サードパーティCookieは削除必須!
引用元:https://news.ycombinator.com/item?id=43865132
なんて変な文章なんだ。ただの殴り書き?それともマジでW3Cの作業プロセスの一部?セクション2:サードパーティCookieは悪くなった。OK。セクション3:サードパーティCookieが今カバーしてる正当なユースケースがある。これもOK。なのに、「個々には最小限のリスクしかない一連の新しい技術が、ウェブユーザーの追跡やプロファイリングのために組み合わせて使われる可能性があることを認識せよ。」って放り込む。え?文書の範囲がめちゃくちゃ広がったじゃん。急に大量の追跡技術全部の話になってるし?著者たちはそれ以上コメントなしで進む。セクション4:前半は基本的に、新しいウェブプラットフォーム技術が出てくるとサードパーティCookieの問題が悪化するから、早く修正すべきだって言ってると思う。OK、そこは同意。なのに文書は突然、ウェブプライバシー全般の基準を提案することにピボットして、提案してる側が立証責任を負うべきだって言って、最後は(皮肉抜きで?)サードパーティCookie削除がビジネスに与える影響を正当化するのは文書の範囲外だって言って終わる。W3Cがどう動くかっていう文化的な文脈が全然わかってないから、きっとこれは誰かが後で綺麗にするつもりのラフなメモで、こんなにHacker Newsで注目されるなんて思ってなかったんだろうな、って推測してる。
W3Cだしね…皮肉にも、標準に関しては一番まとまりがないんだよ。
…それか、委員会設計で、何人かは今も未来も追跡技術を残そうと必死なのかも。
まさにそうだよ、集まってルール決めようとするけど全然まとまらなくて、決まっても強制しない連中さ。張子の虎ってやつだよ、悲しいけどね。素晴らしいアイデアがひどい実行になってる。
標準化団体が自分でルール強制することなんて、めったにないよ。
ホントにW3Cが標準を強制する責任あるの?どうやったら機能するって言うの?
明確なテストがあって、サイトがW3C準拠かどうかがハッキリわかるなら、ADAとか他のアクセシビリティ関連標準と連携して、ADA準拠するならW3C準拠も必須にする、とかできるんじゃない?
自分たちの参照ブラウザを出すとか…
それって、どうやって標準を強制するの?
まあ、googleがChrome使って自分たちの標準を強制できるのと同じやり方でさ。(理論上の委員会にとって現実的な目標とは言ってないけどね)
Chromeがそれできるのは,市場シェアがめちゃデカいからだけだよ.ユーザーいないブラウザには無理な話.
全然違うんじゃない? Chromeで何か出すってのは,オレ的には標準を強制することじゃないと思うな.標準の強制ってのは,特定の状況でUSB-Cを使わなきゃいけない,みたいな規制によるもんじゃないの.
Chromeは独占状態だよね.新しい機能出すって決めると…他のブラウザも全部それに合わせる必要が出てくるか,そうしないとユーザーは自分のブラウザ壊れてるって思っちゃうんだよ.
うん,でもそれってやっぱり標準を強制するのとは全然違うんだけど…君はW3CがChromeに取って代わる”reference browser”を作って,それでユーザーに標準を強制すべきだって言ってるんでしょ.それ,全然いいやり方とは思えないな.
>素晴らしいアイデアだけど実行がひどい.いや,それはサボタージュだよ.
委員会による設計って,偶然とか馬鹿さっていうより悪意からきてることが多いでしょ.一部の要因は自分たちにとって良い目標に向かってるけど,大多数にとっては悪意なんだよ.
その通り.W3Cのスタッフのほとんどが広告技術の会社の人たちだってことを,どうしてみんな無視できるのか分かんない.彼らのゴールは広告技術を持続可能で利益が出るようにすることだよ.MicrosoftのIE,それからGoogleのChromeは,そのための追加の後押しにすぎない.でも主な活動はW3Cなんだ.注釈:もっと世間知らずだった頃,前述の使いっ走りの中にいた一人です.
最近のW3Cって,わりとどうでもよくなってるんじゃない?
