Google Chrome チームは、COVID-19 コロナウイルスが Web 開発エコシステムに与える影響を考慮し、User-Agent Client Hints (UA-CH) の改良を少なくとも 2021 年まで延期しました。
「UA-CHの作業は継続中ですが、COVID-19がウェブエコシステムにおけるこの変更のテストとサポート実装の能力にどのような形で、またどのくらいの期間影響を与えるかは現時点では不明です」と、Googleのデベロッパーアドボケイトのヨアブ・ワイス氏は月曜日のフォーラム投稿で述べた。「引き続き状況を注視し、状況の変化に応じてこの問題を再検討していきます。」
Googleはプライバシー保護のため、ブラウザがサーバーに送信するUser-Agent文字列を凍結する計画を立てています。この文字列にはクライアントのソフトウェアとハードウェアに関する詳細情報が含まれており、受信デバイスの機能に合わせてコンテンツをカスタマイズするなど、合法的に利用できます。しかし、Googleはこれが悪用される可能性を認識しているため、この文字列を非常に汎用的なものにし、あまり意味をなさないものにする予定です。
「これらの文字列には(かなりの数の嘘も含めて)かなりの量の情報が詰め込まれています」とW3Cのユーザーエージェントクライアントヒント草案は説明しています。「バージョン番号、プラットフォームの詳細、モデル情報などがすべてのリクエストに付随してブロードキャストされ、あらゆる種類のフィンガープリンティングスキームの基礎となります。」
ブラウザフィンガープリンティング(ブラウザAPIから読み取れる設定や機能を列挙し、それを識別子に変換すること)は、ブラウザのプライバシー保護を回避する手段となります。そのため、Googleは他のブラウザメーカーと同様に、ブラウザフィンガープリンティングにおける分散(エントロピー)を低減し、ブラウザ同士を区別できるようにすることに注力しています。
それを実現する方法は、利用可能な情報を減らすことであり、文字列の具体性を下げるその取り組みは来年まで延期されています。
Manifest v3拡張プラットフォームの改訂やSameSite Cookieシステムなど、広告業界が後押しする他のウェブ技術の変更と同様に、UA-CHプロジェクトの情報削減は混乱を招くでしょう。そのため、移行を比較的閑散とした時期まで延期することは理にかなっています。
二度目の不運
しかし、このプロジェクトが延期されるのはこれで2度目です。当初はChrome 81(Chrome 81自体も3月中旬から4月7日に延期)でリリースされる予定でしたが、フィードバックを受け、Googleはもう少し延期することを決定しました。
Googleは世界から何をなくせるか考えている…貧困?病気?そう、そう、でもまずはサードパーティCookieと従来のユーザーエージェント文字列について
続きを読む
プロジェクトの初期段階では、混乱を招くようなことは想定されていません。Chrome 84がリリースされる7月14日にリリースされる予定で、User-Agentヘッダー文字列(従来の形式でも引き続き利用可能)に代わる新しいClient Hintsヘッダーフィールドが導入されます。初期リリースの目的は、開発者が実験を行い、フィードバックを提供できるようにすることです。
クライアントヒントでは、ブラウザクライアントとサーバー間のやり取りが多少増えます。その目的は、サーバーからの最初のレスポンスで返された情報リクエストに応じるかどうかをブラウザが判断できるようにすることです。
「このデータを常に全員にブロードキャストするのではなく、ユーザーエージェントは、より詳細なデータを求める特定のサイトの要求にどのように応答するかについて合理的な判断を下すことができ、ネットワークに公開される受動的なフィンガープリンティングの表面積を減らすことができます」と仕様草案では説明されている。
しかし、広告業界はこのアイデアに全く賛同していない。プログラマティック広告システムは、広告詐欺対策としてブラウザフィンガープリンティングに依存しているからだ。Googleがこのプロジェクトを無期限に延期しても、アドテク企業は問題ないだろう。
「この変更が実施されれば、パブリッシャーがこの方法で広告を表示した場合、広告主は自社の広告が人間に配信されたものであることを検証できなくなります」と、モバイル検出企業51DegreesのCEO、ジェームズ・ローズウェル氏は先週、UA-CH仕様に関するGitHub Issues投稿で述べた。「広告主は、その検証を提供できるパブリッシャーやプラットフォームに直接広告費を投じるようになるはずです。」
サイバーセキュリティと広告詐欺の研究者、オーガスティン・フー氏は今年初め、The Registerに対し、User-Agent 文字列は偽装できるため、広告詐欺の検出には「まったく役に立たない」と語った。
また、ローズウェル氏の抗議に対して、レッドハットの開発者マイケル・カタンザロ氏も「広告業界の不正行為検出のセキュリティモデルは、攻撃者が善意を持ち、真実のユーザーエージェントヘッダーを送信することに依存している」として、同様の疑念を表明した。
しかし、広告業界によるフィンガープリンティングの正当性の疑わしさを無視すると、UA-CH によって、マーケターが Google との競争に必要だと主張するデータが不足することになるなら、広告テクノロジー企業にとって問題が生じる可能性がある。
「すでに生じている不確実性は極めて混乱を招き、広告収入で運営されるオープンウェブは脅威にさらされています」とローズウェル氏は述べた。「こうした理由から、この[UA-CH]提案は、W3C TAG(技術アーキテクチャグループ)によって一時停止されるべきです。適切な協議、根拠の提示、そして堅牢なエンジニアリングオプションの策定、そして互いの検証、そして現状との対比を通して、すべての利害関係者のニーズを考慮した前進策が採用されるよう、検討されるべきです。」
懸念されるのは、Google が他のサービスを通じてユーザーを識別できるため、自社以外のすべての広告ビジネスを制限するプライバシー保護を提供するのではないかということです。®
