Google I/Oウェブクッキーの最大手取扱業者であるGoogleは、ライバルのブラウザメーカーであるApple、Brave、Mozillaが行った同様の措置に倣い、表面上はプライバシーの強化を図るために、Chromeブラウザでのトークン処理方法を変更する予定だ。
火曜日のGoogle I/O 2019で、Googleのウェブプラットフォームディレクターであるベン・ガルブレイス氏がこの計画を発表した。この計画は、開発者テスト用のChromeバージョンであるChrome Canaryに隠しオプトイン機能として登場し始めており、今後数か月で進化すると予想されている。
ウェブサイトが訪問者のデバイスに自社ドメインのCookieを作成する場合、それはファーストパーティCookieと呼ばれます。ウェブサイトは、訪問者のページリクエストに対して、広告サイトがホストする1ピクセルのトラッキング画像など、サードパーティドメインのリソースを参照するレスポンスを送信することもあります。訪問者がこの目に見えない画像を読み込もうとすると、ユーザーのブラウザが許可している場合、広告サイトはサードパーティCookieを設定することができます。
サードパーティCookieには正当な用途があります。セッション間で状態を維持するのに役立ちます。例えば、既にYouTubeにログインしているサイト訪問者がYouTubeへ移動してログインし、再度アクセスする必要なく、埋め込まれたYouTube動画(他者のウェブサイトに埋め込まれたサードパーティ動画)を視聴できる手段を提供できます。
しかし、これらは悪用される可能性もあるため、ブラウザメーカーは対策を講じています。例えば、AppleはWebKitのIntelligent Tracking Protectionを使用してサードパーティCookieを制限しています。BraveとFirefoxは、サードパーティからのリクエストとCookieをデフォルトでブロックしています。
ついに Google が何か行動を起こすことを決意しました。
新しいクラスシステムへようこそ
「今後、Chrome ではすべての Cookie がデフォルトでファーストパーティ コンテキストに限定され、開発者は Cookie をサードパーティの可視性が必要であると明示的にマークする必要があります。これにより、ファーストパーティ Cookie とサードパーティ Cookie が明確に区別され、ウェブの安全性が向上します」とガルブレイス氏は述べた。
この変更の一環として、開発者はCookieを明示的にマークし、第三者がアクセスできるようにする必要があります。これは、RFC6265bisで定義されている属性を使用して行われます。この属性には、、、またはのSameSite3つのオプションがあります。StrictLaxNone
Strictは、その名前が示すように、Cookie がファーストパーティ コンテキストでのみ送信されることを意味します。つまり、Cookie がブラウザのアドレス バーに表示されるドメインと一致する場合です。Lax外部でホストされている画像など、オフサイト アセットを含むページではサードパーティ Cookie がブロックされますが、ユーザーがサードパーティ サイトに移動するリンクをクリックした場合は許可されます。
7 月にリリースが予定されている Chrome 76 では、値が指定されていない場合にレスポンス ヘッダーsame-site-by-default-cookiesのデフォルトの動作を に設定するように変更するフラグが導入されています。Set-CookieSameSite=Lax
Chrome でこのフラグが設定されている場合、SameSite属性のない Cookie (おそらく 属性が比較的新しいため、ほとんどの Web サイトのSameSiteCookie) は であるかのように扱われますSameSite=Strict。
また、Googleは間もなく「サードパーティのCookieをhttps接続でのみ提供することを義務付け、これによりウェブのセキュリティがさらに強化される」とガルブレイス氏は述べ、この変更によりクロスサイトインジェクションやクロスサイトリクエストフォージェリ、スペクターなどのデータ漏洩攻撃からCookieが保護されるとブログ記事で説明した。
Google はまた、インストールされた拡張機能やその他のブラウザやシステムの特性を調べて、追跡の識別子として機能する固有の技術プロファイルを作成する追跡方法であるブラウザ フィンガープリンティングを削減する方法にも取り組む予定です。
Googleが成功したとしても、Chromeの優位性により、ほとんどのユーザーを追跡することは依然として可能だろう。しかし、競合他社は打撃を受けるだろう。
Braveの広報担当者はThe Registerへの電子メールで、ChromeのCookieに関する新しいデフォルトポリシー案にはセキュリティ上の利点がいくつかあると語った。「しかし、サイト側はオプトアウトできるためSameSite=Lax、トラッカーがこれを回避するのはかなり簡単で、Chromeユーザーは依然としてトラッキングやプライバシー侵害の被害に遭うことになるだろう。」
Googleの権力掌握
企業にオンラインマーケティングのアドバイスを行っているサイバーセキュリティと広告詐欺の研究者、オーガスティン・フー氏は、The Registerに対し、GoogleのCookieの変更は消費者のプライバシーには役立つだろうが、他の広告技術ビジネスには壊滅的な打撃となるだろうと語った。
「いずれにしても、Googleのユーザーは全員、さまざまなGoogleサービスにログインしており、Googleはデータを使って広告を宣伝したり、広告をパーソナライズしたりする同意/許可を得ているため、これはGoogle自身の収益にとって非常に素晴らしいことだ」と同氏は語った。
ブラウザメーカーBraveの最高政策・業界関係責任者であるジョニー・ライアン氏は、 The Registerとの電話インタビューで、Googleが追跡に反対しているかのような発言をしていることに信じられない思いを表明した。
「グーグルは単に最大の追跡者であるだけでなく、これまでで最大の追跡防止回避策の実施者でもある」と同氏は述べ、同社がアップルのサファリブラウザの追跡防止を回避しようとしていることを指摘した。
最新のSafariビルドにおけるAppleのプライバシーキャンペーンは一歩前進、そして一歩後退
続きを読む
2012年、Googleは「多くの場合SafariブラウザのデフォルトのCookieブロック設定を回避して、消費者のコンピュータに広告追跡Cookieを配置した」という連邦取引委員会の告発を解決するために2,250万ドルを支払うことに同意した。
ライアン氏は、昨年 Google が、ユーザーが Gmail などの単一の Google アプリケーションにサインインするたびに Chrome がユーザーの Google アカウントに自動的にアクセスできるようにする強制ログイン システムを実装したと説明した。
「ブラウザがユーザーの行動をすべて把握していれば、他の情報を追跡する必要はありません」と彼は述べた。「Chromeにログインしていれば、すべてがGoogleに送られます。」
しかし、他の広告会社は情報が少なくなり、競争力が低下するでしょう。「リアルタイム広告入札では、Google傘下のDoubleClickが既に圧倒的なシェアを誇っていますが、Googleは大きな優位性を持つでしょう。なぜなら、ウェブサイト全体で唯一のCookieであるGoogle Cookieには、広告主からのより価値の高い入札レスポンスが蓄積されるからです。」
同氏は、ワールド ワイド ウェブは Google Walled Web になる可能性があると述べた。®