EUは複数の法律や指令でウェブアクセシビリティを定義するのにWCAG 2.0を使ってるんだ.その一部はかなり最近可決されたものだよ.[1][1] https://www.w3.org/WAI/policies/european-union/
W3Cは全然関係なくないよ、ウェブ開発の種類によると思うけど。手書きでWebAssembly書いたり(これについては色々言えるけど、まあそういうのもある)、CSSの仕様とかもW3Cが書いてるしね。
ただ、今のウェブ(バージョン7.0とか?)だと、WHATWGが一番目立つかな。”The HTML standard”っていう仕様がウェブの9割を定義してるし。それとGoogleが事実上仕様を作ってるのもあるよね。それがHTMLに戻るかどうかは別として、GoogleがやってるとW3Cが遅れてる感じはするかもね。
代替案はもう書かれてるよ。
https://www.w3.org/TR/privacy-preserving-attribution/
これはサードパーティCookieに加えて行われるだけみたい。Google自身の調査だと、サードパーティCookieを削除すると収益が減って、「プライバシー保護」トラッキングだと収益が増えるって結論が出てるんだって。
https://support.google.com/admanager/answer/15189422
だから両方やるんじゃない?
https://privacysandbox.com/news/privacy-sandbox-next-steps/
規制当局があって、Googleに「代替がないのにサードパーティCookieを削除しちゃダメ」ってハッキリ言ったみたいだよ。だってGoogleは問題なく機能できるだろうけど、競合他社は大損するからね。
それって、広告会社じゃないブラウザを使うべきってことの良い論拠だね。そうすれば広告会社に縛られないから。
同意。HNersが一番いけてる代替案は何だと思うか気になるな。俺は今週Arcを試してるところだよ…
FirefoxにuBlock OriginとPrivacy Badgerは最低限入れて、他は好きなのでいいよ[0]。俺は最近、FirefoxベースのZen[1]も試してて、デフォルトのUIがもっと良くて promising だね。
[0] Tab Stash、Vimium C、SponsorBlock、Decentraleyes、DeArrow、Archive Pageとかが好きかな。
[1] https://zen-browser.app/
Firefoxはまあまあだよ。俺はまだChromeが必要なレアケースのためにchrome-newっていうスクリプトを持ってるんだ。これは一時ディレクトリでChromeを起動して、終わったら消すスクリプトだよ。(スクリプト本文は省略)
俺は何年もFirefox使ってるけど、最近はめっちゃ良いよ。
俺もそう思う。Mozillaがたまに自分で自分の足を撃っちゃうようなことがあっても、それでもFirefoxが一番良い代替策に見えるな。
Firefoxの新しいプライバシーポリシーには不満だから、WaterFoxに乗り換えたよ。今のところ順調だけど、ladybird browserが待ちきれないな。
そういえば、Arcは今メンテナンスモードらしいよ。The Browser CompanyはDiaっていう新しいAIブラウザの開発に集中してるんだってさ:https://www.theverge.com/2024/12/2/24310944/dia-ai-browser-v…
もっとコメントを表示(1)
これに関するリンク持ってる?どの機関がどんな議論をしたのか気になるな。
これだよ:https://www.gov.uk/cma-cases/investigation-into-googles-priv…
どうやらCMAはサードパーティCookieから利益を得てる他の広告主たちのことを心配してるみたいだね。ユーザーのプライバシーには関心がない。あの可哀想な数十億ドル産業は、どうやってやっていくんだろうね?
