米Googleは4月23日(現地時間)、2024年中に完了する予定だったWebブラウザ「Chrome」でのサードパーティcookieの廃止を延期すると発表した。延期はこれで3度目になる。 延期の理由は「業界、規制当局、開発者からの異なるフィードバックを調整することに関連する課題が継続している」ため。 特に、「プライバシーサンドボックス」の取り組みに懸念を示している英政府競争規制当局の競争・市場庁(CMA)が「業界テストの結果を含むすべての証拠を検討するための十分な時間を確保することが重要」としている。 CMAは1月、Googleに対し、複数の競争関連の懸念が解消されるまで、サードパーティcookie廃止を一時停止するよう命じた(リンク先はPDF)。 CMAによる検討などに引き続き協力することで、プロセスを年内に完了し、合意に達すれば2025年初頭から廃止を進める想定という。 Googleは
作成日 2023-02-28 更新日 2023-02-28 author @bokken_ tag Clear-Site-Data, storage, Cookie はじめに Clear-Site-Data というクライアントサイドのデータを削除するための仕様がある。提案自体は2015年頃からある仕様だが、最近 Safari の Beta Release にリリースされ、もうすぐ主要ブラウザで実装が出揃う形になる。¶ この記事では、Clear Site Data とはどういう仕様なのかをまとめる。¶ Clear Site Data とは Web アプリケーションでは、オフライン時にも利用できるようにリソース (データ) をキャッシュしたり、パフォーマンスを高めるため、 local マシンにリソース (データ) を保持することがある。また、サービスをログインするのに Cookie にセッショ
Cookie Set-CookieはHTTPのレスポンスヘッダーで、サーバーからユーザーエージェントへクッキーを送信するために使われる。 また、ユーザーエージェントはサーバーに送り返すことができる。 そのため、HTTP サーバーが HTTP ユーザーエージェントに状態を保存するために使用することができる。 Cookieの利用目的 セッション管理 ログイン状態や買い物時のカートの状態など パーソナライズ トラッキング Set-CookieとCookieヘッダ HTTP の Set-Cookie レスポンスヘッダーは、サーバーがユーザーエージェントへ Cookie を送信するために使用します。 HTTP/2.0 200 OK Content-Type: text/html Set-Cookie: yummy_cookie=choco Set-Cookie: tasty_cookie=straw
XSSがあってもlocalStorageに保存するのに比べてcookieのhttpOnlyはjsから読めないので強いと言うことですが、SPAのサイトであれば、XSSを使ってAPIを呼び出し放題なので、セッションのcookieがjsで読めなくても危険性には大差がないのでは?と思うのですが私の認識がおかしいでしょうか? - ockeghem page
徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。 https://t.co/F0kveu1nJM
6 月 25 日にChrome におけるサードパーティ Cookie のサポートを段階的に廃止する計画のスケジュールを含む、「プライバシーサンドボックス」の最新情報を公開しました。取り組みを進めていく中で、この計画を正しく実施するためには、デジタル広告のエコシステム全体でさらに時間が必要なことがわかってきました。 「プライバシーサンドボックス」は、利用者のプライバシーに配慮しつつ、誰もがアクセスできる自由で開かれたウェブ環境を維持できるよう、デジタルビジネスを構築するツールを提供する技術の開発を目指すものです。これを実現するには、エコシステムに携わるコミュニティが一丸となり、ウェブのプライバシーを根本的に強化する開かれた基準をもち、データがどのように利用されるかについての透明性を高め、管理権限をユーザーが持つ必要があると考えています。 そのためには、適切な解決策に関する開かれた議論、規制当
Intro このエントリは、 3rd Party Cookie Advent Calendar の最終日である。 3rd Party Cookie のカレンダー | Advent Calendar 2023 - Qiita https://qiita.com/advent-calendar/2023/3rd-party-cookie ここまで、 3rd Party Cookie との 30 年に渡る戦いと、 ITP 以降それが Deprecation されるに至った流れ、そして Privacy Sandbox の API について解説してきた。 最終日は、ここまでを踏まえて、来年以降の Web がどうなっていくのかを考えていく。 「Web 史上最大の破壊的変更」の意味 筆者はこのアドベントカレンダーの最初に、これを「Web 史上最大の破壊的変更」と言って始めた。 Web で破壊的変更と言え
