Googleがcookie有効期間を2年に短縮 70
ストーリー by next
元々が長すぎた? 部門より
元々が長すぎた? 部門より
backslashdot 曰く、
ITmediaの記事によれば、これまで「2038年まで」有効としていたcookieを、 今後数カ月の間に随時、2年の有効期限のcookieに変更していくようだ。 英国のNPOが Googleはプライバシー保護に敵対的という調査を発表したりと、特にEU地域からは Googleへの風当たりが強いが、今回の措置はそのような批判をかわす目的があるようだ。 けど、これでもちょっと長いかな。
賞味期限が長いのは (スコア:5, おもしろおかしい)
個人的には半永久的がいい (スコア:3, 興味深い)
毎日使うサービスのクッキーは許可にしてほぼ保存したままにしたり、
たまにしか使わないサービスの場合は現在のセッションのみ許可にして
使っている個人的には半永久がいいな。
#ただ見るだけのページのくせにクッキー許可しないと表示させないよ^^っていうサイトは死ねばいいと思う
Re:個人的には半永久的がいい (スコア:3, 参考になる)
保存したいcookieはcookieフィルタで「許可する」に設定すれば、Firefox終了後も残る。
広告バナー系は不許可にする。
こうするとFirefoxを終了すれば必要なcookieだけ残して全部消えてくれます。
Google? もちろん、Firefox終了時に消えますよ。:-)
Re:個人的には半永久的がいい (スコア:4, おもしろおかしい)
毎回safe=offを入れるのがめんど…げふんげふん。
Re:個人的には半永久的がいい (スコア:3, 参考になる)
思わぬサイトで思わぬクッキー食わせようとしてくるのがわかりますから、日頃の危機意識を鈍らせないための良い刺激になりますよ。
googleを含む検索エンジン系サイトは、基本的にはクッキー遮断ですかね。
/.はもちろんクッキー常時受け入れで。ログインめんどいから ;-)
Re:個人的には半永久的がいい (スコア:0)
面倒だから全部拒否したらアクセスを拒否された・・・
Re:個人的には半永久的がいい (スコア:1)
CookieCuller (スコア:1)
https://addons.mozilla.org/ja/firefox/addon/82 [mozilla.org]
といっても面倒なので原則受け入れで、再起動時にクリア。
一部長期保存したいものだけクリアしない設定にしています。
Re:個人的には半永久的がいい (スコア:0)
Cookieを消したとしてもトラッキングログは結局Googleに取られていることになるわけで、
プライバシーという観点から考えた場合にはあまり大差ない気もします。
Re:個人的には半永久的がいい (スコア:1)
買い換える事になると思うので数年でいいと思う。
自分の場合は半年いかなかったらその後訪れることはないので
半年でもいいかも。
cookieなんて自己申告で(ry (スコア:0)
Yahoo の (スコア:3, 参考になる)
まだ Google の方が良心的かも。
cookieを弾くと危うい (スコア:3, 参考になる)
インタラクティブなWebサイトを作る上でセッション管理は必須の要素で、セッションキーは必ずどこかで持ち回る必要が生じます。
Webアプリケーションを作るためのほとんどのフレームワークも、セッション管理を自動できる機能を提供しています。
通常はセッションキーをcookieに持たせるのですが、cookieが利用できない場合に多く利用されるのがURLへのセッションキーの埋め込みです。
そういった作りになっている場合、cookieが利用できるブラウザでは特に気にする必要はありませんが、cookieが無効の場合に、セッションキーがWebブラウザの履歴、Proxyサーバのログなどに残るようになるだけでなく、Refererによる外部サイトへの漏洩の危険も高まり、また不用意なURLのコピーアンドペーストでも漏洩します。
宗教上都合などでしかたない場合を除いて、安全にWebを利用したい場合はcookieは不用意には切れないと思います。
Re:cookieを弾くと危うい (スコア:1, すばらしい洞察)
個人トラッキング目的としか思えない、やたらと長い有効期間を設定しているcookieが嫌われてるだけで。
全部受け入れるのは気持ち悪いけど、いちいち受け入れ/拒否を聞かれるのはウザくてやってられない→面倒くさいから全部拒否
となってしまうんでしょうね。
猫も杓子もcookieを喰わせようとしすぎるから、本当に必要なcookieがゴミの山に埋もれて一緒に捨てられてしまうんですよ。
Re:cookieを弾くと危うい (スコア:0)
そう。セッション用なら期限はブラウザを閉じるまでで十分。更にはログアウトしたときにセッション用のcookieは消去するようにWebアプリケーションを作るべき。
Re:cookieを弾くと危うい (スコア:0)
cookieも結局性善説のツールというか「システムは必ず乱用される」というスタンスで設計されていないから、ユーザが手間をかけてその都度許可する運用にするか、運営側がもうちょっとデキのいいセッション管理(他の枝でも出てるけどSSLとか使って)を使うしかないと思う。
#しかしcookieのブラック/ホワイトリストをドメイン単位の登録にするのは勘弁して欲しいな。レンタルサーバとかサブドメインとかどうすんのよ。
Re:cookieを弾くと危うい (スコア:2, 参考になる)
SSLのセッションはkeep-aliveと同様に時間切れを起こします。クライアント証明書でも使っているのですか?
