X(Twitter)にバッキバキに打ちのめされて始まった2023年が終わりそうなので今年をいろいろ総括する話|Togetter(トゥギャッター )
みなさん、こんにちは。Togetterを運営するトゥギャッター社の代表のyositosiです。2023年も年末で仕事納めということで、今年を振り返るコンテンツを残しておこうと思います。主にXとネットメディアを取り巻く話題を中心にお届けします。 1月:サードパーティー製Twitterクライアントの一斉締め出しTwitterが他のSNSに比べて、圧倒的に優れていた点に、機能の大部分をAPIという形で解放して、多くの開発者が優れた関連アプリを作れたことにあると思います。特に、その初期においては、ガラケーやスマホ向けのアプリはTwitterオリジナルではなく、第三者が作ったアプリで支えられていました。 その後、公式のアプリとして買収されたものもありましたが、引き続き多くの非公式アプリが、ユーザのTwitter体験をそれぞれに最適化していたのは間違いないと思います。 とはいえ、本体の機能追加とともに
Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp
たいやき🍢 @ADuNPpTYEIjuUX9 みなさん!!!どうか!!おすすめの!クッキー缶を教えてください!年末年始をなんとか生き延びるための己のガソリンとして複数購入したいと思っています!!!特にない方は、牛乳1パックを消費できる加熱系レシピを教えてください!(帰宅後リュックごと廊下に牛乳半日放置してしまった) 2023-12-10 20:10:44
Preparing for the end of third-party cookies | Privacy Sandbox | Google for Developers
Preparing for the end of third-party cookies Stay organized with collections Save and categorize content based on your preferences. If your site uses third-party cookies, it's time to take action as we approach their deprecation. To facilitate testing, Chrome has restricted third-party cookies for 1% of users from January 4th, 2024. Chrome plans to ramp up third-party cookie restrictions to 100% o
CSRF 対策はいまだに Token が必須なのか?
CSRF 対策は One Time Token を form なりに付与して、サーバ側でチェックすれば良い。 それをデフォルトでサポートしてるフレームワークなどもあるし、なくてもライブラリでいくらでも対応できる。 どうせ完全にステートレスなサービスはなかなかないので、サーバ側に redis や memcache を用意するのも別に大変じゃない。 なので、 CSRF 対策として Token を付与するのは、最も安全で推奨できる方式ではある。 っていうのを踏まえた上で、もう SameSite=Lax デフォルトだけど、今でも Token 必須なの?みたいなのがたびたび話に出るので、いい加減まとめる。 前提 この話は、スコープがどこなのかによって話が多少変わるので、そこを絞る。 今回は Passive ではなく Active に対策していく場合を考えるので、前提をこうする。 SameSite=l
SPAのアプリケーションで、外部のIdPを使ってOpenID Connect によるログイン機能を開発しようと考えています。IDトークンの保存先として、ブラウザのCookieかサーバーのDBに保存するかの2つの案があると思っています。調べた限り、サーバーサイドで持つべきという意見が多いように見えますが、以下のような背景がある中で開発しても、ブラウザのCookieでは持つべきなのではないのでしょうか? - IDトークン自体にも、個人の属性(氏名等)情報は無いことを確認している - サーバーサイドでIDトークンの署名検証をして、IDトークンの改ざんが無いか確認する - Http Only属性:JSによるCookieへのアクセスを防ぐため - Secure属性:流出防止のため - SameSite=strict:CSRF対策のため 結論から言えば、「どちらでもよい」となります。しかし、恐らく話は
