世界にとって大きな損失ではありません。Bloom Broomと名付けたこの拡張機能は、できる限り基本的なものです。Chrome拡張機能の入門チュートリアルを完了した後、自分でプロジェクトを完成させられるか試すために作成しました。
具体的には、拡張機能の名前からサイト名を推測できるかもしれませんが、ここではexample.comと名付けます。このウェブサイトがChromeブラウザに保存しているデータを消去するコードを作成することにしました。このウェブサイトのソフトペイウォールを回避できるかどうか試してみたかったのです。このソフトペイウォールは、購読していないユーザーは月に数記事しか読めないという制限を設けています。
アカウントを作成した加入者にのみアクセスを許可するハード ペイウォールとは異なり、ソフト ペイウォールまたは従量制ペイウォールは、ブラウザ クッキーなどのゲーティング メカニズムやブラウザベースのデータベースへの値の保存を通じて、訪問者にコンテンツへの限定的なアクセスを提供します。
これは驚くほど効果がなく、迷惑で同意のない行為であることは言うまでもありません。技術に精通したユーザーは長年にわたり、特定のCookieやブラウザデータを消去することでソフトペイウォールを回避してきました。ブラウザメーカーは手動でこれを行うためのツールを提供しており、プライバシーやセキュリティを理由に、そうするブラウザ拡張機能も数多く存在します。
Chrome はブラウザデータ操作用の API を提供していますchrome.browsingData。当初私は、特定のウェブサイトにアクセスしたときに実行するように設定できる Chrome 拡張機能のコンポーネントの 1 つであるコンテンツ スクリプトからこの API を呼び出すだけで済むと考えていました。
しかし、コンテンツ スクリプトからはアクセスできないことが判明したchrome.browsingDataので、グーグルで調べたところ、対象の Web サイトにアクセスしたときにコンテンツ スクリプトを読み込み、コンテンツ スクリプトからバックグラウンド スクリプト (別の Chrome 拡張機能コンポーネントの可能性あり) にメッセージを送信して、chrome.browsingDataそこで API を呼び出す必要があることがわかりました。
そこで、ファイル内で適切な権限を宣言しましたmanifest.json。
...
"permissions": ["*://*.example.com/*", "browsingData", "storage"], "background": { "scripts": ["background.js"], "persistent": false }, "content_scripts": [ { "matches": ["*://*.example.com/*"], "js": ["contentScript.js"] } ],
...
そして、次のコードを書きましたcontentScript.js。
chrome.runtime.sendMessage({ text: "Clear" }, function (response) { console.log("Response: ", response);
});
..background.jsそして …
function callback() { console.log("Bloom Broom の実行が完了しました。");
} chrome.runtime.onMessage.addListener(function (msg, sender, sendResponse) { if (msg.text === "Clear") { chrome.browsingData.remove( { origins: ["https://www.example.com"], }, { cacheStorage: true, cookies: true, fileSystems: true, indexedDB: true, localStorage: true, pluginData: true, serviceWorkers: true, webSQL: true, }, callback ); } sendResponse("BrowsingData がクリアされました。");
});
ブラウザコンソールに出力を出力するステートメントconsole.logは必須ではありませんが、拡張機能が期待通りに動作することを確認したかったのです。そして、期待通りに動作しました。example.com というサイトに何度でもアクセスでき、記事数制限が発生することはありませんでした。サーバーはブラウザのストレージシステムに過去のアクセス履歴を見つけられなかったからです。
しかし、私は拡張機能を公開しないことに決めました。なぜなら、ペイウォールのような技術的保護メカニズムを明示的に回避することは、少なくとも理論的には法的に訴えられる可能性があるからです。
法のデジタル化
