更新:来週、Google は Chrome 80 を安定版チャネルにリリースする予定で、Web サイトの「破損はごくわずか」と予想されると述べています。
ウェブパブリッシャーが「破損」を経験する可能性がある理由(これは、ユーザー向け機能の一部が失われることからバックエンドのアナリティクスエラーまで、様々な状況を意味します)は、Chrome 80がHTTP Cookieの処理方法を以前のバージョンとは異なることに起因します。オンラインセキュリティとプライバシーの向上を目的とした今回の変更により、ウェブ開発者は潜在的な問題を回避するために、ウェブサイトのコード内でCookieの処理方法を明示的に宣言する必要があります。
HTTP Cookieは、データキーとそれに関連する値を含むファイルで、ウェブサイトのコードまたはサーバーとのやり取りを通じてウェブユーザーのローカルデバイス上に作成されます。セッション管理を支援し、必要な情報や、広告や分析といったパブリッシャー向けの目的に役立つ情報を伝達するために使用されます。サードパーティのマーケティング会社では、ユーザーの行動や興味関心を追跡してターゲット広告を配信するために、HTTP Cookieを広く利用(そして悪用)しています。
サードパーティ Cookie に関する懸念は十分に高まっており、Brave、Firefox、Safari などのプライバシー重視のブラウザはデフォルトでサードパーティ Cookie をブロックするようになっており、この状況を受けて Google は 2 年以内にサードパーティ Cookie を段階的に廃止する計画を立て、その一方で、コアビジネスである行動ターゲティング広告に役立つ代替の Web テクノロジーを開発しています。
しかし、それ以前に、Cookieの取り扱いに関する問題への対応が進められています。現状では、クロスオリジンの情報漏洩やクロスサイトリクエストフォージェリ攻撃が許されてしまうためです。Googleは2月4日にChrome 80でこの対策を最初に実施しますが、MicrosoftのEdge(Chromiumベース)もこれに追随すると予想されており、MozillaのFirefoxも同様の対策を予定しています。
Chrome 80 は Cookie を探しSameSite、割り当てられた値に従ってページの Cookie を処理します。サイト開発者によって何も提供されていない場合はデフォルト値を想定して処理します。
クッキーは、、 のSameSite3 つの主要な値をサポートします。SameSite=NoneSameSite=StrictSameSite=Lax
SameSite=Noneウェブ開発者は、サードパーティのコンテキストでCookieを許可するために設定します。Chrome 80では、追加のフラグSecureを設定する必要があります。このフラグがないと、ブラウザはSameSite=None Cookieを拒否します。
SameSite=Noneこれは現在のデフォルトであり、ウィジェット、埋め込みコンテンツ、アフィリエイト プログラム、広告、または複数のサイトで機能するログインを持つサイトで開発者が望むものです。
SameSite=LaxクロスオリジンリクエストのCookieにはいくつかの制限が設けられています。仕様書では、「クロスサイトリクエストが([RFC7231]の意味で)『安全な』HTTPメソッドを使用するトップレベルナビゲーションである場合に限り、同一サイトCookieをクロスサイトリクエストと共に送信する」と説明されています。
この設定は、POST などの安全でない HTTP メソッドを介した CSRF 攻撃に対して、ある程度の保護を提供する中間的な手段となることを目的としています。
つまり、SameSite=StrictCookie はファーストパーティのコンテキストでのみ送信されます。
Chrome 80 の登場が潜在的な問題となるのは、ブラウザのデフォルトの動作が変わるからです。
「属性を指定しない Cookie は、SameSite指定されたものとして扱われますSameSite=Lax。つまり、デフォルトではファーストパーティまたは同一サイトのコンテキストに制限されます」と Chromium プロジェクトの FAQ では説明されています。
つまり、サードパーティの Cookie を使用する Web サイトでは、Cookie 設定コードを変更して指定する必要がありSameSite=None; Secure、変更しないと問題が発生する可能性があります。
Adobe、Microsoft、Salesforceといった企業は、その可能性について警告を発してきました。今週初めには、GoogleのAMP(Accelerated Mobile Pages)プロジェクトも同様の警告を発しました。
約 1 週間前、Google のエンジニア Lily Chen が Web 全体のコード変更に関する最新情報を投稿しSameSite、「全体的に、フィールド トライアルの結果は、破損が非常に少ないことを示していると考えています」と結論付けました。
チェン氏によると、Chromeはユーザーがアクセスするすべてのドメインに対してサイトエンゲージメントスコア(0~100)を維持しています。Googleは、ポリシーに準拠していないCookieを使用しているサイトのスコアを確認し、ユーザーにとっての重要性を測定しました。
デフォルトでCookie がブロックされるリクエストのうちSameSite=Lax、79 パーセントはユーザーが関与していないサイト (サイト エンゲージメント スコア 0.0) に対するもので、ユーザーの関与が「中程度」のサイト (サイト エンゲージメント スコア 15.0 ~ 50.0) に対するものはわずか 4 パーセント、エンゲージメント スコアが「高い」または「最大」のサイト (50.0 以上) に対するものは 3 パーセント未満でした。
Brave、Google、Microsoft、Mozillaが集まり、ウェブプライバシーについて語り合う…そして、なぜ私たちはウェブプライバシーにこだわりすぎるべきではないのか
続きを読む
Chen 氏は、影響を受けるリクエストの大部分は、ユーザーの関与がほとんどないかまったくないサイトに関連しているため、Chrome 80 の変更によって削除される Cookie のほとんどはユーザーには表示されないだろうと結論付けています。
企業にオンラインマーケティングのアドバイスを行っているサイバーセキュリティと広告詐欺の研究者、オーガスティン・フー氏は、 The Registerへの電子メールで、Chrome 80 の Cookie の変更により、サードパーティの広告技術が機能することが困難になり、Google の市場力がさらに集中することになる一方で、消費者にとってはプライバシーの面で真の勝利となる、と述べた。
「優良なパブリッシャー、つまり、サイトに大量のサードパーティトラッカーを設置して何をしているのか分からないようなパブリッシャーには、それほど大きな影響はありません」とフー氏は述べた。「しかし、これまでルールを破ったり、可能な限り回避したりしていた低品質のロングテールサイトには、悪影響が出るでしょう。」
マーケターへの影響もそれほど大きくないでしょう。なぜなら、これまで何百ものターゲティングパラメータを使用しても、結局ビジネス成果の向上は見られなかったからです。ハイパーターゲティングは、アドテク企業がマーケターに信じ込ませようとしている神話であり、より多くのターゲティングパラメータを販売し、より高いCPMを請求するために利用されているのです。®
追加更新
Chrome 80 は依然として 2020 年 2 月 4 日に出荷される予定ですが、Google は現在、「SameSite-by-default および SameSite=None-requires-Secure の動作は、2020 年 2 月 17 日の週から、最初の限定されたユーザー向けに Chrome 80 Stable に展開されます」と述べています。