Chromeのクッキー廃止へ。ブラウザをチェックしてみよう2024.01.13 21:00163,119 Thomas Germain - Gizmodo US [原文] ( 岩田リョウコ ) グッバイ、クッキー! Googleが長年にわたって進めてきたクッキーの廃止計画が1月4日、実行に移されました。Chromeウェブブラウザを利用しているユーザーのうち1%、約3000万人に対してクッキーを無効化。そして今年の年末までに、すべてのChromeユーザーのクッキーがなくなるとのことです。すべてのクッキーではなく、廃止されるのは追跡をするサードパーティークッキーです。 クッキーの役目って?プライバシーを守りたい人たちにとって、インターネットの元凶とみなされているクッキー。ほとんどのウェブでクッキーは、テック企業がオンライン上での私たちの行動を追跡する方法となっていました。ターゲット広告や他の多
Intro 以前から騒がれていた Apple によるサイドローディング周りの緩和について、正式な情報公開があった。 Apple announces changes to iOS, Safari, and the App Store in the European Union - Apple https://www.apple.com/newsroom/2024/01/apple-announces-changes-to-ios-safari-and-the-app-store-in-the-european-union/ ストアやペイメントの緩和もあるが、ここでは WebKit に関する部分だけを抜粋し、どのような条件があるのかをまとめておく。 筆者が公開情報を読んで解釈したものなので、内容は保証しない。 前提 iOS/iPadOS に入れられるブラウザには、 WebKit を用いる必要が
3兆円市場になるとは....|miyasaka
インターネット広告がついに3兆円の見込みとのこと。メディア&広告の最前線からは10年以上も離れてるけど3兆円は驚いた。 自分も昔、この業界で仕事してたんだけどいつからこんなに巨大化したんだろうと思って市場推移を調べてみたら 1996年 16億円 1997年 60億円 2003年 1,000億円 2009年 新聞を上回る 2014年 1兆円突破 2019年 テレビを上回る 2024年 3兆円超予測 良質なコンテンツは大事だけどそれ支えるのはアドテク。コンテンツが花だとするとアドテクは地下茎。両方ケアしないとね。地下茎が弱ると花は咲かない。 そして大事なアドテクノロジーを内製化できてるか?他社依存しちゃってるかはメディアの将来にとってとても大きいと思う。最近だと課金型メディアも増えてきたので地下茎に課金決済システムも入るのかな。地下茎が外部か?自分のものか? これは自分の印象なんだけど、メディ
Cookie2 とは何か | blog.jxck.io
Intro タイトルを見て「Cookie の新しい仕様か、キャッチアップしよう」と思って開いたのなら、以降を読む必要はない。 Cookie History 2000 年に発行された Cookie の仕様である RFC 2965 では、仕様中に Set-Cookie2/Cookie2 (以下 Cookie2) という 2 つのヘッダが定義されている。しかし 2011 年に改定された現行の RFC 6265 ではそれらヘッダは deprecate されており、実際の Web でこれらのヘッダが交換される場面を、少なくとも筆者は見たことがない。存在すら知らない開発者も多いだろう。 筆者はずっと、この仕様がどのように出てきて、どうして消えていったのかが気になっていた。 Web 上にも情報が少なく、「歴史上の理由で」とか分かったようなことを言ってる人がたまにいるくらいだ。四半世紀前のことなので経緯を
SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする - Flatt Security Blog
こんにちは、 @okazu_dm です。 この記事は、CookieのSameSite属性についての解説と、その中でも例外的な挙動についての解説記事です。 サードパーティCookieやCSRF対策の文脈でCookieのSameSite属性に関してはご存知の方も多いと思います。本記事でCookieの基礎から最近のブラウザ上でのSameSite属性の扱いについて触れつつ、最終的にHSTS(HTTP Strict Transport Security)のような注意点を含めて振り返るのに役立てていただければと思います。 前提条件 Cookieについて Cookieの属性について SameSite属性について SameSite属性に関する落とし穴 SameSite属性を指定しなかった場合の挙動 SameSite: Strictでも攻撃が成功するケース 例1: スキームだけ違うケース 例2: サブドメイ
PHPで学ぶ Session の基本と応用 / web-app-session-101-2024
PHPカンファレンス関西2024 の登壇資料です。 Cookie を使った Session 管理について解説しています。
『クッキークリッカー』「現実でクッキー作り12枚RTA」4分切りの大幅更新も、曖昧ルールが急整備され議論起こる。そもそもそれは本当に『クッキークリッカー』のRTAなのか - AUTOMATON
