre-provisioned)的密钥。预先提供的密钥是指没有通过 WebCrypto API 来生成、导入、去封装,通过带外方式配置使用户代理可以访问的密钥。该工作组备忘解释如何处理这三类特定的密钥。
W3C设立Web认证工作组 构建更安全的万维网
2016年2月17日,W3C宣布正式设立Web认证工作组(Web Authentication Working Group),致力于研发采用加密操作取代简单口令认证方法的技术标准。这一努力将为Web应用开发者提供一个不同于以往简单口令认证的、更加安全和灵活的Web认证方法,从而更好的保护网站及应用的内容。
W3C创始人Tim Berners-Lee表示:“如果在Web上能够更加容易的部署强认证(strong authentication)方法,Web在服务于日常生活、个人和商业时变得更加安全。随着网络攻击的范围和频率持续增加,W3C需要开发新的标准和最佳实践,来提升Web的安全性”。
W3C的Web认证相关的技术工作得益于 FIDO联盟(FIDO Alliance)所提交的关于 FIDO 2.0 Web APIs 的会员提案(Member Submission)。该提案给出了一组API,可以在Web浏览器和相关的Web平台基础设施之间实现基于标准的强认证方法。
新设立的Web认证工作组将于 2016年3月4日在美国旧金山举行首次工作组会议,会议与同期举行的信息安全领域的盛会 RSA USA 会议同期举行。更多关于 W3C Web认证工作组的信息,请参阅工作组章程、英文原文,及W3C的官方声明(Press Release)。
W3C发布内容安全策略(Content Security Policy Level 3)的首个公开工作草案
2016年1月26日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了内容安全策略(Content Security Policy Level 3)的首个公开工作草案。该文档定义了一种机制,Web开发者凭借该机制能够控制一个特定页面可获取或可执行的资源,同时还定义了若干与安全相关的策略决策(policy decision)。
更多内容,请参阅英文原文。
W3C为所有开放资源提供基于 HTTPS 的安全认证连接
2016年1月11日,W3C宣布已完成了所有的服务器升级,为W3C的所有开放资源提供基于 HTTP 及 HTTPS 的访问方式,全面支持安全加密及认证访问。W3C 在 2015年技术架构组(TAG)的一份报告中倡导在 Web平台中采用安全通信技术(secure communication)。W3C感谢近期Web应用安全工作组(Web Application Security Working Group)的工作,客户端(浏览器)实现的支持,以及W3C系统团队细致的部署升级工作。到目前位置,我们已经能够为所有 W3C的开放资源(包括 W3C的英文网站、各工作组制定的技术规范、文档、各类DTD、词汇表等)提供基于 HTTP 的访问,从而支持对内容的机密性、完整性、认证性保护。
升级具体内容及可能存在的副作用包括:
-支持 Upgrade-Insecure-Requests HTTP 请求头,透明地将 HTTP 请求升级为 HTTPS 请求。这一特性需要浏览器支持。
-支持 Strict-Transport-Security HTTP 请求头(HSTS),通知浏览器对 w3.org 域的访问请求透明地升级为安全请求。目前,所有近期发布的浏览器版本都已提供对这个请求头的支持。
-为保持兼容性,我们并没有在服务器端将所有 HTTP 请求重定向为对应的 HTTPS 请求。
-升级可能导致在某些代理服务器配置条件下出现重定向的死循环,部分不支持 Strict-Transport-Security 请求头的浏览器版本可能提示“混合内容(Mixed Content)"告警信息。
关于通过 HTTPS 访问这些开放Web资源带来的变化、挑战以及一些可能的副作用,请参阅 W3C的博客文章:W3C 官方网站提供 HTTPS 和 HSTS 协议支持(W3C Blog: Supporting HTTPS and HSTS on w3.org)。
W3C发布Cookie控制、嵌入式策略强制等两份CSP相关的标准工作草案
2015年12月15日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了Cookie控制 及 嵌入式控制(Embedded Enforcement)两份与内容安全策略(CSP)相关的标准工作草案:
-内容安全策略:Cookie控制(Content Security Policy: Cookie Control)。该文档定义了一种机制,允许Web开发者通过指定 content-security-policy: cookie scope 策略,在不同站点和应用程序上下文环境中,限制浏览器对记录了用户信息及会话信息的Cookie向Web服务器的传送方式(如是否要求安全链路传输)和范围(如是否限定在指定主机或子域)。
