Benchmarks Brawte nfaq 0 Comments

W3Cは「プログレッシブウェブアプリはユーザーを追跡できる」と断言。5年後、プライバシーは面倒すぎると判断

Table of Contents

W3Cは「プログレッシブウェブアプリはユーザーを追跡できる」と断言。5年後、プライバシーは面倒すぎると判断

更新2015 年、ワールド ワイド ウェブ コンソーシアム (W3C) の後援の下で実施されたプライバシー レビューの一環として、Nick Doty 氏は Web アプリケーションの潜在的な問題を指摘しました。

今週、プライバシーに関する懸念を軽減すべきかどうか、またどのように軽減すべきかについて5年間議論した後、この問題を議論していた技術者たちは諦めて、ブラウザメーカーが何かできるかもしれないという希望を抱きながら、問題を先送りにした。

2015年はプログレッシブウェブアプリケーション(PWA)のデビューの年でした。PWAはデバイスにインストールでき、オフラインでも動作するウェブアプリです。PWAを使用するには、アプリの様々な特性や機能を記述するJSON形式のキーと値のセットであるマニフェストファイルが必要です。

これらのキーの 1 つはstart_url、使用された場合、インストールされたショートカットから Web アプリが起動されたときに読み込まれる優先 URL です。

当時W3Cのプライバシーアナリストであり、カリフォルニア大学バークレー校の技術・社会・政策センターの創設ディレクターであったドティ氏は、プライバシーレビューの中で、これはstart_urlデバイスのフィンガープリンティングと個人と識別子の関連付けの潜在的なメカニズムを表していると結論付けた。

「これはフィンガープリンティングに貢献し、新しいクッキーのようなローカルステートメカニズムを作成するものとしてマークされるべきだと考えています」と彼は書いています。

彼の懸念は、W3C の Web アプリケーション マニフェストのドラフト仕様のセクションに反映されています。

このような一意の文字列は、消去されたCookieを復元するために使用できます。例えば、PWAが「」start_URLなどのユーザー識別子を含むように設定している場合、"index.html?uid=abcdefその識別子を参照して、ユーザーを以前に削除されたCookieに再度関連付けることができます。

Doty氏が最初にこの問題を提起して以来、W3Cの様々な参加者がGitHub Issuesスレッドで何ができるかについて議論を重ねてきました。約1年後、Mozillaの標準エンジニアであるMarcos Cáceres氏がコミットを行い、ブラウザメーカーに対し、ユーザーが を検査・変更できる手段を組み込むよう勧告し、この問題をクローズしましたstart_url

スーツを着た男性がジャケットの中に茶色の紙封筒を挟んでいる

W3Cはワールド・ワイド・ウェブの仕組みを統括している。しかし、重要な会議の記録には消極的で、議事録も不完全だ。

続きを読む

昨年、プライバシーの独立研究者兼コンサルタントであり、W3C技術アーキテクチャグループの元メンバーでもあるLukasz Olejnik氏が、関係者を非難し、この問題を再び取り上げるよう促した。

「もし私が間違っていたら訂正してほしい」と彼は書いた。「しかし、ユーザーに問題を押し付けることが、ここでのセキュリティ/プライバシーの問題に対する推奨される解決策なのでしょうか?」彼は衝撃を和らげるために、文末にスマイルマークの絵文字を付けた。

これを受けてFirefoxのバグ報告が提出され、現在も公開されています。他のブラウザメーカーがこの問題をどう捉えているかは不明です。少なくともiOSでは、PWAの分離によってCookieの再生成は防げますが、固有IDの生成は防げません。

オレニク氏は上位1万件のウェブページを分析し、1,672ページがmanifest.jsonファイルを含み、828ページが専用の を使用しstart_url、274ページがそのURLにパラメータを追加していることを発見しました。また、ランダムに生成された識別子を使用しているページは1ページもありませんでした。このことから、オレニク氏は、 はstart_url現在、個人追跡に使用されていないと結論付けています。

これは、現時点ではより優れた追跡メカニズムが利用可能であることを示唆しているが、ブラウザに新しいプライバシー防御が実装されるにつれて、必ずしもそうであるとは限らない。

「この問題は真剣に受け止めるべきだと思います」と、AppleのWebKit開発を率いるソフトウェアエンジニア、マチェイ・スタホビアック氏は述べている。「URLパラメータによるトラッキングは、Web全般においてますます一般的な手法となっており、WebKitも積極的な対策を講じています。もしこの手法がまだPWAに導入されていないとしたら、それは単なる幸運であり、頼りにできるものではありません。」

start_urlオレニク氏は、ID として使用された場合、2018 年のカリフォルニア州消費者プライバシー法および欧州の一般データ保護規則の下で法的影響を受ける可能性があると主張しています。

この問題に関する議論は、カセレス氏が何もできないと発言した約1週間前まで続いた。

「正直言って、これを解決する方法はないと思います」と彼は書いている。「URLの設計上、無限のパターンを使い、構造を自由に組み合わせることで、固有の識別子をURLにエンコードできるのです。」

他の人々の同意を得て、彼は水曜日にこの問題は解決不可能であると再度​​述べ、議論を終了した。

プライバシーは難しい。®

追加更新

8月2日、さらなる議論の後、カセレスは再びこの問題を取り上げました。

Benchmarks

Smart Recommendations

Discover More