Webセキュリティのあるきかた2024/10/5 YAPC::Hakodate 2024
Google、サードパーティcookie廃止を3度目の延期 年内には実施せず
米Googleは4月23日(現地時間)、2024年中に完了する予定だったWebブラウザ「Chrome」でのサードパーティcookieの廃止を延期すると発表した。延期はこれで3度目になる。 延期の理由は「業界、規制当局、開発者からの異なるフィードバックを調整することに関連する課題が継続している」ため。 特に、「プライバシーサンドボックス」の取り組みに懸念を示している英政府競争規制当局の競争・市場庁(CMA)が「業界テストの結果を含むすべての証拠を検討するための十分な時間を確保することが重要」としている。 CMAは1月、Googleに対し、複数の競争関連の懸念が解消されるまで、サードパーティcookie廃止を一時停止するよう命じた(リンク先はPDF)。 CMAによる検討などに引き続き協力することで、プロセスを年内に完了し、合意に達すれば2025年初頭から廃止を進める想定という。 Googleは
Update on the plan for phase-out of third-party cookies on Chrome
The UK’s Competition and Markets Authority (CMA) and Google publish quarterly reports to update the ecosystem on the latest status of Privacy Sandbox for the Web. As part of Google’s Q1 2024 report, we will include the following update about the timeline for phasing out third-party cookies in Chrome in the April 26th report: We are providing an update on the plan for third-party cookie deprecation
サードパーティ Cookie の制限を緩和する Related Website Sets (First-Party Sets) という仕様について
作成日 2023-10-31 更新日 2023-10-31 author @bokken_ tag privacy, cookie サードパーティ Cookie の制限を緩和する Related Website Sets (First-Party Sets) という仕様について 概要 現在 Web ブラウザでは、プライバシーの観点から、サードパーティ Cookie をブロックする流れがある。¶ しかし、Web コンテンツプロバイダーは複数のドメインでコンテンツを提供していて Cookie を共有したいことがある。例えば、アプリケーションごとにドメインを分けるケースだったり、アセットのためにドメインを分けているが Cookie を メインのサイトと共有したいケースがあるだろう。そういった異なるドメイン間において、サードパーティ Cookie を許可できるのが Related Website
Preparing for the end of third-party cookies | Privacy Sandbox | Google for Developers
Send feedback Preparing for the end of third-party cookies Stay organized with collections Save and categorize content based on your preferences. If your site uses third-party cookies, it's time to take action as we approach their deprecation. To facilitate testing, Chrome has restricted third-party cookies for 1% of users from January 4th, 2024. Chrome plans to ramp up third-party cookie restrict
The next stages of Privacy Sandbox: General availability and supporting scaled testing
The next stages of Privacy Sandbox: General availability and supporting scaled testing The Privacy Sandbox is an ecosystem-wide initiative to ensure an open and thriving web, by improving user privacy and giving businesses the tools they need to succeed online. Over the past three years, we’ve collaborated with the web ecosystem to develop new, privacy-preserving technologies that don't rely on cr
SPA+SSR+APIで構成したWebアプリケーションのセッション管理 - Pepabo Tech Portal
カラーミーショップ サービス基盤チームのkymmtです。この記事では、サーバサイドレンダリングするシングルページアプリケーションとAPIサーバからなるWebアプリケーションのセッション管理方法について紹介します。 アプリケーションの構成 構成の概要 今回は例としてEC事業部で提供するカラーミーリピートをとりあげます。構成としては、Railsで作られたAPIサーバ1と、Vue.jsで作られたシングルページアプリケーション(SPA)からなります。また、SPAはExpressが動くフロントエンドサーバでサーバサイドレンダリング(SSR)します。APIサーバはSPAかフロントエンドサーバだけが呼び出します。各ロールはサブドメインが異なります。 APIサーバでセッションIDを持つCookieを発行し、Redisを用いてセッション管理します。また、APIサーバへのセッションが有効なリクエストはフロント
クライアントの Cookie などのデータを削除する Clear Site Data という仕様について