もしかして、そのISPの接続元からしかログインできないシステムですか?
Re:cookieを弾くと危うい (スコア:1)
IPのバラバラなパケットを連続した通信に見せるためにTCPを使ってますよね。
せっかく、TCPで連続した通信になったのに、TCP上のHTTPでGETとかPOSTで通信が終わるたびにTCPをcloseしてしまっています。
closeした後、前と同じ人が、GETやPOSTしてもサーバからは同じ人のアクセスかどうかがわからなくなるからcookieを使ってHTTPなセッションを作って連続したアクセスだと認識しています。
どうせ、cookieやHTTPなセッションもタイムアウトがあるんだから、keep-aliveしてTCPをHTTPなセッションの代わりにしたほうが美しい仕様だと思っています。
telnetも、FTPもTCPが切れたらお終いでloginやり直しだから、HTTPで買い物していてもkeep-alive(TCP)が切れたら、ログインし直しで納得出来そうです。
今となっては、過去の資産があってしかたがないのは納得しています。
# keep-aliveをHTTPなセッションの代わりに使うとproxyが難しそう。。。
Re:cookieを弾くと危うい (スコア:0)
Re:cookieを弾くと危うい (スコア:0)
SSLだけでセッションを維持してるサイトがあったとしても
そうじゃないサイトを使っている/使わざるを得ない場合には「関係ない話」だよ
そして、そうじゃないサイトではCookieがダメならば
URLにセッションID埋め込みというのが常套手段として使われる事が多い
なので、Cookieを拒否するとしばしばセッションID埋め込みURLが使われる事になってしまう
(残念ながら)まだまだ極一部の、特殊で安全なサイトしか使わない人は別として
大多数の人にとっては、それが現実でしょう。
Cookieとプライバシー。切っても切り離せないもの。 (スコア:2, すばらしい洞察)
Cookieは誰のためのものなのか。Cookieは開設者・広告業者が自由に利用することができる。だけど本当は、閲覧者がCGIなどに仕方なく許可するものでしょう。Yahoo・Googleを含め、変なことに使っている企業が多すぎる。
パソコン初心者に教えるときに、だいたいの要望は「インターネットを自由に見たい」ってことなんですけど、現状のままだと「嘘を嘘と見抜ける」「プライバシーに関心のある」人しか安全に利用できないよね。おかしいよね。結局、Cookieに関しては(自分の判断で)毎回確認させる程度のことしかできないけど。
そこらへんの将来性も含めて、欧州連合のプライバシーに関するきつい考えには賛成! 日本も、ここらへんの文句のひとつでもGoogleとかに言ったほうがいいんじゃないかと思う。
All your base are belong to us
Re:Cookieとプライバシー。切っても切り離せないもの。 (スコア:1)
あなたの言う「変なこと」って具体的にはどういうことですか?