彼らの任務は競争を規制することであって、プライバシーじゃないからね。
またか、「”信頼できる”」サードパーティベースの追跡システムだって?トイレットペーパーに印刷されてても避けるのに必要な情報はそれだけだよ。
うん、まさに「”信頼できる”」サードパーティだね。例えばこれ:https://blog.mozilla.org/en/mozilla/mozilla-anonym-raising-t… Mozillaが所有してて、元Facebook社員が運営してるんだって。きっとこのW3CドラフトがMozillaとFacebookの社員によって書かれたのは全くの偶然だろうね。
自分のプライバシー保護に役立つアトリビューションデータベースをどうやって編集できるのか誰か説明してほしいな。ローカルのSQLiteデータベースとかかな?好みをローカルに保存するのに、編集させてくれないなんて馬鹿げてると思うんだ。
Googleのデザインだと追跡データはローカルに保存されるよ。Chromeには既に関心のトピックを管理するためのUIがある:chrome://settings/adPrivacy
サードパーティCookieがなくなったら、追跡してる連中はウェブサイトにスクリプトをサーバーに入れさせて、Cookieをまた”ファーストパーティ”にしちゃうだけじゃん。
これって追跡の方法じゃなくて追跡自体への対策をしないと、ネットにとって何の役にも立たないと思うんだけどな。
これって結局trustの問題だよね。
サードパーティの広告会社は、ファーストパーティが正直にインプレッションとかクリックを報告するかって信用してないんだよ。偽造しないかってね。
逆方向にもtrust問題はあるよ。
開発者やセキュリティチームとマーケティング部門の間で、ファーストパーティのサイトに解析や追跡、ad attributionのためにサードパーティのコードを入れたり、ドメインをプロキシしたりすることについて、すげー揉めてるの見てきたもん。
trustの問題を解決するためのcryptographyなんていくらでもあるじゃん。
サードパーティCookieがなくなって半年以内に、広告会社とサーバーオーナーの両方が納得するようなimpression signing systemが誰か作るって断言できるね。
そりゃどうかな。
彼らのscriptなんて”fetch that script from that URL and run it”ってだけかもよ。
clientでどのscriptが動いてようと、彼らの側にはfraud detectionsが既にあるはずだよ。
> ”fetch that script from that URL and run it”
でもサードパーティcookieがないと、追跡してるremote siteは、そのscriptが実際にdownloadされたか、executedされたか確認できないんじゃない?
Generate dynamic, short lifetime URLs that are locked to the client IP.
ああ、できるよ。
もし彼らのscriptがそのtrackerに3rd party xhr requestを送ってるならね。
でもこのrequest、もしfirst partyがtrafficをfakedしたかったら(for example, to make ad revenue)、fakedできちゃうじゃん。
今まさにこのfakingを防いでるのがthird party cookieなんだよ。
もうそんなの古いわ。これからの時代はサイトからベンダーへのサーバー間通信だって。クライアントをプロファイルはするけど、クライアント側で追跡JSは動かさないの。
それ、めちゃくちゃ金かかるんだけどね。訪問者に全部やらせてた代わりに、追跡APIサーバーに繋ぐために追加でサーバー用意しなきゃいけないんだよ。広告市場にかなり影響しそう。
そんなに金かかるとは思わないけどな。インストール簡単な、よくできたパッケージ一つあれば標準になるって。なんならデータブローカーがこれ集中させて、クライアントみんなに追跡データ配る形だってありえると思う。クライアントは中央のブローカーとやり取りするだけだし、全然難しくないよ。
その仕組み、もうあるよ。Supply Side Platforms(SSP)って言われてるやつ。
スケールが小さいなら確かにね。ある規模になったら、それを非同期タスクキューとかにしなきゃいけなくなるだろうけど。てか、俺はこれバグじゃなくて機能だと思うわ。プライバシー侵害が難しく、高くなるのは良いことだろ。
エンドユーザーの家のPCとかじゃなくて、速いクラウドバックエンドでやれるようになるんだよ。ページ読み込み速くなるし、サクサク動くからユーザーも喜ぶだろ。おまけに、アドブロッカーとかhostfileの小細工も使えなくなるんだぜ。
サードパーティのJSをファーストパーティとして埋め込むのはセキュリティ的にマジやばいか、malvertisingにとっては最高って感じ。もう起きてるし、例えば追加のDNSレコード使って広告サーバーをファーストパーティにするみたいな方法でね。次はJSをもっと厳しくする流れになるんじゃないかな。俺は賛成だけど。
たくさんのadtech企業(少なくともaffiliate marketing界隈では)が、third party cookies使えないからredirect使ってると思う。redirectすれば全部first partyになるからね。他でも言われてる通り、proxiesとか他のtechniqueにも乗り換えてて、追跡をblockするのがマジ難しくなってるんだよ。
スクリプトをウェブサーバーに置いても、オリジンが違うからファーストパーティにならないし、サードパーティCookieの回避にはならないと思うんだよね。トラッキングの手法じゃなくて、トラッキング自体を防ぐ保護が必要なんじゃないかな?
