パスワードを忘れた? アカウント作成
1805915 story
Google

Safariで意図せずGoogleのCookieがセットされる問題、MSも斜め上から非難 46

ストーリー by hylom
想像してごらん、サードパーティCookieがない世界を 部門より
あるAnonymous Coward 曰く、

SafariはサードパーティCookie(閲覧しているWebページのドメインとは異なるドメインが発行するCookie)をデフォルトでブロックするようになっているのだが、Wall Street Journalが「GoogleはSafariが本来ブロックするはずのサードパーティCookieを特殊なコードを使って有効にしている」との旨を報じている(2月17日付けの日本語記事記事原文)。

WSJの記事では技術的な内容についてはあまり触れられていないが、EngadgetWSJのブログ記事によると、Safariは通常はサードパーティCookieをブロックするが、フォームを用いてユーザーが情報を送信した場合は例外としてサードパーティCookieを受け入れる仕様になっているそうだ。問題のコードはIFRAMEとJavaScriptを使って不可視のフォームを自動的に送信するというもので、これによりSafariはその後GoogleによるサードパーティCookieを受け入れてしまうようになるという。

Googleはトラッキングのためにこれを用いていたわけではなく、広告にGoogle+の「+1」ボタンを埋め込むためだけに使っていたと主張している。送受信されるCookieは「Googleのサーバーと一時的に通信を行うためだけに利用し、送信される情報は匿名のものでトラッキングに利用するようなものではない」と述べている。しかし、これによる副作用でその後GoogleのサードパーティCookieが受け入れられるようになり、その結果Safariのユーザーはトラッキング用のCookieも受け入れてしまうという。

技術的な内容について詳しくはmala氏がまとめているが、フォームの送信でサードパーティCookieがブロックされない件はGoogleのエンジニアによってバグとされ、WebKitレベルでは修正されているという。

この問題を受け、20日にMicrosoftもIEBlogで「GoogleはIEでもプライバシ設定を迂回している」と非難している。IE6以降はデフォルトでサードパーティCookieをブロックするようになっており、「P3P」という規格に準じた形で設定されたサードパーティCookieのみ受け入れるようになっているそうなのだが、「機械可読でないP3Pポリシーが設定されたサードパーティCookieは受け入れる」という仕様になっていたため、簡単に迂回できてしまうそうだ。Engadgetが詳しく解説しているが、このP3P規格はすでに時代遅れとなりほとんど使われていないとのこと。ちなみに、Facebookなどもこの迂回手段を使っているそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • わざわざ

    P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."

    のように、ブラウザにとってはポリシーに見えるようにしたのは確かなんだろ。

    今は使われていないとか、なんで今更とか、そもそも仕様に問題があるとか、それは議論のすり替えであって、ポリシーを偽装してもいい理由にはならないよね。

    --
    1を聞いて0を知れ!
    • スレタイの「斜め上から非難」という文言しかり、
      なんか色眼鏡を強要する感じがストーリー全体に漂ってて薄気味悪いんですけど。

      親コメント
      • by Anonymous Coward

        何をもって「斜め上から非難」なのかがよく理解できないんですが、だれかわかる人いますか?

        • P3PについてはW3Cで仕様が策定されているわけですが(W3Cの勧告 [w3.org])、目的の1つにWebサイトがどのような情報を収集しているかを利用者が確認してそれに対処できるようにするというのがあるわけです。本来ならばWebブラウザはP3P情報を読み取り、許可していない操作(たとえばサードパーティCookieのセット)が求められた場合はそれをブロックしたり、ポップアップで許可を求める、といったことを行うことが期待されていたわけです。

          ところがIEでは、仕様として定義されていないフォーマットでP3P情報が与えられた場合、ユーザーに通知を出すこと無しにサードパーティCookieのセットを有効にしていました。

          ユーザーのプライバシを重視するなら、不適切なP3P情報が提示された際にプライバシ情報を取得するような操作はできるだけブロックする方向で処理すべきでしょう。このようなザルな動作をする仕様にしておいたMS側にも非はあるわけで、一方的にGoogleを非難するのはどうなのよ、という意味で「斜め上」ということかと。

          親コメント
          • 「仕様として定義されていないフォーマット」というのは正しくありません。
            仕様 [w3.org]には "If an unrecognized token appears in a compact policy, the compact policy has the same semantics as if that token was not present." とあるので、Googleがセットした変な文字列も仕様上、妥当な表現です。

            --
            1を聞いて0を知れ!
            親コメント
            • 補足。

              もちろん「何もしないCookieってのはありえないだろ、こんなの無効だ」とする実装もありだったとは思うけど。
              もともと自己申告でポリシー設定させてるという性質上、嘘ついてるかもしれないなんてのは考えても仕方ないわけで。

              コンパクトポリシーとして送信されてきた文字列をコンパクトポリシーとして解釈したら、
              許可されていない目的での使用ってのは含まれていなかったわけで。
              そしたら受け入れるってのは、実装としてはむしろ自然かと。

              # 仕様がザルだとは思うが。
              # 何をするかではなく何をしないかを記述させるべきだと。

              --
              1を聞いて0を知れ!
              親コメント
        • by Anonymous Coward

          MSと提携しているfacebookも同じ手段を使っているのにgoogleだけ槍玉に挙げてる事とか?
          (タレコミの Engadgetの記事より。)

          #なんかこの手の話は「実はMSもやってました」的なブーメランがありそうで怖いな。。。

    • by Anonymous Coward

      Facebookはなぜか非難していない理由が合理的に説明できるならね。

      • 「他にもやってる人がいるから」は言い訳にならないって、親に教えてもらわなかったの?