ホーム ニュース 『クッキークリッカー』「現実でクッキー作り12枚RTA」4分切りの大幅更新も、曖昧ルールが急整備され議論起こる。そもそもそれは本当に『クッキークリッカー』のRTAなのか 全記事ニュース
3rd Party Cookieのカレンダー | Advent Calendar 2023 - Qiita
いよいよ 2024 年に開始される Chrome による 3rd Party Cookie の Deprecation。 これはおそらく「Web の歴史上最大の破壊的変更」と思って差し支えない。 一方、そのインパクトに対してエコシステム側に万端の準備が整っているかというと、必ずしもそうとは言えない。 単に「3rd Party Cookie がなくなるから、代わりに何を使えばいいのか」といった浅い知識ではなく、「そもそもなぜ 3rd Party Cookie が無くなるのか?」「行き着く先はどのような Web なのか」について、 25 回に分けて解説を試みる。
かびら(教育系ITエンジニア)@ステックアップ @StechUp_kawa サードパーティークッキー廃止の動きにより、ネット広告業界は大きな変革を迫られそうですね。GoogleのブラウザであるChromeは、サードパーティークッキーの段階的な廃止に取り組んでいるようです。 そもそもサードパーティークッキーとは何か、改めて整理したいと思います。まずWebサイトには、クッキーと呼ばれる簡単なメモ帳のようなものを紐づけることができます。クッキーには簡単なテキストを保存できます。そのクッキーですが、ファーストパーティークッキーとサードパーティークッキーと呼ばれるものが存在します。それぞれ簡単なテキストを保存できるという意味で役割が一緒ですが、使われ方が異なります。 ファーストパーティークッキーは、訪れたWebサイト内だけで使用するメモ帳です。主な用途としては、ユーザーのログイン情報などを記録し
米Googleは4月23日(現地時間)、2024年中に完了する予定だったWebブラウザ「Chrome」でのサードパーティcookieの廃止を延期すると発表した。延期はこれで3度目になる。 延期の理由は「業界、規制当局、開発者からの異なるフィードバックを調整することに関連する課題が継続している」ため。 特に、「プライバシーサンドボックス」の取り組みに懸念を示している英政府競争規制当局の競争・市場庁(CMA)が「業界テストの結果を含むすべての証拠を検討するための十分な時間を確保することが重要」としている。 CMAは1月、Googleに対し、複数の競争関連の懸念が解消されるまで、サードパーティcookie廃止を一時停止するよう命じた(リンク先はPDF)。 CMAによる検討などに引き続き協力することで、プロセスを年内に完了し、合意に達すれば2025年初頭から廃止を進める想定という。 Googleは
Cookie Set-CookieはHTTPのレスポンスヘッダーで、サーバーからユーザーエージェントへクッキーを送信するために使われる。 また、ユーザーエージェントはサーバーに送り返すことができる。 そのため、HTTP サーバーが HTTP ユーザーエージェントに状態を保存するために使用することができる。 Cookieの利用目的 セッション管理 ログイン状態や買い物時のカートの状態など パーソナライズ トラッキング Set-CookieとCookieヘッダ HTTP の Set-Cookie レスポンスヘッダーは、サーバーがユーザーエージェントへ Cookie を送信するために使用します。 HTTP/2.0 200 OK Content-Type: text/html Set-Cookie: yummy_cookie=choco Set-Cookie: tasty_cookie=straw
Intro このエントリは、 3rd Party Cookie Advent Calendar の最終日である。 3rd Party Cookie のカレンダー | Advent Calendar 2023 - Qiita https://qiita.com/advent-calendar/2023/3rd-party-cookie ここまで、 3rd Party Cookie との 30 年に渡る戦いと、 ITP 以降それが Deprecation されるに至った流れ、そして Privacy Sandbox の API について解説してきた。 最終日は、ここまでを踏まえて、来年以降の Web がどうなっていくのかを考えていく。 「Web 史上最大の破壊的変更」の意味 筆者はこのアドベントカレンダーの最初に、これを「Web 史上最大の破壊的変更」と言って始めた。 Web で破壊的変更と言え
クッキーに代わる技術まとめシリーズ第1回「3rd-party cookieのない2年後のアドテックに向けた動きまとめ」からすでに3年経っていますが、3rd-party cookie廃止まではあと1年です。 廃止に向けてPrivacy Sandboxの名前で知られている代替技術は一般公開が進められています。Chromeを利用されている皆様はすでにユーザへの広告機能有効化の告知をご覧になり、「理解した」ボタンを押されたかと思いますが、ここで有効化したものを含めて、主要ブラウザの各種代替APIについて説明したいと思います。 Chromeのターゲティングや計測API有効化承諾画面ちなみにEUでは「理解した」と「設定」ではなく、「Turn it on」と「No Thanks」の選択になっています(しかもボタンの色が同じ)。 それでは2021年のシリーズ第2回の投稿から約2年ぶりとなる今回は、前回ご紹
徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社(現社名:EGセキュアソリューションズ株式会社)設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを開始 – 2004年にKCCS社内ベンチャーとしてWebアプリケーションセキュリティ事業を立ち上げ • 現在 – – – – EGセキュアソリューションズ株式会社取締役CTO https://www.eg-secure.co.jp/
追記 コメントありがとうございます、ご指摘を参考に読みやすくなるように修正しました! はじめに (本記事は初歩的な内容ですが、少なくとも僕は引っかかったので記事化したものです) Cookie に HttpOnly という属性があります。 この HttpOnly を設定することで JavaScript からの直接の参照・操作を禁止することによって、XSS などの手法によって悪意のある第三者から Cookie の内容を見られるのを防止することができます。 ここまでは多くの記事に書いてあるのですが、私は一点ずっと勘違いしていました。 いや、直接値を読み取れないってだけで、API呼び出しとかの時に使えないってわけじゃないんかーーーーーーーーーーい!!! いや、まあそれすらできなかったら何のための Cookie なんですかという話なのでそりゃそうなんですが... ということで見ていきます。 実装例(
Cookieの改訂版仕様 rfc6265bis について、その変更点をざっと眺めていく はじめに SameSite属性 Cookie名プレフィックス (Cookie Name Prefixes) __Secureプレフィックス __Hostプレフィックス 非セキュアなオリジンからの Secure属性の上書きを禁止 nameless cookieの許容 Cookie名、Cookie値の上限長の指定 Expires属性の年が2桁の場合の処理の指定 Max-Age/Expires の上限 その他 今回入らなかった機能 はじめに Cookieの仕様は『RFC 6265: HTTP State Management Mechanism』として標準化されています。 そのCookieの仕様の改訂版が『rfc6265bis』と呼ばれているもので、現在標準化作業が進められいています。"SameSite属性"
Introduction ネット広告業界が2024年に向けてビジネスモデルの再構築を迫られている。ターゲティング(追跡型)広告の配信に使われる「サードパーティー・クッキー」を米グーグルが同年末までに廃止することを決めたからだ。サイトを訪れる個人の特定が難しくなり、精度の高いマーケティングを売りにしてきた広告事業者の収益力が落ち込む可能性がある。グーグルで最高プライバシー責任者(CPO)をつとめるキース・エンライト氏が狙いを語る。(聞き手は中西豊紀)
ウェブサイトをまたいで消費者の閲覧履歴を共有する「サードパーティークッキー」の廃止が迫ってきた。プライバシー保護規制の広がりに押され、米アップルに続いて米グーグルも2024年後半にも自社ブラウザーで機能を止める。ネット広告業界は対応に追われている。各国・地域の規制強化が圧力「あらゆる代替手段を試す動きが広がっている」。博報堂DYホールディングスの西村啓太氏はネット広告業界の混乱ぶりをこう説明
GoogleはChromeでサードパーティーCookieを廃止することを宣言しており、ウェブマーケティングはCookieレスのシステムを整えることが求められています。コードのパフォーマンス診断ソフトを開発するSentryが、実際にサードパーティーCookieを自社サイトから廃止した場合についてまとめています。 We removed advertising cookies, here’s what happened | Product Blog • Sentry https://blog.sentry.io/we-removed-advertising-cookies-heres-what-happened/ Cookieはウェブサイトがウェブブラウザに保存する情報で、サイトを訪れた日時や訪問回数などが記録されています。このCookieのおかげで、IDとパスワードを入力しなくても再び同じサイ