だからstate partitioningとかCHIPsは良い技術だと思う。Cookieみたいな既存の標準を残しつつ、ユーザーをクロスサイトトラッカーからデフォルトでしっかり守ってくれるし。
君の意見は役に立たないな。だって、ウェブサーバー管理者がもっと安全にしたいと思ってる前提で話してるけど、実際は逆で、わざとセキュリティモデルを緩くして3rdパーティートラッキングスクリプトを組み込んでる場合が多いんだよ。例えばContent-Security-Policyヘッダーとか、XSS攻撃には効果的だけど、3rdパーティートラッキングスクリプトもブロックしちゃうからね。
僕の言いたいこと、誤解してるね。サーバー管理者がどうしたいかじゃなくて、セキュリティポリシーが許すかって話だよ。もし違うドメインの2つのサイトが、同じスクリプトをそれぞれのドメインから提供しても、3rdパーティCookieの回避策には全然ならない。だってオリジンが違うから。CSPもこの場合、回避にはならないよ。
これ、実際には役に立たないよ。Prebidとか考えると、CriteoのJSはサイトで動いてるけど、ユーザーがカートに何か入れてるかとか、リターゲティングできる対象かは分からない仕組みなんだ。この回避策は、IPとかフィンガープリンティング、AIに頼る方にどんどん向かってる気がする。これ、サードパーティCookieより全然たちが悪いと思うんだよね。だってCookieはまだバカで消すのも簡単だったもん。
アナリティクス用のプロキシはもう既にあるよ。例えばplausibleとか、セットアップ方法教えてるしね。でも3rdパーティCookieって、同じブラウザから違うサイト経由で同じ値が何回も中央サーバーに送られて、ウェブ上で君を追跡できるのがポイントなんだ。グローバルな「君が誰か」っていうのはCookieに入ってるんだよ。
もっとコメントを表示(2)
パブリッシャーのサイトにスクリプト入れたって、サイトAからサイトBへの追跡はできないよ。それがサードパーティCookieでできたことなんだから。
サードパーティCookieの正当なユースケースって、複数ドメインに跨がる単一サイトだけじゃない?他にある?
俺的には、ファーストパーティCookieも3rdパーティコンテキストでアクセスできちゃダメだと思うし、理想はCookie全部なくしてクライアント証明書使うべきだと思う。アクセス時にドメイン専用の証明書を送る仕組みにして、状態追跡は全部サーバー側で、証明書と紐付ける。ユーザーはこれをリセットできる。
サードパーティCookieの正当なユースケースね。例えば
1. 社内ポータルに外部サービスを埋め込んで認証。
2. 同じ企業の複数サイトでチャットボット連携。
3. 同じコメントシステム使う複数ブログでログイン共有。
みたいな、今まで便利だった機能かな。他の方法でもできるけど、設定とかユーザーの手間が増えるんだよ。
ケース1と2はURLパラメータで対応できそう。ケース3が一番正当なユースケースっぽいけど、OAuthみたいなフローが必要で、ゼロクリックじゃ無理だよ。あと、コメントプラットフォームが俺がどのブログ見てるか知ったり、アカウントないブログでも情報にアクセスできたりするのって、ちょっとプライバシー的に嫌かも。ユーザーの許可なく起こるより、ブラウザ拡張とかでやる方が良いと思うな。
URLパラメータは簡単に変えられちゃうし、署名しても情報漏れるリスクあるんだよね。複数のドメインにまたがるサイトの話(#3)は、今のWebとは違う作り方だから、どれだけ既存のWebをぶっ壊すかって話になるね。
単一サイトが複数のドメインに分かれてる必要ある?サブドメインはわかるけど、複数ドメインだとめちゃくちゃだし、フィッシング詐欺にあいやすいよ。パスワードマネージャーが安全なのは、ちゃんとドメインとパスワードを紐づけてるからだしね。紛らわしいドメインから情報抜かれやすくなるよ。
会社が合併とか買収されたとき、複数のドメインになるのはよくある話なんだ。ドメインを組織そのものって考えるのは、複雑な組織には合わないんだよね。例えばBank AとBank Bが合併しても、すぐにドメインを一つにはできない期間がある。一時的なこととはいえ、複数ドメインが必要な場面はあるんだよ。
もっとよくあるのは、色々なサイト(それぞれ独自ドメイン)が実は同じSaaSで動いてて、認証とかを共有するケースかな。例えば、レストラン向けのサイト作りサービスで、お店ごとにドメインは違うけど、お客さんから見たら、どこで注文しても支払いとか住所を再入力しなくていい方が便利でしょ。これなら個人情報漏洩のリスクも低いと思うよ。
そうだね、正当なユースケースは確かにあるよ。Webホスティングとかで、アカウントにログインしてたら別サイトでも機能が使えたりね。これは3rd party cookiesがないと難しくて、他の方法だと使い勝手が悪くなるんだ。レストランのオンライン注文システムも同じサービス使ってる場合が多くて、別のお店で同じカード使うとき毎回ログインが必要だけど、3rd party cookiesがあればログインしたまま決済サービスを使えるからもっとスムーズになるよ。
こういうやり方はすごく危険に感じるな。明示的に許可してない情報までアクセスされる可能性があるからね。Webホスティングの例だと、その会社のサイトを見ただけで、ホスティングアカウントにログインしてるかバレるかもしれない。これ、すごく情報漏洩のリスクが高いし、サービス提供者を信用するしかないって状態だよね。決済システムも同じで、変なサイトから支払い情報抜かれる可能性もあるんじゃない?
