Intro Cookie は、ブラウザに一度保存すれば、次からその値を自動的に送ってくるという、非常に都合の良い仕様から始まった。 State Less が基本だった Web にセッションの概念をもたらし、今ではこれが無ければ実現できないユースケースの方が多い。 冷静に考えればふざけてるとして思えないヘッダ名からもわかるように、当初はこのヘッダがこんなに重宝され、 Web のあり方を変えるかもしれないくらい重要な議論を巻き起こすことになるとは、最初の実装者も思ってなかっただろう。 そんな Cookie が今どう使われ、 3rd Party Cookie (3rdPC) の何が問題になっているのかを踏まえ、これからどうなっていくのかについて考える。 Cookie のユースケース Web にある API の中でも Cookie はいくつかの点で特異な挙動をする 一度保存すれば、次から自動で送る
Transcript ࠷৽ͷϒϥβͰมΘ ΔCookieͷऔѻ͍ ϓϥΠόγʔͷߟ͑ํ 2020/02/13 @ Developers Summit 2020 Twitter: @yosuke_furukawa Github: yosuke-furukawa ࠷ۙͷ׆ಈ�� $ISPNF�"EWJTPSZ�#PBSE��� +4$POG�+1�PSHBOJ[FS�FUD ͜͜࠷ۙɺϒϥβͷมߋ͕ ଟ͍ɻಛʹηΩϡϦςΟɾ ϓϥΠόγʔपΓɻ 'JSFGPY 4BGBSJ ɾ*OUFMMJHFOU�5SBDLJOH�1SFWFOUJPO� ����τϥοΩϯάΛࢭ͢ΔΈ� �����SE�QBSUZ�DPPLJF�Λอଘ͠ͳ͍� ����+BWB4DSJQU�͔Βͷ�DPPLJF��͔͠อଘ͠ͳ͍� ����શͯͷΫϩεαΠτϦΫΤετͷ3FGFSFSΛ0SJHJO͚ͩʹ�
SPA認証トークンはlocalStorageでもCookieでもない、Auth0方式はいいねというお話 - @mizumotokのブログ
SPA認証トークンをどこに保存するかは論争が絶えません。localStorageやCookieがよく使われますが、Auth0は違う方法を採用しています。この記事では、Auth0のトークン管理の方式を理解でき、トークン管理上のセキュリティへの理解を深めることができます。 SPAの認証トークンをどこに保存するか ブラウザでトークンを保存できる場所 保存場所の比較 メリット・デメリット Auth0のアプローチ トークンはインメモリに保存 OpenID Connect準拠とトークン取得のUI/UXの悪化回避を両立 Auth0のjsライブラリ ログイン アクセストークンの(再)取得 図解 ログイン アクセストークンの(再)取得 自サービス内の認証だけのもっと簡易な構成 ログイン IDトークン取得 まとめ SPAの認証トークンをどこに保存するか React やVueで認証付きSPA(Single Pa
なぜ我々はsession.cookieを変更しなければならなかったのか - BASEプロダクトチームブログ
はじめに こんにちは。バックエンドエンジニアの小笠原です。 今回は、2022年2月18日から2022年3月4日にかけて発生していたこちらの障害に対し私達開発チームが実施した、session.cookieで定義しているCookieのkey名を変更するという影響範囲の大きい対応について、実施に至るまでの経緯や対応過程についてご紹介したいと思います。 ショップオーナー向けに掲載していたお知らせの内容 背景 全ては iOS14.5から端末識別子の取得に同意が必要になったことから始まった ことの発端は、iOS14.5以降からIDFA(端末ごとに持つ固有識別子)の取得に端末所有者の許可が必要になったことでした。 この変更は、端末所有者側から見ると情報の活用範囲を自身で管理できることでよりプライバシーに配慮されるようになった良い変更と言えるでしょう。 一方で、広告出稿側から見た場合は拒否をしたユーザーの
ChromeでCookieのSameParty属性の開発が進められている (コミット)。 現在のところ「SameParty cookie attribute explainer」に説明が書かれている。 今回は、CookieのSameParty属性について簡単にメモしていく。 背景 トラッキング対策、プライバシーの観点でサードパーティクッキーは制限する方向に進んでいる。その制限をSame Partyの場合に緩和する仕組みを提供するのがSameParty属性の話である。 例えば、同一主体により運営されているドメインの異なるサイト (例えば、google.co.jp, google.co.uk) 間においては、いわゆる(cross-site contextsで送られる)サードパーティクッキーを許可しようという話です。 もともとは、First-Party Setsを活用しSameSite属性にFi