$200K 1 10th birthday 4 abusive ads 1 abusive notifications 2 accessibility 3 ad blockers 1 ad blocking 2 advanced capabilities 1 android 2 anti abuse 1 anti-deception 1 background periodic sync 1 badging 1 benchmarks 1 beta 83 better ads standards 1 billing 1 birthday 4 blink 2 browser 2 browser interoperability 1 bundles 1 capabilities 6 capable web 1 cds 1 cds18 2 cds2018 1 chrome 35 chrome 81
Is Secure Cookie secure? - CookieのSecure属性・__Host-プレフィックス・HSTSを正しく理解しよう - Flatt Security Blog
こんにちは、 @okazu_dm です。 前回の記事 に引き続きCookie関連のセキュリティに関する記事となります。 今回は、Cookieの仕様を定めたRFC6265(https://datatracker.ietf.org/doc/html/rfc6265)自体に含まれるSecure属性の問題点と、その対策について紹介していきます。 CookieのSecure属性自体は前回紹介したSameSite属性と比較してわかりやすいのもあり、かなり知名度が高いと思われますが、Secure属性単体で守れる範囲というのは実は限定的である、という点を本記事では実験も交えて示していきます。 なお、本記事はセキュリティ以外の分野を主業務とするソフトウェアエンジニアを主な想定読者として書いています。 記事内の検証につかったブラウザのバージョン Cookieについて 中間者攻撃の仕組み 実際に中間者攻撃をして
米Google(グーグル)といえば、生成AI(人工知能)やクラウドサービスで派手な技術を打ち出す印象が強い。ただサイバーセキュリティー分野では、派手さはないが実用的な技術やサービスをしばしば発表していて、筆者はひそかに楽しみにしている。以前にも「グーグルがオープンソースソフトウエア(OSS)にお墨付きを与える」という渋いサービスを取り上げたことがある。 そんなグーグルが2024年4月2日(米国時間)、また渋いセキュリティーの新技術を発表した。同社が「デバイス・バウンド・セッション・クレデンシャルズ(DBSC)」と呼ぶ技術である。まだあまり注目されていないが、「クッキー泥棒」ともいうべきサイバー攻撃への対策の決め手になる技術かもしれない。そう感じ、サイバーセキュリティーの専門家に取材することにした。 「ログインできるクッキー」が狙われている クッキー泥棒とは、ユーザーのWebブラウザーに保存
米Google(グーグル)は2024年1月4日から自社ブラウザーChromeのユーザーの1%に対して、「サードパーティークッキー」の利用を無効にするテストを開始した。2024年後半にはサードパーティークッキーを使ったインターネットの行動ターゲティング広告などはほぼ不可能になり始めるだけに、ネット広告業界に変革を迫っている。 ChromeはパソコンのWebブラウザーとして国内外で6割のシェアを占める。使っているChromeでサードパーティークッキーの利用が無効にされている場合、「サードパーティ Cookie の段階的廃止のテストを有効にしています」と表示される。
IIJは、2024年2月7日、ダークパターンやCookie利用における法規制や企業対応をテーマとしたセミナーを開催した。 インターネットが日常生活に必要不可欠で、当たり前に使用するツールとなった現在、消費者は、個人情報を窃取されたり、意図に反した行動を取らされたりしないよう、常に注意しなければいけなくなった。一方で、サイトやサービスを運用する企業側が、プライバシー規制の厳格化と相まって、配慮すべきトピックとなっているのが「ダークパターン」および「Cookieの利用」だ。 本記事では、国内外のダークパターン規制および具体例を紹介するセッションと、ヤマハ発動機やライオンのサイト担当者が登壇したCookieバナー実装がテーマのパネルディスカッションの様子をレポートする。 国内外のダークパターン規制事情、日本でも特定分野やケースで法令違反となることも まずは、「欧米でのダークパターン規制の動向と日
Googleのエンジニアが、ChromeのサードパーティーCookie廃止に向けたスケジュールを公開しました。2024年第1四半期からユーザーの1%でテストを行い、その後第3四半期から段階的に廃止していくとのことです。 Intent to Deprecate & Remove: Third-Party Cookies https://groups.google.com/a/chromium.org/g/blink-dev/c/RG0oLYQ0f2I/m/xMSdsEAzBwAJ 当初の計画では、2022年にサードパーティーCookieを廃止する予定でしたが、独占禁止法違反の疑いが発生したことから2023年末にまで一度延期となり、その後さらに2024年へ延期されていました。2023年5月に「2024年にユーザーの1%でサードパーティーCookieを廃止する実験を開始する」とアナウンスが行われ