作成日 2023-02-28 更新日 2023-02-28 author @bokken_ tag Clear-Site-Data, storage, Cookie はじめに Clear-Site-Data というクライアントサイドのデータを削除するための仕様がある。提案自体は2015年頃からある仕様だが、最近 Safari の Beta Release にリリースされ、もうすぐ主要ブラウザで実装が出揃う形になる。¶ この記事では、Clear Site Data とはどういう仕様なのかをまとめる。¶ Clear Site Data とは Web アプリケーションでは、オフライン時にも利用できるようにリソース (データ) をキャッシュしたり、パフォーマンスを高めるため、 local マシンにリソース (データ) を保持することがある。また、サービスをログインするのに Cookie にセッショ
ウェブ向けプライバシー サンドボックスのテスト期間延長について
ユーザーのプライバシーを保護しながら、インターネットでビジネスを成功させるために必要なツールを提供することは、開かれたウェブの未来にとって不可欠です。そのために私たちは プライバシー サンドボックス を開始し、サードパーティ Cookie やその他のウェブを横断的にトラッキングする技術に代わるプライバシーを保護する代替手段を、業界の皆様と協力して開発しています。この数か月間、開発者のテスト用に、Chrome でいくつかの 新しいプライバシー サンドボックス API のトライアルを公開しました。 私たちはこのプロセス全体において、W3C などのフォーラムを通じ開発者、パブリッシャー、マーケティング担当者、規制当局など、皆様からいただいた意見に基づいて、検討している 解決策をより良くする ため、関係各所と緊密に連携してきました。また、今年初めには、英国競争市場局(CMA)と、Chrome にお
Google、ChromeでのサードパーティーCookie廃止開始を2024年まで延期
米Googleは7月27日(現地時間)、Webブラウザ「Chrome」でのサードパーティーCookieのサポート完全廃止開始の目標期日を2024年後半に延期したと発表した。延期するのは2度目だ。 同社は2020年1月、2年以内にサードパーティーCookieを完全に廃止すると発表したが、2021年6月に2023年後半に延期した。 Googleは、プライバシーで問題視されているサードパーティーCookieを廃止し、それでもユーザーに適した広告を表示できるようにするためのイニシアチブ「プライバシーサンドボックス」を推進している。 現在、一部の開発者向けにプライバシーサンドボックスAPIのテスト版を提供している。テストに参加している開発者から、Cookie廃止の前に新しいプライバシーサンドボックスの技術を評価するにはより多くの時間が必要だというフィードバックを多数受け取ったという。 これを受け、8
Cookies Having Independent Partitioned State (CHIPS) | Privacy Sandbox | Google for Developers
Send feedback Cookies Having Independent Partitioned State (CHIPS) Stay organized with collections Save and categorize content based on your preferences. Allow developers to opt a cookie in to "partitioned" storage, with a separate cookie jar per top-level site. Implementation status Supported by default in Chrome 114 and higher. An origin trial, now complete, was available from Chrome 100 to 116.
なぜ我々はsession.cookieを変更しなければならなかったのか - BASEプロダクトチームブログ
はじめに こんにちは。バックエンドエンジニアの小笠原です。 今回は、2022年2月18日から2022年3月4日にかけて発生していたこちらの障害に対し私達開発チームが実施した、session.cookieで定義しているCookieのkey名を変更するという影響範囲の大きい対応について、実施に至るまでの経緯や対応過程についてご紹介したいと思います。 ショップオーナー向けに掲載していたお知らせの内容 背景 全ては iOS14.5から端末識別子の取得に同意が必要になったことから始まった ことの発端は、iOS14.5以降からIDFA(端末ごとに持つ固有識別子)の取得に端末所有者の許可が必要になったことでした。 この変更は、端末所有者側から見ると情報の活用範囲を自身で管理できることでよりプライバシーに配慮されるようになった良い変更と言えるでしょう。 一方で、広告出稿側から見た場合は拒否をしたユーザーの
Topics API Developer's Guide | Privacy Sandbox | Google for Developers
Send feedback Topics API Developer's Guide Stay organized with collections Save and categorize content based on your preferences. Learn how to work with the API, including how to use Chrome flags for testing. Implementation status The Topics API has completed the public discussion phase and is currently available to 99 percent of users, scaling up to 100 percent. To provide your feedback on the To
ウェブサイトがJavaScriptとCookieなしで個人を追跡する方法が一発で理解できる「No-JavaScript fingerprinting」
