Safariで意図せずGoogleのCookieがセットされる問題、MSも斜め上から非難 46
想像してごらん、サードパーティCookieがない世界を 部門より
SafariはサードパーティCookie(閲覧しているWebページのドメインとは異なるドメインが発行するCookie)をデフォルトでブロックするようになっているのだが、Wall Street Journalが「GoogleはSafariが本来ブロックするはずのサードパーティCookieを特殊なコードを使って有効にしている」との旨を報じている(2月17日付けの日本語記事、記事原文)。
WSJの記事では技術的な内容についてはあまり触れられていないが、EngadgetやWSJのブログ記事によると、Safariは通常はサードパーティCookieをブロックするが、フォームを用いてユーザーが情報を送信した場合は例外としてサードパーティCookieを受け入れる仕様になっているそうだ。問題のコードはIFRAMEとJavaScriptを使って不可視のフォームを自動的に送信するというもので、これによりSafariはその後GoogleによるサードパーティCookieを受け入れてしまうようになるという。
Googleはトラッキングのためにこれを用いていたわけではなく、広告にGoogle+の「+1」ボタンを埋め込むためだけに使っていたと主張している。送受信されるCookieは「Googleのサーバーと一時的に通信を行うためだけに利用し、送信される情報は匿名のものでトラッキングに利用するようなものではない」と述べている。しかし、これによる副作用でその後GoogleのサードパーティCookieが受け入れられるようになり、その結果Safariのユーザーはトラッキング用のCookieも受け入れてしまうという。
技術的な内容について詳しくはmala氏がまとめているが、フォームの送信でサードパーティCookieがブロックされない件はGoogleのエンジニアによってバグとされ、WebKitレベルでは修正されているという。
この問題を受け、20日にMicrosoftもIEBlogで「GoogleはIEでもプライバシ設定を迂回している」と非難している。IE6以降はデフォルトでサードパーティCookieをブロックするようになっており、「P3P」という規格に準じた形で設定されたサードパーティCookieのみ受け入れるようになっているそうなのだが、「機械可読でないP3Pポリシーが設定されたサードパーティCookieは受け入れる」という仕様になっていたため、簡単に迂回できてしまうそうだ。Engadgetが詳しく解説しているが、このP3P規格はすでに時代遅れとなりほとんど使われていないとのこと。ちなみに、Facebookなどもこの迂回手段を使っているそうだ。
けど、わざわざ迂回手段取ったのは確かなんだろー (スコア:2)
わざわざ
のように、ブラウザにとってはポリシーに見えるようにしたのは確かなんだろ。
今は使われていないとか、なんで今更とか、そもそも仕様に問題があるとか、それは議論のすり替えであって、ポリシーを偽装してもいい理由にはならないよね。
1を聞いて0を知れ!
Re:けど、わざわざ迂回手段取ったのは確かなんだろー (スコア:1)
スレタイの「斜め上から非難」という文言しかり、
なんか色眼鏡を強要する感じがストーリー全体に漂ってて薄気味悪いんですけど。
Re: (スコア:0)
何をもって「斜め上から非難」なのかがよく理解できないんですが、だれかわかる人いますか?
Re:けど、わざわざ迂回手段取ったのは確かなんだろー (スコア:1)
P3PについてはW3Cで仕様が策定されているわけですが(W3Cの勧告 [w3.org])、目的の1つにWebサイトがどのような情報を収集しているかを利用者が確認してそれに対処できるようにするというのがあるわけです。本来ならばWebブラウザはP3P情報を読み取り、許可していない操作(たとえばサードパーティCookieのセット)が求められた場合はそれをブロックしたり、ポップアップで許可を求める、といったことを行うことが期待されていたわけです。
ところがIEでは、仕様として定義されていないフォーマットでP3P情報が与えられた場合、ユーザーに通知を出すこと無しにサードパーティCookieのセットを有効にしていました。
ユーザーのプライバシを重視するなら、不適切なP3P情報が提示された際にプライバシ情報を取得するような操作はできるだけブロックする方向で処理すべきでしょう。このようなザルな動作をする仕様にしておいたMS側にも非はあるわけで、一方的にGoogleを非難するのはどうなのよ、という意味で「斜め上」ということかと。
Re:けど、わざわざ迂回手段取ったのは確かなんだろー (スコア:1)
「仕様として定義されていないフォーマット」というのは正しくありません。
仕様 [w3.org]には "If an unrecognized token appears in a compact policy, the compact policy has the same semantics as if that token was not present." とあるので、Googleがセットした変な文字列も仕様上、妥当な表現です。
1を聞いて0を知れ!
