BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース Safariがサードパーティクッキーをデフォルトでブロック

Safariがサードパーティクッキーをデフォルトでブロック

原文(投稿日:2020/04/13)へのリンク

Safariは、Webプライバシの前進を目指す行動のひとつとして、サードパーティクッキーをデフォルトでブロックすることにより、TorやBraveのようなプライバシ重視のWebブラウザの仲間入りを果たした。同じ目標を2019年5月に発表したGoogleは、すべてのChromeユーザを対象としたデフォルトでのサードパーティクッキーのブロックについては、2022年までサポートしない予定である。サードパーティクッキーをデフォルトでブロックすれば、ログインフィンガープリントが無効になる可能性のある反面、クロスサイトリクエストフォージェリ(cross-site request forgery)攻撃を無効にできる期待もある。

Safariは先頃、クロスサイトリソースのためのクッキーをデフォルトでブロックすると発表した。同社のこの行動は、2017年に導入したITP(Intelligent Tracking Prevention、現在はバージョン2.3)から始まった、クッキー制限の段階的向上に続くものだ。Safariはこの変更を、ユーザのためのプライバシ改善であると説明している。

クロスサイトリソース用のクッキーは、デフォルトで全面的にブロックされるようになります。一切の例外を、あるいは"多少のクロスサイトトラッキングは許容される"という考え方を排除する、という意味において、これはプライバシの大きな改善になります。

MozillaがFirefoxで昨年導入した、既知のサードパーティクッキーをデフォルトでブロックする既存のプライバシ機能と並んで、AppleはITPを継続的にアップデートし、ファーストパーティ及びサードパーティによるクッキーの使用条件を制限し続けてきた。ITPが永続的なクライアント側クッキーの制限時間を長年にわたって低減し続けた結果、クライアント上のクッキーの永続時間は1年以上から24時間にまで短縮されている。ITPはさらに、すべてではないが、一部のサードパーティクッキーを、デスクトップとモバイルの両プラットフォームにおいてデフォルトでブロックした。そして、今回のSafari 13.1では、サードパーティクッキーがデフォルトで、すべてのユーザに対してブロックされることになったのだ。

AppleのソフトウェアエンジニアのJohn Wilander氏はブログ記事で、デフォルトでサードパーティクッキーをブロックすることによるメリットをいくつかあげている。サードパーティのクッキーをデフォルトでブロックすれば、ログインフィンガープリントが無効になる。しかしこれは12年前から分かっていた問題だ。防御がなければ、ブラウジング中のユーザがどのWebサイトにログインしたのかを調べて、その情報をフィンガープリントとして利用することが可能になる。クッキーをブロックすれば、Web由来のもうひとつのセキュリティ脆弱性であるクロスサイトリクエストフォージェリも無効にすることができる。

サイトをまたぐインテグレーションのサポートを続ける方法として、Appleは、Storage Access APIOAuth 2.0 Authorizationの使用を推奨している。Wilander氏が説明する。

ユーザのサポートを続けるには、2つの方法があります。

オプション1: OAuth 2.0 Authorization —  認証するドメイン(この場合はクッキーを希望するサードパーティ)がサーバセットのSecureかつHttpOnlyのクッキーを使用して認証トークンをフォワードし、ファーストパーティのWebサイトがそれをコンシュームして、ファーストパーティのログインセッションの確立に使用する。

オプション2: Storage Access APIを使用して、サードパーティがファーストパーティのクッキーにアクセスするためのパーミッションを要求できるようにしておく。

氏のブログ記事にはその他にも、ITPのアップデートやサードパーティクッキーのブロックに関連するいくつかの技術要素の詳細が記載されている。

GoogleはChrome 80で、サードパーティクッキーのブロッキングに関して、(SameSiteクッキーという名称で)いくつかのサポートを提供している。ただし、すべてのChromeユーザを対象とする完全なサポートは、2022年まで待たなくてはならない。New York Timesの最近の記事に、このスケジュールの背景として考えられる理由が示唆されていた

アメリカ広告業協会(American Association of Advertising Agencies)と全米広告主協会(Association of National Advertisers)は公開書簡を通じて、クッキーの削除は"スタートアップや新興産業が生き残るために必要な、経済的な酸素補給を断つものだ"として、即座に抗議を行なった。

2017年のITPの導入時にも、広告業界やマーケティング業界からの抗議的な反応があった。クッキーを制限することには、Google Analyticsのような一般的に使用されているツールへの影響に関しても懸念が残る。

Firefoxは2019年9月、Enhanced Tracking Protection機能によって、Firefox 69の全ユーザに対して、既知のサードパーティクッキーのリストをデフォルトでブロックすることを発表した。ChromiumをベースとするMicrosoft Edgeも、段階的にサードパーティクッキーをブロックしているが、この機能は、すべてのユーザに対するデフォルトとしては有効になっていない。プライバシを重視する他のブラウザ(TorBraveEpicMin)も、サードパーティクッキーをデフォルトでブロックしている。

ファーストパーティクッキーは、ユーザが訪れたドメインの生成するクッキーで、セッションのオープン状態を維持し、ショッピングカートやユーザ名やパスワードといったかmんれん情報を保存することによって、よりよいユーザエクスペリエンスの提供を支援する。サードパーティクッキーとは、ユーザが訪問したドメイン以外のドメインによって生成されたクッキーで、一般的にはクッキーのターゲット変更、ソーシャルメディアボタン、チャットのポップアップなどで使用される。

ファーストパーティクッキーが訪問先サイトのWebサーバやサイトからダウンロードされたJavaScriptによって生成され、サイトドメイン経由でのみアクセス可能であるのに対して、サードパーティクッキーは特別なコードによってサードパーティサーバからセットされ、サードパーティサーバのコードをロードする任意のWebサイト上でアクセスすることができる。ファーストパーティクッキーは、ブラウザのセッテイングを通じてブロックや削除することが可能である。最近のブラウザでは、デフォルトでサードパーティクッキーの生成を制限したり、あるいは明確にブロックしたりするものが増えている。

この記事に星をつける

おすすめ度
スタイル

BT