Transcript sessionとcookieが 多分わかる資料 Yoshiki Kobayashi 2020/05/29 1 この資料に書いてあること • sessionのきほん • cookieのきほん • それぞれの利用用途 • 基本的な使い方 2 この資料に書いてないこと • secureとか • CSRFとか • 細かいセキュリティとか • 上手な日本語 3 sessionのきほん の前に… 4 httpの ステートレス通信 について 5 ステートレス通信 って何 6 通信元の情報が わからない そもそもhttpの通信は 7 例 僕の情報ください 私の情報! 僕の情報も! Aさん Bさん Cさん 誰が誰か わかんないんだよ なぁ… サーバ君 8 sessionを 利用することで… 9 ステートフルに 通信することができる 10 例 僕の情報ください 私の情報! 僕の情報も!
Webサイトを見ると、「Cookie(クッキー)」使用への同意を確認するバナーが出てきたことはないでしょうか? 少し、うざったくも見えるこのバナー。なぜ、最近こうした表示が増えてきたのでしょうか。専門家に聞きました。 Cookie使用の同意を求めるバナーの例(電通公式サイト) そもそも、「Cookie」とは何でしょうか。「Cookie」とは、閲覧したWebサイトのサーバーから発行され、ユーザーのコンピューターなどの中に預けておくファイルのことです。Cookieによって、ユーザーがWebサイトで入力した情報やサイト内のどこを閲覧しているのかといった情報などを、サイトの運営や広告配信業者などが取得することができます。 SNSなどへのログイン状態を維持したり、通販サイトで買い物かごに入れた商品がWebサイトをいったん離れても再表示されたりするのは、Cookieによるものです。一方、企業側もCoo
ウェブサイトがJavaScriptとCookieなしで個人を追跡する方法が一発で理解できる「No-JavaScript fingerprinting」
「フィンガープリント」とは、JavaScriptやCookieなしでウェブサイトのユーザーを識別するための固有識別子で、ユーザーの属性・行動・興味・関心といった詳細な情報をもとにマッチする広告を表示するターゲティング広告に用いられます。そんなフィンガープリントが、JavaScriptやCookieを使わずにどうやってユーザーを特定しているのかがよくわかるサイト「No-JavaScript fingerprinting」が公開されています。 No-JavaScript fingerprinting https://noscriptfingerprint.com/ 今回はGoogle ChromeからNo-JavaScript fingerprintingにアクセスしてみます。アクセスする前に、JavaScriptを使用しないようにあらかじめブラウザから設定しておきます。Chromeの右上にあ
Googleは、ユーザーのプライバシーを守りつつ適切な広告を表示するための技術「FLoC」の開発を停止すると発表。それに代わる新技術「Topics」のテストを間もなく開始する。FLoCへのフィードバックに基づいて、FLoCに代わるものとして開発する。 米Googleは1月25日(現地時間)、2021年3月に発表したサードパーティーcookieに代わる技術「FLoC」(Federated Learning of Cohorts)の開発を停止し、新たに「Topics」と呼ぶ技術のテストを年内に開始すると発表した。 同社は、ユーザーのWebプライバシーを改善しつつ適切な広告を表示するための取り組み「Privacy Sandbox」の技術としてFLoCを開発してきたが、ユーザーを特定できてしまう可能性を指摘されたり、この取り組みが独禁法に違反する可能性があるとされたりと、批判が高まっていた。 Go
同社はまた、2月のChromeのアップデートで、サードパーティーで使うためにラベル付されたCookieにHTTPS経由のアクセスを要求する計画も発表した。これにより、安全でないクロスサイトトラッキングを制限する。 関連記事 「クッキー」から始めるプライバシーの旅 Webブラウザの「クッキー」という仕組み。リクナビの内定辞退率の予測にまつわる問題でやり玉に上がりましたが、そもそもどんな仕組みなのでしょうか。クッキーの理解から、プライバシーを考えていきます。 Chromium版「Microsoft Edge」は2020年1月15日リリース Microsoftが、Chromium版ブラウザ「Microsoft Edge」の正式版を2020年1月15日に公開すると発表した。WindowsとmacOS版だ。新ロゴはイノベーションの波を表現したとしている。 Google、個人のプライバシーと最適な広告
