Safariで意図せずGoogleのCookieがセットされる問題、MSも斜め上から非難

2012年2月22日 14:27

印刷

記事提供元:スラド

あるAnonymous Coward 曰く、 SafariはサードパーティCookie(閲覧しているWebページのドメインとは異なるドメインが発行するCookie)をデフォルトでブロックするようになっているのだが、Wall Street Journalが「GoogleはSafariが本来ブロックするはずのサードパーティCookieを特殊なコードを使って有効にしている」との旨を報じている(2月17日付けの日本語記事記事原文)。

 WSJの記事では技術的な内容についてはあまり触れられていないが、EngadgetWSJのブログ記事によると、Safariは通常はサードパーティCookieをブロックするが、フォームを用いてユーザーが情報を送信した場合は例外としてサードパーティCookieを受け入れる仕様になっているそうだ。問題のコードはIFRAMEとJavaScriptを使って不可視のフォームを自動的に送信するというもので、これによりSafariはその後GoogleによるサードパーティCookieを受け入れてしまうようになるという。

 Googleはトラッキングのためにこれを用いていたわけではなく、広告にGoogle+の「+1」ボタンを埋め込むためだけに使っていたと主張している。送受信されるCookieは「Googleのサーバーと一時的に通信を行うためだけに利用し、送信される情報は匿名のものでトラッキングに利用するようなものではない」と述べている。しかし、これによる副作用でその後GoogleのサードパーティCookieが受け入れられるようになり、その結果Safariのユーザーはトラッキング用のCookieも受け入れてしまうという。

 技術的な内容について詳しくはmala氏がまとめているが、フォームの送信でサードパーティCookieがブロックされない件はGoogleのエンジニアによってバグとされ、WebKitレベルでは修正されているという。

 この問題を受け、20日にMicrosoftもIEBlogで「GoogleはIEでもプライバシ設定を迂回している」と非難している。IE6以降はデフォルトでサードパーティCookieをブロックするようになっており、「P3P」という規格に準じた形で設定されたサードパーティCookieのみ受け入れるようになっているそうなのだが、「機械可読でないP3Pポリシーが設定されたサードパーティCookieは受け入れる」という仕様になっていたため、簡単に迂回できてしまうそうだ。Engadgetが詳しく解説しているが、このP3P規格はすでに時代遅れとなりほとんど使われていないとのこと。ちなみに、Facebookなどもこの迂回手段を使っているそうだ。

 スラッシュドットのコメントを読む | ITセクション | Google | セキュリティ

 関連ストーリー:
高木浩光氏、セキュリティ面への懸念から都道府県型ドメインに対して公開質問状 2011年09月28日
EU、Cookie によるトラッキング時にはユーザーの同意を必須に 2011年03月10日
IE9は「トラッキング防止機能」を搭載 2010年12月09日
ブラウザの「プライベートブラウズ」機能はそんなにプライベートではない 2010年08月10日

 

※この記事はスラドから提供を受けて配信しています。

関連記事