[アップデート] root ユーザー作業が不要に!Amazon CloudFront で署名付き URL/Cookie 向け公開鍵を IAM ユーザー権限で管理できるようになりました。 | DevelopersIO
本日のアップデートで Amazon CloudFront の署名付き URL および署名付き Cookie に対する公開鍵の管理を、IAM ユーザー権限で行えるようになりました! Amazon CloudFront announces support for public key management through IAM user permissions for signed URLs and signed cookies IAM ユーザー権限による公開鍵管理が可能に 従来、CloudFront で署名付き URL および 署名付き Cookie を利用する場合、「CloudFront のキーペア」を作成する必要がありました。このキーペアの作成は AWS アカウントの root ユーザーしか行うことが出来ません。そのため必要になった際にアカウント管理者に連絡しキーペアを作成してもらう、
![[アップデート] root ユーザー作業が不要に!Amazon CloudFront で署名付き URL/Cookie 向け公開鍵を IAM ユーザー権限で管理できるようになりました。 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/fde6f7c8a9687a84d77b4283284f2288984c2659/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Famazon-cloud-front.png)
Cookie vs Local Storage マルウェア耐性等に差はあるか?Google Chromeによる保存時の暗号化を検証する - Flatt Security Blog
はじめに こんにちは。セキュリティエンジニアの@okazu_dmです。 皆さんはブラウザにおいてLocal StorageやCookieに格納されている値が暗号化されているかどうかを考えたことはあるでしょうか。これらWebサービスの認証・認可において使われるデータが、XSSのようなアプリケーションの脆弱性への耐性に差があるかどうかは頻繁に議論されるところです。 しかし、ブラウザに保存されたデータが暗号化されているかどうかはまた別の攻撃経路への耐性の話であり、馴染みがないのではないでしょうか。 これは、基礎知識としてLocal StorageとCookieの仕組み/挙動の紹介と比較をしつつ、Google Chromeにおけるそれらの暗号化の実装上の違いを検証する記事です。 なお、保存先のストレージとAuth0のアクセストークンのXSS耐性との関連は過去に別の記事で検証しています。興味がある方
Google Analytics代替として開発された、Cookie不使用のオープンソースの解析ツール・「Pirsch」
PirschはGoogle Analytics代替として開発された、Cookie不使用のオープンソースの、シンプルでプライバシーに配慮した解析ツールです。 GAほど多機能ではないものの、PVやセッション、リファラなどWebサイト解析に必要なメトリックを提供してくれます。 解析用のスクリプトも1KB未満で解析対象のWebサイトのパフォーマンスを損ないません。データはCSVでエクスポートも可能な他、メールで定期的に解析結果を送る事も可能です。 管理画面もシンプルで見やすく分かりやすい印象でした。OSSとして提供されていますが、Webサービスとしても展開しているようです。現在はベータ版のため、無償で利用できるみたいです。ライセンスはAGPL-3.0との事。 PirschOn Github
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
Intro 昨今、特に広告サービスを中心に 3rd Party Cookie を用いたトラッキングについての議論が多く行われている。 Safari による ITP や、 Chrome による Privacy Sandbox への移行など、技術的な変化も著しい。 こうした技術の変遷を観測し、調査検証を行うために、これまで避けていた Web 広告を本サイトに導入することにした。 Motivation 本サイトは、様々な Web に関する技術を調査し、実際に試すためにサイト自体に適用しながらそれを記事にまとめるという目的で運用してきた。 様々な技術を試したり、そのパフォーマンスやセキュリティへの影響を評価する上で、一般的なサイトの構成とかけ離れていれば、あまり意味をなさない。 そのため、本サイトでは以下のように、別に必要はない機能やサービスをあえて導入している。 AMP AMP より Origi