「フィンガープリント」とは、JavaScriptやCookieなしでウェブサイトのユーザーを識別するための固有識別子で、ユーザーの属性・行動・興味・関心といった詳細な情報をもとにマッチする広告を表示するターゲティング広告に用いられます。そんなフィンガープリントが、JavaScriptやCookieを使わずにどうやってユーザーを特定しているのかがよくわかるサイト「No-JavaScript fingerprinting」が公開されています。 No-JavaScript fingerprinting https://noscriptfingerprint.com/ 今回はGoogle ChromeからNo-JavaScript fingerprintingにアクセスしてみます。アクセスする前に、JavaScriptを使用しないようにあらかじめブラウザから設定しておきます。Chromeの右上にあ
2022年1月においてCSRF未対策のサイトはどの条件で被害を受けるか
サマリ2020年2月にGoogle ChromeはCookieのデフォルトの挙動をsamesite=laxに変更しましたが、2022年1月11日にFirefoxも同様の仕様が導入されました。この変更はブラウザ側でCSRF脆弱性を緩和するためのもので、特定の条件下では、ウェブサイト側でCSRF対策をしていなくてもCSRF攻撃を受けなくなります。この記事では、デフォルトsamesite=laxについての基礎的な説明に加え、最近のブラウザの挙動の違いについて説明します。 (2022年1月29日追記) 本日確認したところ、Firefoxにおけるデフォルトsamesite=laxはキャンセルされ、従来の挙動に戻ったようです(Firefox 96.0.3にて確認)。デフォルトsamesite=lax自体は先行してGoogle Chromeにて実装されていましたが、細かい挙動の差異で既存サイトに不具合が
Google、脱Cookie技術「FLoC」開発を停止し、新たな「Topics」を発表
米Googleは1月25日(現地時間)、2021年3月に発表したサードパーティーcookieに代わる技術「FLoC」(Federated Learning of Cohorts)の開発を停止し、新たに「Topics」と呼ぶ技術のテストを年内に開始すると発表した。 同社は、ユーザーのWebプライバシーを改善しつつ適切な広告を表示するための取り組み「Privacy Sandbox」の技術としてFLoCを開発してきたが、ユーザーを特定できてしまう可能性を指摘されたり、この取り組みが独禁法に違反する可能性があるとされたりと、批判が高まっていた。 Googleは「Topicsは、FLoCのテストからの学習と幅広いコミュニティからのフィードバックに基づいて、FLoCに代わるものとして開発する」と語った。 Topicsの大まかな仕組みはこうだ。Webブラウザが、ユーザーのWeb閲覧履歴に基づいて、そのユ
Google 「Cookie廃止」の延期、わかっていることすべて:要点まとめ | DIGIDAY[日本版]
Googleは6月24日、同社の人気ウェブブラウザ「Chrome」におけるサードパーティCookieの廃止期限を、当初の2022年1月から2023年後半まで延長したと発表した。本記事では、GoogleがCookieの廃止を保留するという決定に至った理由について、わかっていることをまとめる。 Googleは、サードパーティーCookieの廃止を2年近く延期にすることにしたようだ。 Googleは6月24日、同社の人気ウェブブラウザ「Chrome」におけるサードパーティCookieの廃止期限を、当初の2022年1月から2023年後半まで延長したと発表した。しかし、この新しい期限でさえも、柔軟に構えているという。 本記事では、GoogleがCookieの廃止を保留し、デジタル広告のエコシステムにおける識別子利用をもう少しだけ認めるという決定に至った理由について、わかっていることをまとめる。 Ad
![Google 「Cookie廃止」の延期、わかっていることすべて:要点まとめ | DIGIDAY[日本版]](https://cdn-ak-scissors.b.st-hatena.com/image/square/4313ef04b93bc0d8a1427d645b1621fc53011b70/height=288;version=1;width=512/https%3A%2F%2Fdigiday.jp%2Fwp-content%2Fuploads%2F2021%2F06%2Fgoogle_cookie_death.jpg)
Cookie の SameSite 属性について - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは、フロントエンドエキスパートチームの小林(@koba04)です。 フロントエンドエキスパートチームでは、日々の業務としてブラウザやライブラリの更新情報をキャッチアップして社内で共有しています。 例えば先日、CSSのプロパティである image-orientation のデフォルト値が none から from-image に変わったため、画像の Exif 情報の扱いが変更されました。 https://www.fxsitecompat.dev/ja/docs/2020/jpeg-images-are-now-rotated-by-default-according-to-exif-data/ 注: Firefox では COVID-19 の影響により、この変更は延期されました。(Chrome は予定通り 81 で リリースしています) https://blog.chromium.o
Temporarily rolling back SameSite Cookie Changes
$200K 1 10th birthday 4 abusive ads 1 abusive notifications 2 accessibility 3 ad blockers 1 ad blocking 2 advanced capabilities 1 android 2 anti abuse 1 anti-deception 1 background periodic sync 1 badging 1 benchmarks 1 beta 83 better ads standards 1 billing 1 birthday 4 blink 2 browser 2 browser interoperability 1 bundles 1 capabilities 6 capable web 1 cds 1 cds18 2 cds2018 1 chrome 35 chrome 81
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Safariがサードパーティクッキーをデフォルトでブロック