Re:けど、わざわざ迂回手段取ったのは確かなんだろー (スコア:2)
補足。
もちろん「何もしないCookieってのはありえないだろ、こんなの無効だ」とする実装もありだったとは思うけど。
もともと自己申告でポリシー設定させてるという性質上、嘘ついてるかもしれないなんてのは考えても仕方ないわけで。
コンパクトポリシーとして送信されてきた文字列をコンパクトポリシーとして解釈したら、
許可されていない目的での使用ってのは含まれていなかったわけで。
そしたら受け入れるってのは、実装としてはむしろ自然かと。
# 仕様がザルだとは思うが。
# 何をするかではなく何をしないかを記述させるべきだと。
1を聞いて0を知れ!
Re: (スコア:0)
MSと提携しているfacebookも同じ手段を使っているのにgoogleだけ槍玉に挙げてる事とか?
(タレコミの Engadgetの記事より。)
#なんかこの手の話は「実はMSもやってました」的なブーメランがありそうで怖いな。。。
Re:けど、わざわざ迂回手段取ったのは確かなんだろー (スコア:1)
#なんかこの手の話は「実はMSもやってました」的なブーメランがありそうで怖いな。。。
斜め上から返すと
ブラウザのユーザーエージェント偽装という行儀の悪い事は IE も Safari もやってたよね。
Re: (スコア:0)
#なんかこの手の話は「実はMSもやってました」的なブーメランがありそうで怖いな。。。
Googleは「MSの運営するサイトもP3Pポリシーを使っていない」と反論 [itmedia.co.jp]していますから、どうなんでしょうね。
Re: (スコア:0)
Re: (スコア:0)
チケットレスって、切符(Ticket)が紙媒体から電子認証に変わっただけで別になくなった訳じゃなく存在はしていますよね。
電車がどうしたとかじゃ判らんというなら、ワイドショー的に「玄関に鍵はかけてあったけど、裏口が開いてたので勝手に入った。何が悪い」と居直ったという話ですね。
# 「意図せずGoogleのCookieがセットされる」「「斜め上」はタレコミ主のポジションを示しているアイコンみたいなもんでしょ。
Re: (スコア:0)
Facebookはなぜか非難していない理由が合理的に説明できるならね。
Re:けど、わざわざ迂回手段取ったのは確かなんだろー (スコア:1)
「他にもやってる人がいるから」は言い訳にならないって、親に教えてもらわなかったの?
1を聞いて0を知れ!
Re: (スコア:0)
GoogleがSafariでプライバシ設定を迂回しているというニュースを受けてGoogleはIEでも…と言ってるわけ。
その時にIEで怪しいことをしているサイトを全て挙げなければいけないなんてことにはならんよ。
Re: (スコア:0)
スピード違反者でつかまった人みたいな発言だな
あいつもスピード違反しているのになぜ捕まえない、合理的に説明しろ!
Re: (スコア:0)
合理的に説明するなら、予算が無いからですよ。
全てきっちろ取り締まるには人員も機材も、メーカーのサポートもありません。
だから捕まえられないんです。違反者みんな捕まえたいのなら予算ください!
Re: (スコア:0)
何故こんなにややこしい (スコア:1)
そもそもの仕様がややこしいのは、「やりたいことが大変ややこしいから」なのか「建て増しを続けてきた歴史的経緯でこんがらがったけど今更変えられない」なのか。 前者なら、長くご利益がありそうなので頑張って勉強してみようかという気になりますが、 後者だったら、また変わっていくでしょうから(シンプル化するか、建て増しでより混乱するか分かりませんが)、とりあえずは「デフォルト設定でそこそこ大丈夫になってるだろう」と信じて専門家に任せたいところです。
Re: (スコア:0)
ただ単にW3Cの連中が役立たずなだけ。
奴らはもはやハンコをつくだけの老害みたいな集まり。
MSさん…… (スコア:0)
マイクロソフト、IEにもGoogleクッキーが密かに埋められていたと発表! Facebookクッキーも? [gizmodo.jp]
Google EVIL (スコア:0)
「悪いことしない」と明言していたGoogleが最近きな臭くなってきましたね
検索エンジンやIMEは愛用しているのでクリーンなままでいて欲しいのですが…
Re: (スコア:0)
良し悪しという尺度ではなく、
他者に「おめえ法的措置に訴えるぞ」と言われるまでは好き放題やる会社でしたよ?