        --
        1を聞いて0を知れ!
        親コメント
      • by Anonymous Coward

        GoogleがSafariでプライバシ設定を迂回しているというニュースを受けてGoogleはIEでも…と言ってるわけ。
        その時にIEで怪しいことをしているサイトを全て挙げなければいけないなんてことにはならんよ。

      • by Anonymous Coward

        スピード違反者でつかまった人みたいな発言だな
        あいつもスピード違反しているのになぜ捕まえない、合理的に説明しろ!

        • by Anonymous Coward

          合理的に説明するなら、予算が無いからですよ。
          全てきっちろ取り締まるには人員も機材も、メーカーのサポートもありません。

          だから捕まえられないんです。違反者みんな捕まえたいのなら予算ください!

          • by Anonymous Coward
            それだったら、Facebookについても同じジャン。
  • by s02222 (20350) on 2012年02月22日 14時45分 (#2104102)
    素朴な疑問ですが、専門家以外はまず読まないだろうと言うぐらいに経緯がややこしいのは何故なんでしょう。

    そもそもの仕様がややこしいのは、「やりたいことが大変ややこしいから」なのか「建て増しを続けてきた歴史的経緯でこんがらがったけど今更変えられない」なのか。 前者なら、長くご利益がありそうなので頑張って勉強してみようかという気になりますが、 後者だったら、また変わっていくでしょうから(シンプル化するか、建て増しでより混乱するか分かりませんが)、とりあえずは「デフォルト設定でそこそこ大丈夫になってるだろう」と信じて専門家に任せたいところです。
    • by Anonymous Coward

      ただ単にW3Cの連中が役立たずなだけ。
      奴らはもはやハンコをつくだけの老害みたいな集まり。

  • by Anonymous Coward on 2012年02月22日 14時52分 (#2104108)

    「悪いことしない」と明言していたGoogleが最近きな臭くなってきましたね
    検索エンジンやIMEは愛用しているのでクリーンなままでいて欲しいのですが…

    • by Anonymous Coward

      良し悪しという尺度ではなく、
      他者に「おめえ法的措置に訴えるぞ」と言われるまでは好き放題やる会社でしたよ?

    • by Anonymous Coward

      >「悪いことしない」と明言していた
      悪いことしかしないと言い間違えたのでは?

  • by Anonymous Coward on 2012年02月22日 15時01分 (#2104112)

    よくあることで、問題だ、とか言い出す。
    聞く人が、その技術の仕様を理解できないことを逆手にとって。

    • by Anonymous Coward

      で、どこまでも逃げ続けると。

  • by Anonymous Coward on 2012年02月22日 16時29分 (#2104179)

    そもそもこのサイトにcookieをデフォで有効にしてる人なんているの?

    • by plutonium.can (35432) on 2012年02月22日 20時20分 (#2104325) 日記

      ついさっき知ったんだけど、
      Googleセーフサーチがどうやっても「強」のまま変えられないのは、サードパーティCookieを受け入れていなかったからのようだ。

      > ブラウザの設定で Cookie を許可してください。
      > Safari をお使いの場合、ロックを有効にするには、デフォルトの設定を変更してサードパーティの Cookie を有効にする必要があります。

      Firefox使いだけど、3rd party cookieをリジェクトしてたからダメだった模様です。
      ふん、Cookie受け入れるくらいなら、そのくらいの不便の方を受け入れてやるさ。

      親コメント
      • by Anonymous Coward

        検索バーに safe=off をつけ加えた画像サーチを登録しておけばOK

        • by Anonymous Coward

          >画像サーチを登録

          なぜ画像サーチとわかった?

  • by Anonymous Coward on 2012年02月22日 17時38分 (#2104239)
    技術的に可能なことはすべてやっていい、って考えがここの主流かと思っていたんだが。
    相手によって態度変えるのかね。
    • 技術的に可能なことはすべてやっていい、って考えがここの主流かと思っていたんだが。 相手によって態度変えるのかね。

      サードパーティ cookie なんてそもそも垂れ流しの仕様から「プライバシーモード」なんてのを用意してそれを回避するっていうのに、それをさらに回避するって話に技術的ドキドキなんてありませんよ。ユーザが設定したオプション通りの動作をしろ、バグがあったからってそれを利用してユーザの設定を無視してもいいって話にはならんでしょう。

      #斜め上はgoogleの方だと思うな。

      --
      LIVE-GON(リベゴン)
      親コメント
    • by Anonymous Coward

      最近はそんな人少ないんじゃないかな。
      10年ぐらい前は私もそんな印象を持ってましたが。

  • by Anonymous Coward on 2012年02月22日 17時52分 (#2104246)

    無理矢理MSまで詰め込んだ結果ストーリーがよく分からない流れに
    MSの行為を取り上げたいならもうちょっと構成を考えようよ

  • by Anonymous Coward on 2012年02月22日 23時30分 (#2104459)

    何でここまで大騒ぎしているのか解らない

typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...