SameSite cookie recipes Stay organized with collections Save and categorize content based on your preferences. Chrome, Firefox, Edge, and others are changing their default behavior in line with the IETF proposal, Incrementally Better Cookies so that: Cookies without a SameSite attribute are treated as SameSite=Lax, meaning the default behavior is to restrict cookies to first party contexts only. C
米Googleは7月27日(現地時間)、Webブラウザ「Chrome」でのサードパーティーCookieのサポート完全廃止開始の目標期日を2024年後半に延期したと発表した。延期するのは2度目だ。 同社は2020年1月、2年以内にサードパーティーCookieを完全に廃止すると発表したが、2021年6月に2023年後半に延期した。 Googleは、プライバシーで問題視されているサードパーティーCookieを廃止し、それでもユーザーに適した広告を表示できるようにするためのイニシアチブ「プライバシーサンドボックス」を推進している。 現在、一部の開発者向けにプライバシーサンドボックスAPIのテスト版を提供している。テストに参加している開発者から、Cookie廃止の前に新しいプライバシーサンドボックスの技術を評価するにはより多くの時間が必要だというフィードバックを多数受け取ったという。 これを受け、8
Auth TokenをlocalStorageに入れようが、cookieに入れようがどっちもXSS危険性には無防備(同ドメイン内なら ...) - Qiita
Auth TokenをlocalStorageに入れようが、cookieに入れようがどっちもXSS危険性には無防備(同ドメイン内なら ...)JavaScriptcookieJWTxsstoken tokenを保存する場所 localStorage cookie cookie (http only) メモリ内 (変数) よく言われるのが JWT tokenをlocalStorageに入れるべきではない ということ。 理由としてはJavascriptで簡単に読めてしまうので、XSSがあった場合意図しないスクリプトを動かされてしまい、結果としてtokenが盗まれるというもの。 対応策として cookie (http only) を色んな所で推奨してる。 https://techracho.bpsinc.jp/hachi8833/2019_10_09/80851 http://cryto.net
JavaScriptとマニュアルを同梱。PC版・スマートフォン版のWebサイトに対応する。文章や色は変更可能で、同意を取り消したいユーザー向けの取り消しボタンも用意した。 サードパーティーCookieの利用を巡っては、プライバシー保護の観点から国内外で規制が広がっており、特に欧州では「一般データ保護規則」(GDPR)により、Cookieを使った情報取得の基準が厳格化されている。グローバル展開を前提とする場合は特にCookie利用の同意バナーの設置が重要となる。 ユーザーローカルは「同意バナーを開発してWebサイトに実装するには、工数や費用がかかる問題がある」としてツールの無償配布を決めたとしている。なお、同ツールがユーザーローカルと通信することはないとしている。 関連記事 Yahoo! JAPAN、欧州からの接続遮断へ 「法令順守の対応コスト面からサービス継続不能」 ヤフーが、欧州経済領域
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google、サードパーティcookie廃止を3度目の延期 年内には実施せず
クライアントの Cookie などのデータを削除する Clear Site Data という仕様について
CookieとWeb Storageの仕様を比較する
サードパーティ Cookie 廃止に関するタイムラインの変更について
3PCA 最終日: 3rd Party Cookie 亡き後の Web はどうなるか? | blog.jxck.io
ウェブのプライバシー強化: サードパーティ Cookie 廃止への道
3rd Party Cookie 調査のための Web 広告導入 | blog.jxck.io
SameSite cookie recipes | Articles | web.dev
Google、ChromeでのサードパーティーCookie廃止開始を2024年まで延期
「Cookie同意バナー」を作れるツール、ユーザーローカルが無償配布 工数・費用対策に