小林 聡 on Twitter: "cookieは命名で失敗し「魔術的な」技術と勘違いされてる。実際はすごくシンプル。①サーバがSet-CookieヘッダでIDを通知する、②クライアントは以降CookieヘッダにそのIDを設定する、③それによりサーバはクライアントを… https://t.co/NxYz5UN9v6"
cookieは命名で失敗し「魔術的な」技術と勘違いされてる。実際はすごくシンプル。①サーバがSet-CookieヘッダでIDを通知する、②クライアントは以降CookieヘッダにそのIDを設定する、③それによりサーバはクライアントを… https://t.co/NxYz5UN9v6
【現在は対応不要】Chrome80以降でALBの認証を使っているとcookieが4096バイトを超えて認証できないことがあり、社内サービスではcookie名を縮めて対応した - hitode909の日記
2020/2/18追記 サポートに問い合わせたところ、ALBの不具合はロールバック済みで、cookie名を縮める対応は不要、とのことでした。試してみたところ、たしかにcookie名の指定をやめても問題なく認証できました。 AWSのApplication Load Balancerの認証機能を使って、スタッフからのアクセスのみ許可する社内向けウェブサービスを運用しているのだけど、昨日くらいからGoogle Chromeで認証が通らなないという声を聞くようになった。 現象としてはリダイレクトループが発生していて、コンソールを見るとSet-Cookie headerが長すぎるというエラーが出ていた。 Set-Cookie header is ignored in response from url: https://****/oauth2/idpresponse?code=e51b4cf0-8b
欧州委員会はWebを破壊していると私は考えるようになりました。ユーザーのプライバシーを守ろうとする彼らの試み(GDPRやクッキー法とも呼ばれるeプライバシー指令)は、クッキー通知とプライバシーポリシーのオーバーレイの氾濫という予期せぬ結果を引き起こしました。 事実、平均的なユーザーの立場からすると、ネットワーク中立性の崩壊よりもクッキークライシスの方が、日々のWeb上での体験においてダメージが大きいと言えます。 それでも、ネットワーク中立性に関わるものと同じような組織的抵抗は、クッキー通知の異常性に対してはほとんど発生していません。私たちは、その意図が良いものであるために受け入れているのです。 誤解しないでほしいのですが、その意図自体は良いことです。どのサイトがトラッキングしてOKで、どの情報を収集しても良いかの主導権はユーザーが持つべきです。欧州委員会の取り組みは評価に値します。ただし、
This blog post covers several enhancements to Intelligent Tracking Prevention (ITP) in iOS and iPadOS 13.4 and Safari 13.1 on macOS to address our latest discoveries in the industry around tracking. Cookies for cross-site resources are now blocked by default across the board. This is a significant improvement for privacy since it removes any sense of exceptions or “a little bit of cross-site track
ログリー株式会社(本社:東京都渋谷区、代表取締役:吉永浩和、証券コード:6579、以下:ログリー)は、インターネット広告配信においてCookieなどのユーザーを一意に特定する技術を使用せずに、ユーザーの属性を推定する技術を確立し、特許を取得いたしました。(特許:第6511186号) 近年、インターネットにおけるユーザーのプライバシー保護について関心が高まり、ブラウザのCookieが制限されるようになりました。また、EU圏ではGDPR(EU一般データ保護規則 *1)が制定され、Apple社のSafariブラウザではITP(Intelligent Tracking Prevention(以下、ITP)*2)によってCookieによるトラッキングを禁止する機能が搭載されるなど、今後もユーザーのプライバシー保護に対する仕組みが整備されていきます。 ログリーが実施したスマートフォンにおけるITPの影
