ウェブ・セキュリティ
プライバシーとセキュリティは、人権や市民的自由に不可欠なものであり、ウェブコンソーシアムの議題において長年重要な位置を占めてきました。例えば、私たちの取り組みは、脆弱なパスワードを置き換え、フィッシングや類似の攻撃による脅威を軽減する認証技術の開発を通じて、ウェブのセキュリティ向上に大きく貢献してきました。
しかし、ユーザーは自身の個人データの悪用や、オンラインでの追跡、ブラウザフィンガープリント、偽情報の拡散、その他のオンライン上の危害を正当に恐れています。これらは難しく、緊急性のある課題です。私たちは、検閲を強化することなく、ユーザーがウェブ上で信頼できるコンテンツを見つけられるようにする方法について議論を始めています。
W3Cのセキュリティへの取り組み
- セキュリティ技術の標準を開発する
- ウェブ標準のセキュリティをレビューする
- ウェブ開発者が安全な方法で設計・開発できるようガイドする
セキュリティ基準の策定
私たちには、セキュリティー基準を策定するいくつかのグループがあります。
脅威モデリング
脅威モデリングコミュニティグループは、セキュリティ、プライバシー、人権の専門家が、技術分野の専門家と共に脅威モデルを作成する場を提供しています。脅威モデルは、領域をまたがる脅威や緩和策を特定し、残留リスクに関する情報を提供する「生きた文書」です。
ウェブアプリケーションのセキュリティ
ウェブアプリケーションセキュリティワーキンググループは、ウェブアプリケーションのセキュリティを向上させ、セキュアなクロスサイト通信を可能にするセキュリティおよびポリシー機構を開発しています。
ウェブ認証
ウェブ認証ワーキンググループは、ウェブアプリケーションに強力な認証機能を提供するクライアント側のAPIを定義しました。
フェデレーテッドアイデンティティ
フェデレーテッドアイデンティティワーキンググループは、セキュリティやプライバシーの原則を損なうことなく、認証と認可のフローをサポートしています。
ウェブ決済のセキュリティ
ウェブ決済セキュリティ関心グループは、さまざまなウェブ決済技術のセキュリティと相互運用性を強化しています。
ウェブ標準の安全性を見直す
セキュリティレビューは、チームが調整するボランティアレビュアーのグループによって行われています。私たちは、このグループに参加していただける方を歓迎しています。提起された問題は、PINGが使用しているのと同じツールで追跡されています。
私たちは、セキュリティ研究者や暗号学者と共に、水平セキュリティレビューを行うためのグループを立ち上げています。
セキュリティ関心グループ(SING)
ウェブ上のセキュリティを向上させることを使命として、標準を開発するグループに対し、その技術におけるセキュリティ問題を回避し、緩和する方法について助言します。また、セキュリティ向上のために、既存の標準や技術に対する変更提案も行います。
ウェブ開発者が安全な方法で設計・開発できるように指導する
私たちは、ウェブ開発者を指導し、セキュリティに対して包括的なアプローチを確保するために、組織を超えたグループを設立しました。
セキュリティ・ウェブアプリケーション・ガイドライン
セキュリティウェブアプリケーションガイドライン(SWAG)コミュニティグループは、ウェブ制作者向けのセキュリティベストプラクティスの策定や、ステークホルダー(例:OpenSSF、OWASP、Open Web Docsなど)との協力のためのプラットフォームを提供することで、ウェブアプリケーション開発全体のセキュリティを向上させ、ウェブをより安全なプラットフォームにすることを目指しています。