サードパーティ―クッキー、いつの間にか焼かれる立場になっていた。クッキーだけに。 な… 何を言っているのか… わからねーと思うが…… - Cybozu Inside Out | サイボウズエンジニアのブログ
ご覧いただきありがとうございます。 涼しくなってきましたが、皆様いかがお過ごしでしょうか? 広告が関係ないシステムはサードパーティクッキーへの影響はないと思っていたので寝耳に水だったのですが、 社内システムにて、サードパーティクッキー規制影響するケースが判明しました。 システムへの影響が大きいことが分かったので、現象および影響についてまとめます。 みなさまの対応状況や誤った記述の指摘など、コメントやSNSコメントなどで教えていただけますと大変参考になります。 サードパーティークッキー概説や規制の経緯はインターネット上に詳しく書かれたものがあるのでそちらを参照してください。 本格化するサードパーティ・クッキー規制 Firefoxではサードパーティクッキー規制がデフォルトでロールアウトされています。 Safariは以前よりサードパーティクッキーを規制していました。Chrome, Edgeでも規
米グーグルは「シークレットモード」に設定したウェブブラウザーの閲覧記録を削除すると明らかにした。秘密モードに設定しても知らないうちに閲覧を追跡されていたとして、ユーザーらが2020年に起こした集団訴訟の和解条件が1日に公開された。 アルファベット傘下グーグルの人気ウェブブラウザー「クローム」で、プライバシーを保護するシークレットモードに設定したユーザーのデータがひそかに収集されていたと原告側は主張。ユーザーはクローム使用時にデータ収集を設定でオフにできるはずだが、広告テクノロジーなどウェブサイトで使われる他のグーグルツールでユーザーのデータを入手していると訴えていた。 グーグルと原告らは昨年12月に和解で合意。サンフランシスコ連邦裁判所への提出書類の詳細によれば、同社はプライベート閲覧を反映する「数十億件」のデータ記録を消去する。ユーザーデータの収集方法やシークレットモード閲覧時にウェブサ
こまけぇ話は置いておいて、BearerとSender-Constrainedの話がHTTP Cookieのところでも出てきたよというお話なのですが、ここを少し補足します。このBearer vs Sender-Constrainedという用語が一番出てくるのがOAuthの文脈です。 文字で読みたい2分間OAuth講座 : (1) The Basic Concepts (2) Bearer and Sender Constrained Tokens - r-weblife Bearer Token : 第1回で説明した地下鉄の切符のようなトークン。所持していれば使えるので、他の人が拾っても使えます。 Sender Constrained Token : 利用者を制限するトークン。飛行機の搭乗券のように、利用者が指定されている、制限されているもの。 概念はこんな感じですが、実装方法は色々なものが
ChromeのサードパーティCookieは結局どうなる? ChromeのサードパーティCookieのサポート廃止は、代替策として考案されたGoogleのアドレッサビリティテクノロジーであるプライバシーサンドボックスがCMA(イギリスの競争・市場庁)の審査を経て、仕様確定するかどうかに影響されます。 今回で3度目の延期となりますが、過去2回と比べると、Googleはもちろんのこと、CriteoやRTB Houseなどの技術協力パートナー、IABのプライバシーサンドボックスのタスクフォース(60社強のアドテク企業が参加)、CMA、ICO、そしてアドテク業界各社など、エコシステムの多くの関係者の努力もあり、プライバシーサンドボックスの技術仕様に関してはかなりのところまで進んでいます。 延期の背景としてはざっくりと以下のような状況になります: Google Ad Manager、GCPなどを中心に
Basecamp disclosed on HackerOne: AWS keys and user cookie leakage...
Basecamp supports uploading SVG pictures as avatars. Apparently, they are converted via an outdated librsvg version at Basecamp's servers. This version contains a vulnerability that allows leakage of the contents of an uninitialized memory block (that is, something is malloced, never initialized, and then used to build the preview image). Since it seems to be performed in the same unix process...