クッキーはブラウザを特定する物であり、個人を特定する物ではありません。
もし個人を特定されるというなら、それはあなたが規約に従って個人情報を自ら提出したからです。
あなたにはCookieを使わない自由があります。
あなたにはGoogleを使わない自由があります。
結局は便利さとちょっとした感情のバランスの問題なのに、
どうしてネットのプライバシーに関してはこんなに過剰な反応がでるのか解りません。
私にとっては捨てたゴミを漁られる方がよっぽど怖いです。
Re:Cookieとプライバシー。切っても切り離せないもの。 (スコア:1)
「変なこと」には
の両方が該当します。個人の特定も、cookieで十分に可能ですよ? GoogleがなんとかHistoryってやっているものは(offにできるとはいえ)十分だと思います。
問題なのはですね、もちろん我々のような/.erなら、cookieを切ったり、Googleを避けたり、IPアドレスを変えることすらできるわけですが、悪意のあるcookieがターゲットとしているのは、まったくのパソコン初心者であることです。
ただインターネットを利用したいだけの彼らに「cookieは使わなくてもいいよ」なんて言えないです。言っても理解してもらえないか、それとも利用したいサイトがcookieを使っているかです。無意味なんです。
また、彼らに「規約に同意した?」なんて聞いても、「規約って何?」ぐらいの反応ですよ。英文は、みんな読まないんです。そういう行動をとるように教育していることがいけないのはごもっともなんですが、今のインターネットでは、無意識的に行動する人が大半である事実があります。
だから、影響力のある組織(私は日本政府を挙げました)が枠組みを作るなり、文句を言うなりしてほしい、ということを言いたかったんです。今のインターネットの状態では、たいていの人にとって、便利さとプライバシーを、自由に選択できる状態ではないです。
# ゴミに関してはまったく同意します。よく訓練されたストーカーとか、怖いですよね。
All your base are belong to us
Re:Cookieとプライバシー。切っても切り離せないもの。 (スコア:1)
多少論争的な言動になっており、お見苦しい点が多々あることをあらかじめ謝罪させていただきます。
cookieがだめなのではなくて、cookieの使い方がだめだ、ということです。発言を引用させていただきますと、
この数行のうちには、「ブラウザの特定」「個人情報の送信」「IPアドレスの認知」「送信者意識の崩壊」が含まれています。ここまで情報を集められるのに、本当に問題がないと言い切れますか? べつに「Webブラウザが特定されるから危険だ」なんて言ってません。各情報を連携して使用されると、本当に危ない状態です。
今でもそんなに必要ですか? それなのに、多数利用されている現状を考えると、cookieが必要なくなるなんて楽観的過ぎると思います。
確かに、私はcookieの技術的側面なんて知りませんが、だからといって怖がってはいけませんか? 私はプライバシーについては多少知っていますが、その観点からみると、とても安全といえる代物ではありません。それでも、「怖いもの」と私のような一般人が認識してはいけないのでしょうか。インターネットを使うのは、専門家だけではありません。/.だからといって、一般人を否定するのもどうかと思います。
「悪意のあるCookie」とは、例えばGoogle検索の時に要求されるcookieのことです。「セッションレスのHTTPでセッション管理をするため」ではなく、必要ないですよね。セッション管理以外のためで、情報収集のためのcookieが悪だと思っています。それなのに
レッテル張りですか……一般人が「cookieは悪い」と思ってどこがいけないんでしょうか? なんでそう思うか、考えたことがありますか?
All your base are belong to us
Re:Cookieとプライバシー。切っても切り離せないもの。 (スコア:1)
> ここまで情報を集められるのに、本当に問題がないと言い切れますか?
問題のあるなしではありません。私たちはそれを認識した上でネットを使っているはずです。
あなたは一般的な個人IDである「顔」をひけらかしながらコンビニで本を買ったり、
街を歩いているわけです。それは店員にトレースされています。
帰宅順路をトレースすればあなたの自宅住所などの個人情報は暴かれるでしょう。
でも顔を隠して歩くわけではありません。そこに利便さとプライバシーのバランスがあるからです。
でもなぜCoockieに関しては all or nothing なのかわかりません。
あなたは顔をさらして歩くことに、本当に問題がないと言い切れますか?