ロサンゼルスのラス・オーガスト&カバット法律事務所の知的財産権および訴訟・裁判業務グループのアソシエイト弁護士、テレサ・トゥループソン氏は、2015年のニューヨーク大学ローレビュー誌の記事「ペイウォールを不正に利用するのは違法:アクセス権とDMCAの回避防止条項」の中で、同様の見解を示している。[PDF]
そして彼女は、 The Registerとの電話インタビューでもそれが可能性であると主張した。
「法律評論で述べたように、DMCAはクッキーを消去した人を潜在的に訴追できるような書き方をしているため、これは基本的にDMCAに基づいて法的措置が取れると私は考えています」と彼女は述べた。
その理由は、DMCA の文言があまりにも広範囲にわたるため、許可なく有料コンテンツにアクセスするあらゆる手段が同法の適用範囲に入ってしまうためだと Troupson 氏は主張した。
「クッキーを削除したり、広告ブロックソフトを使用したり、あるいはペイウォールを通り抜ける他の方法は、オンラインニュース記事を保護するペイウォールを『無効化』または『損なう』と言える」と記事には書かれている。
誰もが必ずしもこの法律の解釈に同意するわけではなく、多額の金銭が絡んでいない限り、ペイウォールをバイパスする拡張機能を公開したり、単にクッキーを削除したりしても訴訟に発展する可能性は低い。
Chrome拡張機能は「新しいルートキット」だと研究者は述べ、イスラエルのレジストラGalcommによる監視キャンペーンを関連付けている
続きを読む
トゥループソン氏は、ブラウザのストレージ削除に関連したペイウォール回避の事例は把握していないと述べた。しかし、2018年にMozillaは、利用規約違反の疑いで「Bypass Paywalls」というFirefox拡張機能をアドオンストアから削除するほどの法的懸念材料を発見した。
法的リスクはいくらあっても、Bypass PaywallsのコードがChromeで動作するように更新され、GitHubからダウンロードできることを考えると、過度なリスクではありません。また、Mozillaアドオンストアには、Chromeウェブストアと同様に、ペイウォール対策拡張機能が現在も含まれています。
トゥループソン氏は、意図が重要であるため、特定のコードが特にペイウォールを回避するために作成されたと述べることはリスクを増大させると示唆している。
しかし、プライバシーやセキュリティ上の懸念からクッキーの消去が行われたと主張したとしても、DMCAに基づく免責が保証されるわけではありません。Troupson氏の記事が指摘しているように、DMCAの回避防止規定には意図要件が欠けています。
トロウプソン氏は、クッキー承認ポップアップをクリックすることは、ペイウォールの仕組みに干渉しないなど、サービスに関する出版社の規約に同意したものとみなされる可能性があると示唆した。
えーっと、憲法修正第一条を覚えていますか?
EFFの法務フェローであるナオミ・ギレンズ氏は、 The Registerへのメールで、クッキー回避が訴訟の対象になる可能性について懐疑的な見解を示した。「人々はインターネットを匿名で閲覧する憲法修正第一条の権利を有しています。したがって、たとえニュースサイトがそれを好ましく思わなかったとしても、匿名閲覧を可能にするソフトウェアを合法的に使用することは犯罪にはなり得ません」とギレンズ氏は述べた。
しかし、ギレンズ氏は、コンピューター詐欺および悪用防止法などの法律の曖昧さを考えれば、プライバシー拡張機能を通じて人々が自動的に行うクッキー干渉の合法性に関する不確実性は理解できると認めた。
「ニュースサイトは、無料記事を一切読ませないようにすることでペイウォール回避の問題を解決できるが、コンピューター犯罪法や知的財産権法を使って、合法的に利用可能なソフトウェアを使って匿名で閲覧するのを阻止することで、この問題を阻止することはできない」とギレンズ氏は述べた。
少なくとも、Chrome の Cookie を崩壊させるシークレット モードに関しては、DMCA は問題ではないと Gilens 氏は主張しています。
DMCAは、DRMスキームとの相互運用のために特定の技術を実装する必要がないことを明確に規定しています。つまり、この場合、ニュースウェブサイトは、DRMを機能させるためにブラウザに顧客のCookieを保存することを要求することはできません。(とりわけ、Cookieの強制保存はプライバシーにとって悪夢となるでしょう。)
「要するに、ユーザーは、シークレット モードでニュース Web サイトにアクセスした場合、DMCA に基づく「迂回」行為の責任を負わない。これは、主な個人用デバイスに加えて、携帯電話や職場のコンピューターからニュース Web サイトにアクセスした場合に責任を負わないのと同様である。」
この解釈が、ペイウォールを回避するためのソフトウェアの作成を免責することになるかどうかは、実際の訴訟を待つ必要があるかもしれない。おそらく、そのようなコードをプライバシー拡張機能と呼ぶのが最善策だろう。
関連して、Googleは今年初め、パブリッシャーが従量制アクセスを強制するために利用していたChromeの2つのプライバシー抜け穴を塞いだ。広告業界は、落胆しているパブリッシャーに対し、無料記事の割り当てを減らすか、記事の閲覧に登録制にするか、ペイウォールを強化するよう勧告した。
