プライバシーとセキュリティ上の理由から、Web ブラウザがドメインのグループを 1 つのドメインとして扱えるようにする Google の提案に対し、W3C 技術アーキテクチャ グループ (TAG) が反対している。
GoogleのファーストパーティCookieセット(FPS)は、ウェブブラウザがCookieやその他のリソースがユーザーがアクセスしたサイトと同じサイトからのものか、それとも別のサイトからのものかを判断する方法に関係しています。ブラウザはこれらを異なる方法で処理する可能性があり、分かりやすい例としては、サードパーティCookieをブロックする計画が挙げられます。
この提案では、google.com、google.co.uk、youtube.com など、同じ組織が複数のドメインを所有している場合、それらを「関連するドメイン名が同じファーストパーティとして宣言できるようにする」セットにグループ化できると示唆しています。
このアイデアにより、サイトは既知の場所にマニフェストを配置することで独自のセットを宣言できるようになります。また、「ブラウザベンダーは、自社のUA(ユーザーエージェント)ポリシーを満たすドメインのリストを管理し、ブラウザに組み込むことも可能になる」とされています。
これにより、より多くのアプリケーション開発者が特定のブラウザをターゲットにし、それらのブラウザでのみ動作する(または制限される)Webアプリを作成することにつながる可能性があります。
2019年2月、Googleのソフトウェアエンジニアであるマイク・ウェスト氏がTAG(タグ・アンド・ガバナンス・グループ)によるレビューを要請し、その提案に対するフィードバックが昨日公開されました。「TAGによるレビューを経て、合意された見解が示されています」と文書には記されています。
TAGによると、ウェブ技術の大きな変化にもかかわらず、過去10年間「オリジンのアーキテクチャ基盤は比較的安定している」とのことだ。さらに、TAGは「この提案は、その影響を十分に考慮することなく、オリジンの概念を弱めることになるのではないかと懸念している」と付け加えた。同グループは、FPSがマイクやカメラへのアクセスといった権限に適用されるかどうかなど、提案に曖昧な点があることを指摘した。
Googleは、サードパーティCookieが廃止されると、Chromeは広告ネットワークによるウェブ上の個人追跡を支援しなくなると発表しました。
続きを読む
Google Chromeのエンジニアリングマネージャーは、「いいえ、権限の範囲を変更する提案はしていません。現在のFPSの範囲は、ブラウザがクロスサイトトラッキングの制限を課すプライバシー境界としてのみ扱われます」と述べています。しかし、TAGはFPSの正確な範囲を提案書で明示すべきだと考えています。
2つ目の懸念は、ブラウザベンダーが独自のリストを配布するという提案です。「これにより、特定のブラウザをターゲットにし、それらのブラウザでしか動作しない(あるいはそのブラウザに限定される)ウェブアプリを開発するアプリケーション開発者が増える可能性があります。これは望ましい結果ではありません」とTAGは述べています。
デフォルト設定は強力な効果を発揮します。例えば、Googleが市場を席巻するChromeブラウザに、プライバシーの観点からyoutube.comとgoogle.co.ukを同一サイトとするリストを同梱しているような状況は容易に想像できます。ユーザーはこれらを区別したいと思っても、設定の変更方法を知らなかったり、そのことに気づいていなかったりするかもしれません。「ファーストパーティセットにより、ユーザーエージェントやブラウザは、ユーザーの利益ではなく、サイトやCookie発行者(広告主など)の利益のために、サイトをセットとして承認できるようになる可能性があります」とTAGは述べています。
TAG は、Google の「プライバシー サンドボックス」に関する別の提案の文脈において、FPS について特に懸念を抱いていました。
FPSは「サードパーティCookieの意味を再定義しようとする」とTAGは述べており、これは「プライバシーサンドボックスの有効性」に疑問を投げかけている。Googleの視点では、FPSはプライバシーサンドボックス技術の構成要素の一つに挙げられている。
同グループはまた、FPSが「ウェブに複雑な設定レイヤーを追加する」方法にも異議を唱え、MozillaやAppleを含む「他の実装者からの強い反対」を指摘した。例えば、AppleのWebKitリーダーであるMaciej Stachowiak氏は、「悪意のある主張」を懸念し、次のように付け加えた。
TAG は、「ファースト パーティ セットの提案は、現状のままでは Web に有害であると考えています。この提案はオリジンの概念を損なうものであり、オリジンは Web アーキテクチャの耐荷重構造の柱であると考えています」と結論付けました。
レビューでは、「この提案は、実装とサービスの両方を管理する強力で大規模な組織にのみ利益をもたらす可能性が高い」と付け加え、読者にそのような組織の例を考察させるようにしています。最後に、TAGは「ファーストパーティセットに依存する」新機能のリクエストについて警告し、そのような機能の一つであるSameParty Cookiesが既にレビューに提出されていることを指摘しました。
このレビューには強い言葉がいくつか含まれており、TAGメンバーにウェブの発明者であるティム・バーナーズ=リー氏が含まれていることも注目に値します。Googleは、最新バージョンのChrome 89にファーストパーティセットとSameParty Cookieの両方を実装しており、「開発者が新機能を試してフィードバックを提供できるように」するための「オリジントライアル」として組み込んでいます。オリジントライアルはデフォルトでは無効になっていますが、開発者は登録後に特定のサイトで有効にするか、ユーザーがChromeの設定で有効にすることができます。®