Cookie とは、HTTP でステートフルなやり取りを実現するために、ブラウザとサーバ間で情報を送受信する仕組みである。 HTTP は本来ステートレスなプロトコルである。そのため、同一のユーザーが連続でリクエストを行っても、それぞれ独立したリクエストであり、「同じユーザーからのリクエストである」とサーバが認識することはできない。 これは例えば、ログイン状態の管理で問題となる。ID とパスワードで認証を行っている場合、リクエストの度に ID とパスワードを送信しなければならない。 Cookie を使うことで、このような事態を解決できる。 まず、サーバがブラウザに対して、Cookie としてどのような情報を保存するのか指示する。具体的には、レスポンスヘッダにSet-Cookieフィールドを含め、そこに Cookie として保存させたい情報を設定する。ログイン状態を管理したい場合は、セッション
CompanyPolicyNo cookie for youThe developer community remains the heart of GitHub, and we’re committed to respecting the privacy of developers using our product. August 2, 2022 update: We’ve since updated our privacy statement with regards to web cookies for marketing to enterprise users. View the changelog here. Good news: we removed all cookie banners from GitHub! 🎉 No one likes cookie banners.
JWTとは JSON Web Tokenの略。ジョットと読むらしい。 ざっくりいうとJsonに電子署名を加え、URL-Safeな文字列にしたTokenのこと 正確にいうと、電子署名を使用する方式はJWS(JSON Web Signature)と呼ばれ、別途暗号化を使用するJWE(JSON Web Encryption)も存在する。よく見かける説明はJWS方式のほう。 JWS方式の場合、電子署名であり暗号化ではないため、中身を見ることは可能。但し改ざんはできない、という仕組み。 実際のユースケースで言うと、サーバ側で認証情報が入ったJsonを加工(電子署名を加える等)し、JWTにしたのち、それを認証Tokenとしてクライアントに渡す。クライアントはそのTokenを認証Tokenとして使用する。 仕組みについては調べればたくさん出てくるのでそちらを参照したほうが良いかと思います。 この記事では
ITP2.1の影響と対策方法のまとめ、JavaScript生成cookie7日間問題 | marketechlabo
ITPの仕様 次々と新しいバージョンがリリースされるITP。微妙にアップデートされ、仕様がわかりにくくなっているので現時点で最新のものを解説する。 ITPの目的と概要 われわれウェブサイト運用者は cookieやローカルストレージなどを使ってブラウザにドメインのデータを保持し、 それらのデータを必要に応じてツール間で連携する ことによって行動計測やコンテンツの出し分けなどのマーケティング活動を行っている。ITPはウェブサイト訪問者のプライバシー保持のためにそれを制限する仕組みである。具体的に何をやっているのかざっくりまとめると、 この3つのケースにおいて cookieなどを使ったデータ保持が短期間しかできなくなる(期間の長さはケースごとそれぞれ異なる) リファラが使い物にならなくなる 可能性があるということである。その結果 コンバージョントラッキングができない リマーケティング広告が配信で
yuuu on Twitter: "今日の読売に出てたキンチョーの新聞広告、相変わらず尖っていて素敵である。CPAやCPCといった英語三文字が並ぶデジタル広告のアンチテーゼとして「効果が測定できない」点こそ新聞広告の魅力であると打ち出す。サードパーティcookie排… https://t.co/yiIovVmbMB"
今日の読売に出てたキンチョーの新聞広告、相変わらず尖っていて素敵である。CPAやCPCといった英語三文字が並ぶデジタル広告のアンチテーゼとして「効果が測定できない」点こそ新聞広告の魅力であると打ち出す。サードパーティcookie排… https://t.co/yiIovVmbMB
サブドメインをユーザーホスティングサイトに使うときのパターン(Same Origin/Cookie/Public Suffix List)