Re: (スコア:0)
>「悪いことしない」と明言していた
悪いことしかしないと言い間違えたのでは?
Re:Google EVIL (スコア:1)
未だにGoogleがnot evilだと無邪気に信じてる人がいることに驚き
Re:Google EVIL (スコア:1)
「悪いこと」の定義が人によって異なるから、
Google evil 派と Google not evil 派に分かれる。
だから、無邪気に良いと定義している人たちは、ある日突然、自分の不利益に抵触することをしたとたんに手のひらを返して、それまでの主張をひっくり返して、悪いと主張し出す。逆に悪いと定義している人たちは、どこまで行っても悪いとしか定義しない。ある意味どっちもどっち。そもそも evil or not evil で単純に分類するのがおかしい。
Re: (スコア:0)
でも社是ですし…
Re: (スコア:0)
そういう市民にわかりやすそうな、現実を反映していないような、そして受け取る人にとって
どうにでもとれそうなキャッチコピー(社是でも)は、たいていはただの人気取りです。
無論、人気取りすらできないところよりは企業としてはましかと思います。
Re:Google EVIL (スコア:1)
自身のポリシーとしてnot evilを持つのはいいこと、
それが周りに評判になって、「あいつはnot evil」と言われるようになるのはもっといいことですが、
誰にも何にも言われてないのに自分から「自分はnot evil」と言い、周りでそれを持て囃すというのは
外側から見たらどうにも気持ちの悪いものですね。
Re: (スコア:0)
GoogleにしろFacebookにしろクライアント側でやって欲しくないと指定している事を裏道使ってやっていたわけですよね?
それはほめられた事じゃないでしょう
不快に思うのが勘違いってのはどうかと
技術で負けると避難する (スコア:0)
よくあることで、問題だ、とか言い出す。
聞く人が、その技術の仕様を理解できないことを逆手にとって。
Re: (スコア:0)
で、どこまでも逃げ続けると。
/.jに生息する逸般人に質問! (スコア:0)
そもそもこのサイトにcookieをデフォで有効にしてる人なんているの?
セーフサーチが (スコア:1)
ついさっき知ったんだけど、
Googleセーフサーチがどうやっても「強」のまま変えられないのは、サードパーティCookieを受け入れていなかったからのようだ。
> ブラウザの設定で Cookie を許可してください。
> Safari をお使いの場合、ロックを有効にするには、デフォルトの設定を変更してサードパーティの Cookie を有効にする必要があります。
Firefox使いだけど、3rd party cookieをリジェクトしてたからダメだった模様です。
ふん、Cookie受け入れるくらいなら、そのくらいの不便の方を受け入れてやるさ。
Re: (スコア:0)
検索バーに safe=off をつけ加えた画像サーチを登録しておけばOK
Re: (スコア:0)
>画像サーチを登録
なぜ画像サーチとわかった?
技術的に可能なことはすべてやっていい (スコア:0)
相手によって態度変えるのかね。
Re:技術的に可能なことはすべてやっていい (スコア:1)
サードパーティ cookie なんてそもそも垂れ流しの仕様から「プライバシーモード」なんてのを用意してそれを回避するっていうのに、それをさらに回避するって話に技術的ドキドキなんてありませんよ。ユーザが設定したオプション通りの動作をしろ、バグがあったからってそれを利用してユーザの設定を無視してもいいって話にはならんでしょう。
#斜め上はgoogleの方だと思うな。
LIVE-GON(リベゴン)
Re: (スコア:0)
最近はそんな人少ないんじゃないかな。
10年ぐらい前は私もそんな印象を持ってましたが。
Re:技術的に可能なことはすべてやっていい (スコア:1)
どうなんでしょう。
10年ぐらい前も、M$という蔑称のもとに似たような風潮はあった気が…。
主題が訳分からない (スコア:0)
無理矢理MSまで詰め込んだ結果ストーリーがよく分からない流れに
MSの行為を取り上げたいならもうちょっと構成を考えようよ
Re:主題が訳分からない (スコア:1)
無理矢理Googleは悪くないという論調にしようとした結果じゃないかな。
cookieは自分でこまめに消すもんじゃないの? (スコア:0)
何でここまで大騒ぎしているのか解らない