トラッキング防止ポリシの枠組みの中で、Appleは先頃、プライバシ上の懸念を理由として、16のWeb APIの実装を現時点では拒否する、と伝えた。ただし、フィンガープリンティングの攻撃対象を低減するように提案が修正されれば、決定について再考する余地があることを強調している。
Safariは現在、サードパーティクッキーをデフォルトでブロックしている。Appleは現在、フィンガープリント性を増大させる16のWeb機能について、適切な防止策が施されない限り、実装する意思のないことを発表している。
フィンガープリンティングの懸念から一部を実装をしない決定を行った機能の例は、次のようなものです。
- Web Bluetooth
- Web MIDI API
- 磁力計API
- Web NFC API
- デバイスメモリAPI
- ネットワーク情報API
- バッテリ状態API
- 環境光センサ
- EME用HDCPポリシチェック拡張
- 近接センサ
- WebHID
- シリアルAPI
- Web USB
- 位置情報センサ(バックグラウンド位置情報)
- アイドル状態検出
上述のプロポーザルを実装しないことに加えて、Appleは、フィンガープリンティング指向の既存APIやWeb機能のサポートについても廃止ないし修正する意向である。その中には、カスタムフォントのサポート、Do Not Trackフラグ、モバイルデバイス上でのデバイスの方向および動作検出APIへのアクセスに対するユーザ認証の要求などが含まれている。
一部の開発者はAppleの決定を称賛すると同時に、16APIの一部に関連するセキュリティ上の懸念を強調している。
[Web Midi APIは]セキュリティの観点から、極めて危険なものです。WebサイトからMIDIキーボードを入力デバイスとして使用可能になるだけでなく、MIDIデバイスのバイナリファームウェアのアップデート送信も可能になるのです。[…]
Mozillaのエンジニアたちは、Web MIDIによってMIDIデバイスが、ユーザのPCのWebサンドボックス外部を攻撃する上での踏石として使用される可能性がある、と合理的に指摘しています。このような攻撃によって、例えば、デバイスが標準的なUSBコンピュータキーボードに見えるようにプログラムを変更して、ホストにコマンドを"キー入力"することも可能になるかも知れません。
[…]
Web MIDIに関してだけではなく、MozillaとAppleは今回、セキュリティについて賢明な判断を行ったと言ってよいでしょう。
今回の動きには別の意図があるのではないか、と考える開発者もいる。
フィンガープリンティングに関する懸念は確かにあるかも知れません。しかし、挙げられたAPIの一覧を見ると、AppleがネイティブiOSアプリの置き換え(およびApple税に関わるAppleの収益の低減)を防止するために、PWAの機能を阻害している、という見方を否定できないのです。
一方でGoogleは、Webアプリとネイティブアプリのギャップを埋めるものとして、Web APIをプッシュしている。ネイティブAPIを備えたプログレッシブWebアプリは、Googleのビジョンにおいて有益なものだからだ。標準化を考慮したAPI提案の集合であるプロジェクトFuguが、すべてのChromiumコントリビュータおよび組織に公開されている。処理中のAPIの一覧が>https://goo.gle/fugu-api-trackerで公開されており、上述した18APIのいくつかも含まれている。
フィンガープリンティングには、静的および動的なデバイス構成(組み込みハードウェア、ユーザ設定、インストール済の周辺機器など)、ブラウザ設定、ユーザのブラウジングデータなど、ユーザの特定情報に関わるものだ。広告提供者はこの特定情報(フィンガープリント)を他の情報やデータポイントと組み合わせることで、個々のユーザを特定する。
クッキーに対する制限が増えていることから、ユーザのフィンガープリンティングは、オンライン広告技術市場において、ユーザを追跡する標準的な手法になりつつある。