README.md サブドメインをユーザーホスティングサイトに使うときのパターン hoge.example.com でユーザが作成したサイトをホスティングして、任意のJavaScriptを実行できる状態にしたいケース。 サブドメインを分けることで、Fetch APIなどはSame Origin Policyを基本にするため、別のサブドメインや example.com に対するリクエストなどはできなくなる。 一方で、CookieはSame Origin Policyではない。 デフォルトでは、hoge.example.com から example.com に対するCookieが設定できる。 これを利用したDoS(Cookie Bomb)やこの挙動を組み合わせた別の脆弱性に利用できる場合がある。 The Cookie Monster in Your Browsers - Speaker Dec
アドエビス、3rd party Cookieを使わない新計測法「CNAMEトラッキング」が提供開始から3ヶ月で導入企業300社突破!
アドエビス、3rd party Cookieを使わない新計測法「CNAMEトラッキング」が提供開始から3ヶ月で導入企業300社突破! 株式会社イルグルム(本社:大阪府大阪市北区 代表取締役:岩田 進、以下「イルグルム」)は、マーケティング効果測定プラットフォーム「アドエビス」が2019年10月より提供する3rd party Cookieを使わない新しい計測方法「CNAMEトラッキング」の導入企業が300社※を突破したことをお知らせいたします。 ※2020年1月14日時点310社利用 近年、オンラインにおけるプライバシー保護への関心が高まり、EUではGDPR(一般データ保護規則)が施行され、Apple社のSafariブラウザではトラッキング防止機能Intelligent Tracking Preventionが追加されるなど、ユーザー行動データの収集において大きな変化が起きています。 今年の
Google Developers Japan: 新しい Cookie 設定 SameSite=None; Secure の準備を始めましょう
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 5 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 Addy Osmani 1 ADK 2 AdMob 32 Ads 71 Ads API 99 ads query language 2 ads
Intro Cookie はブラウザによって保存され、紐づいたドメインへのリクエストに自動で付与される。 この挙動によって Web におけるセッション管理が実現されている一方、これを悪用した攻撃方法として、 CSRF や Timing Attack などが数多く知られており、個別に対策がなされてきた。 現在、提案実装されている SameSite Cookie は、そもそもの Cookie の挙動を変更し、こうした問題を根本的に解決すると期待されている。 Cookie の挙動とそれを用いた攻撃、そして Same Site Cookie について解説する。 Cookie の挙動 Cookie は、 Set-Cookie によって提供したドメインと紐づけてブラウザに保存され、同じドメインへのリクエストに自動的に付与される。 最も使われる場面は、ユーザの識別子となるランダムな値を SessionI
作成日 2022-12-30 更新日 2022-12-30 author @bokken_ tag Web, Privacy, Security, Cookie はじめに 3rd Party Cookie をブロックする制限を緩和するための仕様である CHIPS が策定されている。¶ 近年、ユーザの Privacy の向上を目的として 3rd Party Cookie をブロックする流れがある。cross site でユーザトラッキングを提供する多くのツールは 3rd Party Cookie を使っているため、3rd Party Cookie をブロックすることで解決しようとするものだ。すでにいくつかのブラウザではこういった動きが見られる(Firefox, Safari)。¶ しかし、一部のサイトでは 3rd Party Cookie が有効に使われているケースもある。こういったケースで
【アドビ調査】 日本はマーケティングにおいてはデジタル後進国ではない:課題は「パーソナライズ・データガバナンス・Cookie脱却」