3rd party cookiesに正当な使い道なんてある?Web使う側から見たら、全くないね。必要だって言われるシナリオは全部作られた話で、結局は「もっと儲けたい」ってことに行きつくんだよ。儲ける側は、ユーザーのためになるって理屈を並べるだろうけど、それは間違い。俺はもう何年も削除してるから。
このクッキーの話、全部ごまかしじゃん。JS有効にしてたら、クッキーあってもなくても追跡できるんだって!何もかもプライベートじゃないよ。nothingprivate.gkr.pwを見てみろ。JS有効でも追跡できないように、Webの仕様をもっと頑張って変えるべきだよ。BraveとかFirefoxとか、プライバシー売りにしてるブラウザも何もしてないじゃん。結局、JS切るしかないの?
面白い問いだね。JavaScriptが色々できて、DOMもいじれても、フィンガープリンティングとか追跡を防ぐなんて無理だと思うな。UI操作のロジックをもっと簡単に表現する方法が必要かもね。CSSがもっと進化するとか?でも、サーバー側で動くJSでプライバシーを守れるとは思えないなぁ。
ブラウザはコンドームみたいに使うべきだって、ずっと思ってたんだよね。ユーザーを特定できるものは全部隠しちゃうべき。マウスの動きとかタイピングの癖もバラバラにして分からなくするの。サイトが拡張機能とか他のタブの情報とか、自分のタブが開いてるかどうかなんて知る権利ないでしょ。右クリックとかズームとか、使いやすくする機能(アクセシビリティ機能)を勝手に変えさせちゃいけないよ。
面白い疑問だね。JavaScriptでtrackingを防ぐのは可能だよ。ネットワークアクセスを制限したり、ユーザーが接続先サーバーを選べるAPIを作ったりすればいい。
JavaScriptが外部と通信できなければ追跡はできないし、APIでユーザーが自分で選んだサーバー以外に接続できないようにすれば、開発者は追跡できない。昔のデスクトップアプリみたいにね。
なんで技術的な解決策じゃなきゃいけないの?
それってメディア業界がDRMでやろうとして失敗したことだよ。
解決策は法整備だね。プライバシー版のDMCAみたいなものが必要だよ。fingerprintを違法にするんだ。
https://nothingprivate.gkr.pwはFirefoxで(動作しない?)うまく動くみたいだよ…
ublock-originは使ってるけど、他には特別なことは何もしてないんだ。
”今となっては、本当にウェブでプライバシーを得るにはJavaScript無効が必要か?”
僕の考えでは、ウェブページ(JavaScriptなし、安全な文書)とウェブアプリ(今のサイト、信頼が必要)を区別すべきだと思う。
普通の人のアプリ状況を見ても、デジタル衛生意識を持つにはまだまだ先が長いってわかるよね。
それは君だけがわかりにくくしようとしてる場合だけだよ。
だからtor browserは特定のサイズ(ピクセル単位)に設定されてたり、利用可能なフォントセットが同じだったりするんだ。
意味ないよ。JavaScriptを無効にしても、他の方法で追跡できるんだ。
timestamp clock skewとかでdns packetsからfingerprintを取ったりね。IPV6を使えば、dnslookupごとにunique ip addressを割り当てて、cookieみたいに機能させられる。
追跡されたくないなら、インターネットを使わないことだね。
ウェブブラウザは排除すべきだよ。
”ウェブサイト”っていう怪しいサーバーから勝手なコードを動かしてるんだ。
トラッカーや広告なしで同じウェブ資源にアクセスできる、最小限のJavaScriptコードを使うスタンドアロンウェブアプリもあるんだよ。