-内容安全策略:嵌入式策略强制(Content Security Policy:Embedded Enforcement):该文档定义了一种机制,允许开发者在Web页面中嵌入一个嵌套的浏览器上下文(nested browsing context),并在其中强制执行一组特定的内容安全策略限制,例如对页面中嵌入的 iframe 指定一组嵌入的特定内容安全策略。
更多信息,请参阅W3C的Web应用安全工作组,及英文原文。
W3C发布安全与隐私自评估问题列表(Self-Review Questionnaire: Security and Privacy)
2015年12月10日,W3C的技术架构组(TAG)发布了安全与隐私自评估问题列表(Self-Review Questionnaire:Security and Privacy)的工作组备忘(Group Note)。该文档给出了一个帮助技术开发人员及标准研发者的自评估问题列表,可以作为辅助工具,帮助评估一项技术特性或一个Web相关的技术规范是否影响到用户的安全与隐私。但是,该列表并不适合作为一份关于安全与隐私的完整的检查单(checklist),也不能取代目前标准开发过程中在正式发布规范前对安全与隐私相关特性进行更大范围公众意见征集的过程。
12月10日,W3C的Nick Doty发布博客文章:一组确保开放Web平台安全与隐私的工具集(W3C Blog:An array of Tools to Ensure Security and Privacy of the Open Web Platform),在博文中,他提到:隐私保护兴趣组(Privacy Interest Group,简称PING)正在致力于为解决浏览器指纹导致的隐私泄漏问题开展工作寻求建议,同时,该兴趣组也在同TAG一起,开发关于隐私和安全的更详细的问题集(more detailed questionnaries for experts in privacy and security)。
此外,PING兴趣组及Web安全兴趣组(Web Security Interest Group)欢迎大家对这一联合问题列表给出反馈意见和建议,这些建议可以帮助W3C的所有工作组、兴趣组、社区组在标准制定中更好的考虑安全与隐私问题。 今年早些时候的一项研究表明,人、流程、工具应当结合在一起,才能让Web更加安全并保护用户的隐私。欢迎您为构建更安全、更好隐私保护的开放Web平台贡献您的意见和建议。
更多信息,请参阅W3C的技术架构组,及本文原文。
W3C发布面向Web规范开发者的浏览器指纹与隐私保护指南
2015年11月24日,W3C的隐私兴趣组(Privacy Interest Group)发布了Web规范作者细粒度指南(草案)(Fingerprinting Guidance for Web Specification Authors,Draft)的工作组备忘(Group Note)。浏览器在发送Web请求时披露浏览器相关的设置及特征,可能危害用户的隐私。该文档定义了不同类型的“浏览器指纹”,以及这些不同类型的指纹所对应的隐私风险,并为Web规范的开发者在设计开发新的Web功能特性时如何平衡功能性与隐私保护的指南。
W3C发布子资源完整性(Subresource Integrity)的候选推荐标准并向公众征集参考实现
2015年11月12日,W3C的Web应用安全工作组(Web Application Security Working Group)发布子资源完整性(Subresource Integrity)的候选推荐标准并向公众征集参考实现。该规范定义了一种机制,依据这种机制,用户代理可以通过验证所获取到的资源文件是否经过篡改,保证获得资源的完整性。
更多信息,请参阅英文原文。
W3C发布基于源Web标签的限制访问策略(Confinement with Origin Web Labels)的首份标准工作草案
2015年10月15日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了基于源Web标签的限制访问策略(Confinement with Origin Web Labels)的首份标准工作草案。该规范定义了一组用于指定数据的隐私和完整性策略的API,它采用Web标签(Labels)的形式,并支持基于这些策略限制程序代码访问数据的机制(mechanism for confining code according to such polices)。该规范将允许Web应用的开发者及服务器管理员在非可信代码(即可能存在代码缺陷,但非恶意)的情况下共享数据,如通过聚合(mashup)数据提供新服务,同时该草案后续将进一步支持对代码访问数据的更细粒度限制。
更多信息,请参阅W3C的Web应用安全工作组,及英文原文。
W3C发布升级非安全请求、混合内容两份候选推荐标准 征集参考实现
2015年10月8日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了两份文档的候选推荐标准(Candidate Recommendations),帮助Web开发者和Web用户实现安全的、基于认证的内容浏览:
-升级非安全请求(Upgrade Insecure Requests):该文档定义了一个新的内容安全策略指示符(Content Security Policy Directive)upgrade-insecure-requests,这种机制允许站点开发者引导用户代理,在获取一些受保护资源之前,从非安全的资源请求升级为安全请求。W3C在2015年2月发布了该标准的首份标准工作草案。
-混合内容(Mixed Content):该文档详细介绍了用户代理(浏览器等)如何通过限制资源借助非安全信道与其他站点通信,以及将非公开的资源内容通过非安全信道传输而暴露在Web上等方式,控制用户安全与隐私的风险。草案描述了用户代理在处理加密和认证的文档时,如何禁止(disallow)对经过非加密方式或非授权连接所加载的子资源进行渲染或执行。
更多内容,请参阅英文原文,及W3C的安全标准计划。
W3C发布追踪偏好表达(Tracking Preference Expression, DNT)的候选推荐标准 征集参考实现
2015年8月20日,W3C的追踪保护工作组(Tracking Protection Working Group)就追踪偏好表达(Tracking Preference Expression,DNT)候选推荐标准(Candidate Recommendation),向公众征集参考实现。该规范将DNT请求头字段(header field)定义为:一个表达用户追踪偏好的HTTP机制;一个通过脚本使用户追踪偏好表达具有可读性的HTML DOM属性;允许脚本注册经用户允许的网站特定例外的APIs。该规范同时定义了一个可以通过使用提供机器可读的追踪状态的“Tk”响应字段以及众所周知的资源来传达是否需要以及如何处理公认用户偏好的沟通机制。
8月20日,W3C的Wendy Seltzer发布博客文章“TPE to CR: Advancing the Conversation about Web Tracking Preferences”,探讨未来追踪保护工作的思路,具体内容如下。
关于“DNT”的HTTP头的讨论是一个广泛的关于公众隐私保护的讨论。TPE允许用户通过其代理(如浏览器等)向服务器发送一个信号,“不要追踪我”,或告诉服务器“我不介意你的追踪行为”。这一规范将确保服务器端能够获得用户关于追踪行为的偏好。目前,DNT头已经获得了绝大多数浏览器的支持,用户已经有一个办法通过这个“1比特”的信息来表达自己的追踪偏好了。
目前,追踪保护工作组正在尝试定义与 DNT 偏好相适应的追踪含义(meaning of tracking)。工作组的目标是,在第二份工作文档中,定义对于大部分用例有真正应用价值的表达方法,确保所定义的标准足够灵活,以适应不同的商业应用场景,从而使站点通过对追踪状态消息的响应中加入一个URI,或其他方法来表达站点所遵循的追踪规则。工业界可以选择遵循 W3C定义的追踪行为的合规性规范(Compliance specification),或选择其他的替代物来表达这一规则。
我们欢迎其他的工作组考虑 DNT 这个HTTP头部的更多使用方法。EFF等也发布了关于描述追踪偏好合规性策略(compliance policy)的替代性方案。用户可以安装 EFF 的 Privacy Badger(一个浏览器插件),从而扩展支持追踪偏好策略,帮助屏蔽哪些违反追踪偏好行为的请求。我们观察到,这一工具正是基于 TPE 规范,是对 Do Not Track 这个生态系统的有益扩展,通过 DNT 头向服务器端表达隐私请求,并给出了一些新的响应文本。
这一工作的重要性在最近 W3C技术架构组(TAG)关于“未经许可的Web追踪行为(Unsanctioned Web Tracking)” 的报告中得到了肯定。TAG认识到,基于标准Web协议的追踪行为应充分考虑并尊重用户隐私保护需求,以及用户对数据流的控制需求,同时可以为用户和其他研究者提供透明性,这是Web产业的合理组成部分。而未经许可的追踪行为将凌驾于良好定义的Web标准和机制之上,并最终将损害用户的信任。TPE响应及追踪偏好的合规性将成为Web隐私及保持透明性的重要工具,帮助站点满足用户期望的同时,准种的隐私保护需求。
更多信息,请参阅英文原文,及W3C的隐私保护标准计划(Privacy Activity)。关于博客文章的详细信息,请参阅英文原文,W3C Blog: TPE to CR: Advancing the Conversation about Web Tracking Preferences 。更多博客文章,请参阅W3C Blog(中文)。欢迎您使用W3C官方博客及W3C中国网站参与互动讨论。
W3C的Web应用安全工作组发布清除站点数据(Clear Site Data)的首个公开工作草案
2015年8月4日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了清除站点数据(Clear Site Data)的首个公开工作草案。该文档定义了一个重要机制,该机制允许Web开发者指令用户代理清除用户本地存储的与主机及其子域相关的数据。
更多信息,请参阅英文原文,及W3C的安全标准计划(Security Activity)。