アドビが実施した「未来のマーケティングに関するグローバル調査」によると、日本のマーケティング担当者は、世界と比較して積極的にAI(人工知能)や機械学習を採用していることが明らかになった。 この調査は、企業のマーケティングの実態や今後の方向性を明らかにすることを目的に、日本を含めた世界6か国(米国、英国、フランス、ドイツ、オーストラリア、日本)の消費者とマーケティング担当者を対象に実施したもの。 一方で、消費者の約半数は企業の提供するパーソナライゼーションに満足しておらず、消費者の求める顧客体験の水準が高まっていることがわかったという。また、管理者層でのデータガバナンスに関する理解に遅れが出ていることも判明したという。 日本のAI/機械学習の活用割合は41%で世界でトップ コロナ禍によって日本のマーケティング分野でもデジタル化が進んだ。背景にあるのは、企業と消費者のチャネルがリアル店舗、オン
$200K 1 10th birthday 4 abusive ads 1 abusive notifications 2 accessibility 3 ad blockers 1 ad blocking 2 advanced capabilities 1 android 2 anti abuse 1 anti-deception 1 background periodic sync 1 badging 1 benchmarks 1 beta 83 better ads standards 1 billing 1 birthday 4 blink 2 browser 2 browser interoperability 1 bundles 1 capabilities 6 capable web 1 cds 1 cds18 2 cds2018 1 chrome 34 chrome 81
3rd-party cookieのない2年後のアドテックに向けた動きまとめ 各陣営紹介編|AD EBiS マーテック研究会|note
今年の1月にGoogleより3rd-party cookieの廃止が発表されました。 この発表がきっかけでユーザのプライバシー保護とオンライン広告のエコシステム(ターゲティング広告、計測、アドフラウド対策)の維持を目的とする技術的な取り組み「Privacy Sandbox」に注目が集まりました。 実はPrivacy SandboxだけじゃないGoogleの提案ばかり注目されがちですが、プライバシーに配慮した技術提案を行っているのは、それだけではありません。アドテックとブラウザにおいてNo.1のシェアを誇るGoogleは、シェアの高さゆえに実はプライバシー保護に一番消極的で、Safariに比べると2年ほど対応が遅れています。 プライバシー保護に関わる技術的な取り組みはPrivacy Sandboxの他にも、Webを支える技術の標準化を担うW3C(World Wide Web Consorti
CookieのPartitioned属性 (CHIPS) の標準化はじまる - ASnoKaze blog
サードパーティCookieをトラッキングに使用できないようにする「Cookies Having Independent Partitioned State (CHIPS)」という仕組みが議論されています。 現在は、その仕組はW3CのPrivacy CGで議論されています。細かい仕組みは以前書いたとおりです。 ( トラッキングに利用できない3rdパーティクッキー「CHIPS」の仕組み (partitioned属性) - ASnoKaze blog ) このCHIPSは、Cookieに新しいPartitioned属性を利用します。Cookie自体の仕様は、IETFが発行するRFC 6265で定義されており、そこにPartitioned属性を追加してやる必要があります。 そのためIETF側にも「Cookies Having Independent Partitioned State specif
Evercookieは、ブラウザに究極的に永続的なCookieを生成するJavaScript APIです。 その目的は、標準的なCookie、Flash Cookieなどを削除した後でもクライアントを識別し続けることです。 これは、可能なかぎり多くのストレージにCookieデータを保存することで達成します。 いずれかのストレージからCookieが削除されたとしても、ひとつでも残っている限り、Evercookieは残ったデータからCookieデータを復旧します。 Flash LSO、SilverlightもしくはJavaが有効な場合、Evercookieはブラウザを超えて同じクライアント上の別のブラウザにCookieを伝播することすら可能です。 本リポジトリは、Samy Kamkarおよび多くのコントリビュータによって作られています。 Browser Storage Mechanisms E
