Google Chrome セキュリティ チームの主要メンバーが、Cookie を廃止し、安全な HTTP トークンに置き換えることを提案しました。
今週、マイク・ウェスト氏はGitHubに「まだ完成していない」アイデアを投稿し、コメントを求めた。「これはよく考え抜かれた提案ではなく、Googleの承認もしっかり得ているわけではありません」と彼は警告する。「これは議論のための興味深いアイデアの集まりであり、それ以上でもそれ以下でもありません。」
これまでのところ、人々はこのアイデアに対しておおむね好意的に受け止めているものの、オンラインでのやりとりの日常の一部となっているものを置き換えようとすると複雑さが生じると指摘している。
ウェスト氏の考えは、大まかに言うと、ウェブサイトがユーザーを追跡できるようにする普遍的なコード スニペット (これにより、製品をカートに追加して後でチェックアウトできるなどの貴重なサービスが提供される) を、「ネットワーク レベルの状態管理のためのクライアント制御、オリジン バウンド、HTTPS のみのセッション識別子」を導入することで徐々に廃止していくというものだ。
言い換えれば、トラッキング コードは、サーバー上に保持されるのではなく、特定の Web サイトにアクセスしたときに渡される安全な HTTP ヘッダー (一意の 256 ビット値) を通じてブラウザーによって制御されることになります。
結果は実質的に同じになるものの、このアプローチは、ユーザー追跡にセキュリティとプライバシーが組み込まれた新しいデフォルトを作成することになる、とウェスト氏は主張する。同氏は、現在の動作でクッキーをより安全にする標準はいくつかあるが、「採用はほとんど、あるいは全くない」と指摘する。
HTTPSにセッション識別子を組み込むことで、特定のドメイン名と関連付けられ、セキュリティが強化されます。また、安全な暗号化プロトコルを経由することで、識別子を平文で送信することができなくなり、監視が困難になります。
HTTP ヘッダーの長さを制限すると、このような Cookie 内に保存できる個人情報の量が制限され、機密情報が盗まれる可能性が低くなります。
ジャワのスタンプ
このタイプのCookieはJavaScriptでは利用できないため、盗まれたトークンを使って他人になりすましたウェブサイトにアクセスすることがはるかに困難になるなど、セキュリティ上の大きな利点が期待できます。「リクエストにタイムスタンプを含めることで、純粋なリプレイ攻撃の脅威が減り、その可能性をさらに低減できる可能性があります」とウェスト氏は指摘します。
「サーバーによって設定される大量のキーと値のペアよりも、ブラウザによって制御されるセッション識別子に移行する方が、よりエレガントであり、ユーザーのリソースをより尊重することになります。」
Facebookは非ユーザーの追跡を彼らの利益のために行っていることを認めている
続きを読む
このアイデアは今のところブラウザマニアの間でのみ話題になっており、ユーザーデータへの無制限のアクセスを可能にするためにクッキーに依存しているFacebookのような大企業は、現在できることに制限を設けるというアイデアに乗り気ではないだろうと指摘する人も少なくない。
HTTPS 経由で複数の異なるトークンを作成することも可能であり、これにより実行できる範囲が広がりますが、そうすると数十個のトークンが作成され、新たなブラウザの頭痛の種が生じる状況に陥る可能性があります。
このより安全なアプローチは、わざわざ作成して実装する価値があるということに全員が同意したと仮定すると、次の疑問が生じます。Web サイトが有用なユーザー インタラクションを提供するために絶えず使用している数十億個の Cookie はどうなるのでしょうか。
ウェスト氏は、人々は「ゆっくりと段階的に」Cookie 2.0に移行するだろうと推論する。開発者が新しいHTTP Cookieに徐々に移行していく間、両者を並行して運用し、「最終的には開発者がサイト上でCookieを完全に無効にできるような機能を提供することも考えられる」と述べている。
売れなかった
サブドメインでこれがどう機能するかを問われたウェスト氏は、自身の提案が社内で同様の疑問と懸念を引き起こしたことを認めた。
「Googleはサブドメイン間の状態管理に『http://accounts.google.com』に大きく依存しています」と彼は認めた。「サインインチームは、合理的な理由から、この方法には全く賛成していません」。しかし、たとえ「大変な作業」になるとしても、実現可能だと彼は言う。
West 氏の提案については GitHub の記事でさらに詳しく述べられており、同氏は Twitter アカウントで多数の質問や問い合わせ、批判に回答している。
このアイデアが実際に実現するかどうかは、今後の展開を見守るしかありません。インターネットエンジニアの間では、オンラインセキュリティの強化に向けた動きが顕著です。GoogleはHTTPSを積極的に推進し、認証局はルールを厳格化し、IETFは今月TLS 1.3を正式に承認しました。クッキーのセキュリティをデフォルトで強化する機能が実現可能と判断されれば、大きな注目を集めることは容易に想像できます。®
