AppleのiOS 14.5のプライバシー制限に先立って広告追跡機能を維持しようと必死のマーケターたちが、ドメイン名を監視してウェブセキュリティを向上させるためにボランティアが管理するデータベースを圧倒している。
Public Suffix List (PSL) は、Mozilla が設立し、コミュニティが運営するプロジェクトで、.com や .co.uk から github.io や pvt.k12.ma.us などに至るまで、Web の同一オリジン セキュリティ モデルの基盤となる効果的なトップレベル ドメイン (eTLD) の構築に使用できるドメイン サフィックスのリストを提供します。
トップレベルドメイン (TLD) 自体ではサイトの範囲を定義するのに不十分であるため、eLTD が指定として存在します。
問題は、ブラウザがURL内のドメイン名を見て、個々のウェブサイトの始まりと終わりを自動的に特定できないことです。例えば、theregister.comとgoogle.comは明らかに異なるサイトであり、ドメインが両方とも.comで終わるという理由だけで、Googleが設定したCookieがThe Registerに送信されるべきではありません。また、github.ioのように、GitHubのインフラストラクチャ上でWebページをホストできるサービスもあります。yourcoolproject.github.ioが設定したCookieがsnoopingmiscreant.github.ioに見られるのは望ましくないでしょう。
したがって、ブラウザメーカーやその他のソフトウェア開発者は、ドメインが複数の Web ドメインにわたってユーザーを追跡するスーパー Cookie を作成するために使用されないようにするために PSL を採用しています。
2週間前、PLISKのシニアプロダクトマネージャーでありPSLボランティアでもあるジョサン・フレイクスは、数週間後にAppleがiOS 14.5でApp Tracking Transparencyルールを実装する際に、Facebook Pixelトラッカーを引き続き使用するにはドメインの所有権を確認する必要があるかもしれないというFacebookの広告主へのガイダンスが原因で、リストに追加してほしいという新たなプルリクエストが急増していると報告した。
Appleは、ユーザーの指紋認証に広告SDKを使用するアプリを拒否し始めた
続きを読む
Googleのソフトウェアエンジニアであるライアン・スリーヴィ氏をはじめとする開発者が、PSLは時代遅れだとして利用を控えるよう訴えているにもかかわらず、FacebookはPSLに含まれるドメインをサポートすると表明している。そのため、Facebookの広告技術を利用する企業をはじめとする多くの企業がPSLへの登録を試みている。
たとえば、Service Magnet の共同創業者兼 CTO である Dave Sanders 氏は、GitHub の PSL リポジトリにプル リクエストを提出し、自社で使用しているドメイン (eTLD+1) である magnet.page を PSL に追加して、Facebook の広告技術が [customer].magnet.page サブドメインでホストされている顧客ページを別のオリジンとして認識できるようにしました。
1 週間前、Frakes 氏はこれらのプル リクエストが急増していることを観察し、Apple と Facebook が問題を解決するまでこの種の新しいリクエストは統合されないことを発表しました。
いいアイデアですが…
それは言うは易く行うは難しかもしれない。FacebookとAppleの開発者たちは何ヶ月もの間、ますます複雑化するウェブの技術環境において、広告主が広告コンバージョンを追跡し、ユーザーがどの広告をクリックしたかを把握し続ける方法を模索してきた。
Facebookのソフトウェア開発者、ベンジャミン・サベージ氏は1月以来、「Etsy問題」と呼ばれる問題の解決に取り組んできた。サベージ氏によると、Etsyは加盟店に対し、Facebook上で広告を掲載し、コンバージョンを測定するための独自のFacebookピクセルを設定する機能を提供しているという。
「現状では、Appleの『プライベートクリック計測』(PCM)を使用している販売業者をサポートすることはできません」と彼は嘆いた。「現在の仕様では、facebook.comに掲載され、etsy.comのどの部分にも直接アクセスするすべての広告が、etsy.comのどの部分から発生したコンバージョンもカウント対象となります。残念ながら、これはetsy.comで商品を販売する個々の販売業者にとって、特に有益な統計情報ではありません。」
Apple の WebKit セキュリティ エンジニアである John Wilander 氏は、Savage 氏とやり取りしながら、Apple の進化するプライバシー要件に適合する潜在的な解決策を見つけ出そうとしている。
これまでの議論では、サベージ氏の言葉を借りれば、「かなり厳しい選択肢」が生まれている。
火曜日にAppleのPrivate Click Measurement(PCM)リポジトリで新しい問題を提起し、PSLの提出凍結に注意を喚起し、ウィランダー氏に懸念を伝えたのはサベージ氏だった。
ブラウザのトラッキング防止機能はトラッキングを止められない、とDuckDuckGoが警告
続きを読む
「問題が発生しています」と彼は言った。「GitHubのこのissueで説明されているように、パブリックサフィックスリストへのエントリ追加リクエストが増加しています。」
これは特に Facebook の問題ではなく、Apple のプライバシー ポリシーの下で広告を運用するすべての人が抱える懸念であると指摘し、Apple が介入して PSL をサポートするか、別の解決策を考え出すべきだと主張している。なぜなら、差し迫った ATT の変更がこの状況を生み出しているからだ。
基本的に問題は、ホスト型プラットフォームで運営するマーチャントが、プラットフォームのドメインが PSL に記載されていない限り、Apple のプライバシー体制による制限の下で広告を測定できないことです。PSL は、PCM が登録可能なドメインを決定するために使用します。
「そもそもこの問題を引き起こしたのはAppleです」とサベージ氏は述べた。「マルチテナントウェブサイトがPSLに自身を追加する必要性は、PCMの設計上の決定により、測定対象を登録可能なドメインに限定したために生じたものです。緊急性が生じているのは、Appleが計画しているATTの施行によるものです。」
一方、Googleは、ファーストパーティセットと呼ばれる技術を通じて、異なるドメインを同一のオリジンであるかのように動作させるという関連する問題を解決しようと試みてきました。しかし、W3Cの技術アーキテクチャグループは、この提案はウェブにとって有害であると考えています。
誰もがプライバシーを放棄すれば、広告主にとっては非常に簡単になります。®