ある日の我が家 娘(4歳)「パパ、セッションとかCookieってなあに?」 娘「サーバサイドの勉強してると出てくるやつ」 ワイ「おお、今日はその質問か」 ワイ「ええでええで〜、パパが教えたるで〜」 娘「わ〜い!」 ワイ「ワ〜イ!」 例えば月曜日 ワイ「例えば、月曜日の朝は仕事する気にならへんからTwitterを見るやろ?」 娘「うん!」 ワイ「せやからTwitterのホーム画面を見るために」 ワイ「ブラウザのアドレスバーにhttps://twitter.com/homeって打ち込むんや」 ワイ「まぁ実際にはブックマークから行くんやけど、まぁ同じことや」 ワイ「つまりブラウザ君を通して、サーバ君に」 「ワイのTwitterのホーム画面のHTMLをくれや〜」 ワイ「ってことを伝える訳や」 娘「うんうん」 ワイ「でもな?」 ワイ「それもCookieを使ってセッション管理をせんと実現できひんことや
Cookie の SameSite 属性について - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは、フロントエンドエキスパートチームの小林(@koba04)です。 フロントエンドエキスパートチームでは、日々の業務としてブラウザやライブラリの更新情報をキャッチアップして社内で共有しています。 例えば先日、CSSのプロパティである image-orientation のデフォルト値が none から from-image に変わったため、画像の Exif 情報の扱いが変更されました。 https://www.fxsitecompat.dev/ja/docs/2020/jpeg-images-are-now-rotated-by-default-according-to-exif-data/ 注: Firefox では COVID-19 の影響により、この変更は延期されました。(Chrome は予定通り 81 で リリースしています) https://blog.chromium.o
CookieのSameSite属性と4つの勘違い(2022-10版) - SSTエンジニアブログ
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 Fetch API*1 や XMLHttpRequest*2 を使ってクロスサイトのCookieを送る・送らないの実験をする機会がありました。 そこで自分の勘違いが複数発見され、改めて「今のクロスサイト Cookie って難しいな」と感じました。 セキュリティエンジニアのみならず、開発者の方にも参考になるかと思いましたので、自分の勘違いを紹介していきたいと思います。 なお本記事では「サイト」という単語を Cookie における Same-Site の定義に沿って扱います。 Understanding "same-site" and "same-origin" 使用したWebブラウザ: Chrome(burp 同梱のChromium) 106.0.5249.62
3rd-party cookieもIDFAもないアドテックに向けた動きまとめ 各機能紹介編|AD EBiS マーテック研究会|note
Privacy Sandbox等のクッキーレスアドテックに関する前回の記事から1年が経とうとしています。1年間様々なベンダーから提案が公開され、議論も進化のペースが激しく、しばらくまとめを断念していました。今年に入ってからもGoogle (ChromeとAds)やAppleからクッキーレス、IDレスアドテックについて発表が相次ぎましたが、主要提案の開発とリリーススケジュールが明らかになり、発散から収束フェーズに入ったと思われるので、一度状況まとめておきます。 振り返り Privacy SandboxはGoogle Chromeの開発チームが提案する、3rd-party cookieとフィンガープリンティングの代替技術(サイトを跨いだ計測とターゲティング機能、アドフラウド防止機能)およびサイトを跨いだユーザ単位のトラッキング防止機能の総称です。3rd-party cookieの段階的な廃止自
20190424 追記 IETFに提案仕様が提出されました https://tools.ietf.org/html/draft-west-http-state-tokens-00 Cookieの様々な問題を解決するために、Webセキュリティー界隈で活躍されるMike West氏から「Tightening HTTP State Management」というCookieに変わるHTTPにおいてステートを扱う仕組みが提案されています。 現在はIETFのHTTPbis WGのMLに投稿されただけで仕様が正式にinternet-draftとして提出されたものではありません。まだまだどうなるかは全然わからない状態です。 この提案では、現在のCookieはセキュリティと非効率性とプライバシーの問題があると言っています。 現在のcookieは、Same-Origin-Policyとは異なりオリジンを超えて
