Web安全
隐私和安全——作为人权和公民自由不可或缺的一部分——一直是Web联盟议程中的重要内容。例如,我们的工作在开发能够替代弱密码的身份验证技术、减少网络钓鱼和类似攻击威胁方面起到了关键作用。
然而,用户会合理地担心他们的个人数据被滥用以及在网上被追踪,包括浏览器指纹识别、虚假信息的传播和其他网络危害。这些都是困难且紧迫的挑战。我们已经开始讨论如何在不增加审查的情况下,帮助用户找到可信的Web内容。
W3C如何处理安全问题
- 制定安全技术标准
- 审核Web标准的安全性
- 指导Web开发者以安全的方式进行设计和开发
制定安全标准
我们有几个小组专门制定安全标准。
威胁建模
威胁建模社区小组为安全、隐私和用户权益保护专家以及技术领域专家提供了一个平台,用于创建威胁模型。这些模型是动态文档,识别跨领域的威胁和缓解措施,并提供有关剩余风险的信息。
Web应用安全
Web应用安全工作组开发安全和策略机制,以提高Web应用的安全性,并实现安全的跨站点通信。
Web身份验证
Web身份验证工作组定义了一个客户端API,为Web应用提供强身份验证功能。
联合身份认证
联合身份认证工作组支持在不损害安全和隐私原则的情况下进行身份验证和授权流程。
Web支付安全
Web支付安全兴趣小组致力于增强各种Web支付技术的安全性和互用性。
审查Web标准的安全性
安全审查由W3C团队协调的一组志愿审查员进行。我们欢迎更多人加入该团队。提出的问题使用与PING相同的工具进行跟踪。
我们正在组建一个小组,与安全研究人员和密码学家一起进行横向安全审查。
安全兴趣小组 (SING)
这个小组的使命是通过向制定标准的小组提供建议,指导他们如何避免和缓解技术上的安全问题,同时建议对现有标准和技术进行更改以提高安全性,从而改善Web的安全性。
指导Web开发者以安全的方式进行设计和开发
我们组建了一个跨组织小组,旨在为Web开发者提供指导并确保一种全方位的安全方法。
Web应用安全指南
Web应用安全指南(SWAG)社区小组通过为Web开发者制定安全最佳实践,并为利益攸关方提供合作平台(例如OpenSSF、OWASP、Open Web Docs等),提高Web应用开发的整体安全性,从而使Web对用户来说更加安全。