2012年2月23日木曜日

Safariで意図せずGoogleのCookieがセットされる問題、MSも斜め上から非難

SafariはサードパーティCookie(閲覧しているWebページのドメインとは異なるドメインが発行するCookie)をデフォルトでブロックするようになっているのだが、Wall Street Journalが「GoogleはSafariが本来ブロックするはずのサードパーティCookieを特殊なコードを使って有効にしている」との旨を報じている。

WSJの記事では技術的な内容についてはあまり触れられていないが、EngadgetWSJのブログ記事によると、Safariは通常はサードパーティCookieをブロックするが、フォームを用いてユーザーが情報を送信した場合は例外としてサードパーティCookieを受け入れる仕様になっているそうだ。問題のコードはIFRAMEとJavaScriptを使って不可視のフォームを自動的に送信するというもので、これによりSafariはその後GoogleによるサードパーティCookieを受け入れてしまうようになるという。

Googleはトラッキングのためにこれを用いていたわけではなく、広告にGoogle+の「+1」ボタンを埋め込むためだけに使っていたと主張している。送受信されるCookieは「Googleのサーバーと一時的に通信を行うためだけに利用し、送信される情報は匿名のものでトラッキングに利用するようなものではない」と述べている。しかし、これによる副作用でその後GoogleのサードパーティCookieが受け入れられるようになり、その結果Safariのユーザーはトラッキング用のCookieも受け入れてしまうという。

技術的な内容について詳しくはmala氏がまとめているが、フォームの送信でサードパーティCookieがブロックされない件はGoogleのエンジニアによってバグとされ、WebKitレベルでは修正されているという。

この問題を受け、20日にMicrosoftもIEBlogで「GoogleはIEでもプライバシ設定を迂回している」と非難している。IE6以降はデフォルトでサードパーティCookieをブロックするようになっており、「P3P」という規格に準じた形で設定されたサードパーティCookieのみ受け入れるようになっているそうなのだが、「機械可読でないP3Pポリシーが設定されたサードパーティCookieは受け入れる」という仕様になっていたため、簡単に迂回できてしまうそうだ。Engadgetが詳しく解説しているが、このP3P規格はすでに時代遅れとなりほとんど使われていないとのこと。ちなみに、Facebookなどもこの迂回手段を使っているそうだ。

0 件のコメント:

コメントを投稿