「サードパーティーCookie」は“悪”なのか? 私がSafariを使う理由 (1/2) - ITmedia NEWS
「サードパーティーCookie」は“悪”なのか? 私がSafariを使う理由:ITりてらしぃのすゝめ(1/2 ページ) バナー広告などでよく利用される「サードパーティーCookie」。かつてはこれを無効にしてもWebサイト閲覧に支障が出ることはありませんでしたが、最近はサイト利用に支障が出ることもあるようです。 私は最近、macOSで使うWebブラウザを「Google Chrome」からAppleの「Safari」に変えました。スマホはiPhoneなので、モバイルでもPCでもSafariを使っています。 現在のWebブラウザのシェアはChromeが圧倒的です。ネットの歴史を見ても、最大のシェアを持つWebブラウザに最適化されたWebサイトが主流になるのは当たり前でしょう。とはいえ、現在ではInternet Explorer(IE)のような異端なブラウザはあまりなく、ブラウザによって極端に仕
2016年に制定されたデータ保護規則・GDPRのもと、EUではウェブサイト側がユーザーのCookieを利用したターゲティングを行うためにはユーザーの同意が必要となりました。2021年時点の日本においてCookieやIPアドレスといったオンライン識別子は個人情報に該当せず、企業による利用にユーザーの同意が必要となることはありませんが、近いうちに同様の法整備がなされるものと考えられています。 ウェブサイト閲覧者に表示される「Cookieへの同意」オプションの「全てのCookieを受け入れる」という選択肢をクリックした時に、一体ユーザーは何に同意しているのかという疑問について、ソフトウェア開発者であり起業家であるコンラッド・アクンガ氏がロイター通信のウェブサイトを例に解説しています。 What Do You Actually Agree To When You Accept All Cookie
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
牧歌的 Cookie の終焉 | blog.jxck.io
最新のブラウザで変わるCookieの取り扱いやPrivacyの考え方
日本人の約9割が「Cookie」をよく知らない!? ……で、「Cookie」ってなんだっけ?/最近Webブラウザーベンダー各社が対策を試行錯誤している「Cookie」の問題について【やじうまの杜】
女性「『授乳 おやつ』で調べたらエロ漫画の広告が出る」←普段からエロサイトばっか見てるからだろ、cookie消せ!とツッコミ←それって本当ですか?? (エロ画像注意)
Cookieの新しい属性、SameParty属性について - ASnoKaze blog
sessionとcookieが多分わかる資料
最近よく見る「Cookie使用同意バナー」、実は無意味? 専門家が指摘するちぐはぐ対応
Google、脱Cookie技術「FLoC」開発を停止し、新たな「Topics」を発表
Google、サードパーティー製CookieのChromeでのサポートを2年以内に終了へ
Cookie規制が招くWeb体験の危機
Full Third-Party Cookie Blocking and More
Cookieを使用せずにユーザー属性を推定する技術を確立し、特許を取得 | ログリー株式会社
Cookie 概説 - 30歳からのプログラミング
No cookie for you | The GitHub Blog
JWT・Cookieそれぞれの認証方式のメリデメ比較 - Qiita
集英社、Cookieを使わないターゲティング広告サービス「Trig's」を導入 「non-no web」「MORE」など9つのウェブメディアで
Cookie の性質を利用した攻撃と Same Site Cookie の効果 | blog.jxck.io
サードパーティ Cookie をブロックする制限を緩和する CHIPS という仕様について
Temporarily rolling back SameSite Cookie Changes
Cookieを永続化して、どこまでも個人を追跡するEvercookie - Qiita
4歳娘「パパ、セッションとCookieってなあに?」 - Qiita
Cookieにかわる Sec-HTTP-State ヘッダの提案 - ASnoKaze blog
「全てのCookieを受け入れる」を選択すると一体何を受け入れることになるのか?