はい、怖がる必要がないものに怖がることは「嘘」になります。
「嘘を嘘と見抜けない初心者」が見たら、「クッキーは個人情報を抜かれちゃう怖いものなんだー」
と勘違いしてします。勘違いさせるのはよくありません。
私はサービスを提供する側として勘違いを正したいのです。
MG42さんはまだ十分に啓蒙されてない頃のHIVを盲目に怖がる一般人に見えます。
「HIVが怖い」って思ってどこがいけないんでしょうか?って。
HIVを勉強すれば何も怖くないことがわかるように、Cookieを勉強されてはどうでしょうか。
Re:Cookieとプライバシー。切っても切り離せないもの。 (スコア:1)
なるほど、コンビニの追跡性については無意識にあきらめていますね。それでも、バランス感覚というイメージは無いんですが……うーん、認識の違いでしょうか。「利便さとプライバシーのバランス」というよりも、サービスに対する対価としての利用は仕方なく容認していて、店員の追跡云々は許容外、というイメージなんですが。
なぜAll or Nothingなのかといいますと、Googleに私の個人情報がどのように利用されているかを、サービスを通して見せ付けられているから、ですかね。背筋がぞっとします。ジョージ・オーウェルの「1984」とイメージが被ってしょうがないです。
cookieは追跡可能性を提供しますので、そういう意味で「誰かが」悪用しそうに見えるんですが、ちょっと私の勉強不足みたいですねw 勉強しなおしてきます。
Googleみたいな大手の検索エンジンの開発者がみなsayupornさんのような方ばかりでしたらいいんですけれども。
All your base are belong to us
Re:Cookieとプライバシー。切っても切り離せないもの。 (スコア:1)
Re:Cookieとプライバシー。切っても切り離せないもの。 (スコア:1)
ただ上位64bは変わらないようなので、個人の回線単位では識別がより容易になり、
セッション管理のためにCoockieも生き残ることになり、
IPv6になるとより世知辛い世の中になりますね。
Re:Cookieとプライバシー。切っても切り離せないもの。 (スコア:0, おもしろおかしい)
Googleは綺麗な会社で、全てのサービスは清廉潔白なのです。
Re:Cookieとプライバシー。切っても切り離せないもの。 (スコア:0)
追従推奨 (スコア:1)
PCの寿命よりも長い有効期限を設定するのは馬鹿げてますよねぇ。
Youthの半分はバファリンでできています。
Re:追従推奨 (スコア:2, 興味深い)
>PCの寿命よりも長い有効期限を設定するのは馬鹿げてますよねぇ。
としたら、半年ごとに半年長い定数を渡すようにしてもいいですよね。
動的に2年とか、法的に根拠のある数字じゃなければ要らないと思うんですよねぇ・・・
# 最近は2年がPCの寿命になりつつあるので私は2年でも問題なかったりして・・・
Re:追従推奨 (スコア:2, 興味深い)
え?
僕は新しいPCを買った後、ブックマークやらと一緒にクッキーも移しますけど。
Re:追従推奨 (スコア:1)
2年だって長い (スコア:1, すばらしい洞察)
だったら、もっと短くてもいいでしょう。一箇月もあればたくさんだ。一週間でもいいかもしれない。
# 個体識別したがるところが多すぎ。
googleの恐怖? (スコア:1)
常に同一PCをgoogle側が確認できていた場合には
結構すごい情報が得られてますよね
例えばGoogleMapでまず自分の住所を入力したり、それ以後も、その周辺の週所を入力して使いますから
ユーザーの住所録とか作れますね
そりゃ興味本位で入れたり、旅先の住所も入れるでしょうけど、頻度とかで適当なフィルタをかければ
かなり精度の高い住所リストが出来てそう
Re:googleの恐怖? (スコア:0)
集積されてますよ。だからセキュリティーや個人情報保護にうるさくなるのは
正しい判断だと思います。
Re:googleの恐怖? (スコア:0)
それは生態ではあるかもしれないけど、必須では無いでしょ。それより、iGoogleで自分の居住地をいれているけど、そっちのほうがより正確だぞ。第一、利用しているIPから探った方がより確実だ。
Re:googleの恐怖? (スコア:0)
おふとぴですいません。
Re:googleの恐怖? (スコア:0)
Re:googleの恐怖? (スコア:0)
Re:googleの恐怖? (スコア:0)
EZweb は十万年です。 (スコア:0)
Re:EZweb は十万年です。 (スコア:0)
新しい感じの賞金についてわかったんですがEZwebに関しては何もわかりませんでした。
Re:EZweb は十万年です。 (スコア:0)
Re:EZweb は十万年です。 (スコア:0)
よくある風景 (スコア:0)
慣れてくると、それが過ちだと気付いた
そんなことよくありませんか?どこかで見覚えがある風景だと思った
Re:よくある風景 (スコア:4, おもしろおかしい)
Re:よくある風景 (スコア:1, 興味深い)
cookieという名前にしたのがまずかったね (スコア:0)
ついでに、HTTPのRFC的にセッションIDの送受信をMUSTとしてしまったほうが良かったんじゃないかな。