3PCA 8 日目: P3P | blog.jxck.io
Intro このエントリは、3rd Party Cookie Advent Calendar の 8 日目である。 3rd Party Cookie のカレンダー | Advent Calendar 2023 - Qiita https://qiita.com/advent-calendar/2023/3rd-party-cookie 今回は、Cookie2 が失敗した後に、別のアプローチでこの課題に挑んだ P3P を解説する。 P3P (Platform for Privacy Preferences) P3P は W3C では 1997 年頃から作業が始まり、2002 年に 1.0 が Recommendation になっている。 The Platform for Privacy Preferences 1.0 (P3P1.0) Specification (w3.org) https
Intro このエントリは、 3rd Party Cookie Advent Calendar の 3 日目である。 3rd Party Cookie のカレンダー | Advent Calendar 2023 - Qiita https://qiita.com/advent-calendar/2023/3rd-party-cookie 前回は 「Cookie は 区別 と 識別 の用途があり、 区別 だけのユースケースもある」という解説をした。 今回も、もう少し Cookie の性質を振り返っていく。 保存したドメインに自動で送り返す ブラウザは Set-Cookie してきたサイトを覚えておき、そのサイトにアクセスするたびに Cookie ヘッダで自動で送り返すという話だった。 例として、EC サイトにログインし Cookie が振られた場面を考える。 POST /login HTTP
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io
みなさん!どうか!おすすめの!クッキー缶を教えてください!特になければ牛乳1パック消費できるレシピ教えてください
SPAのアプリケーションで、外部のIdPを使ってOpenID Connect によるログイン機能を開発しようと考えています。IDトークンの保存先として、ブラウザのCookieかサーバーのDBに保存するかの2つの案があると思っています。調べた限り、サーバーサイドで持つべきという意見が多いように見えますが、以下のような背景がある中で開発しても、ブラウザのCookieでは持つべきなのではないのでしょうか? - IDトークン自体にも、個人の属性(氏名等)情報は無いことを確認している - サーバーサイドでIDトーク
Chromeのクッキー廃止へ。ブラウザをチェックしてみよう
Apple によるブラウザエンジン規制の緩和 | blog.jxck.io
ついに始まったChromeのサードパーティークッキー段階的廃止、今後どうなる「ネット広告への打撃半端ないのでは」
Google、サードパーティcookie廃止を3度目の延期 年内には実施せず
CookieとWeb Storageの仕様を比較する
3PCA 最終日: 3rd Party Cookie 亡き後の Web はどうなるか? | blog.jxck.io
3rd-party cookieの引退とブラウザのアドテック進出|AD EBiS マーテック研究会
Webアプリケーション開発に潜むリスクのケーススタディ | ドクセル
Cookie の HttpOnly 属性について勘違いしていたこと - Qiita
Cookieの改訂版仕様 rfc6265bis の変更点 - ASnoKaze blog
サードパーティーCookie廃止、最終期限は2024年 Googleが描くシナリオ - 日本経済新聞
サードパーティークッキー廃止へ ネット広告効果半減も - 日本経済新聞
サードパーティーCookieが廃止されたらウェブマーケティングはどのように変化するのか?
Fighting cookie theft using device bound sessions
Googleが渋いセキュリティー新技術、「クッキー泥棒」対策の決め手になるか
Googleがついに始めたサードパーティークッキー「段階的廃止」、ネット広告に衝撃
企業が避けるべき「8つのダークパターン」と「Cookieバナー実装」、IIJが説明 (1/3)
GoogleがサードパーティーCookie廃止へのスケジュールを公開、2024年スタート予定
シークレットモード閲覧記録、グーグル数十億件削除へ-集団訴訟和解
TokenでもCookieでもBearer vs Sender-Constrained の概念を覚えよう|ritou
さまよえるサードパーティCookieとオープンインターネットは何処へ
「Google Chrome」のサードパーティCookie廃止は延期 ~2024年内の非推奨化を断念/来年へ持ち越しへ
「Google Chrome」で全体の1%にだけ先行開放中の「トラッキング保護」を試す方法/サードパーティCookieのサポート終了(3PCD)に備えよう【1月24日追記】【やじうまの杜】
3PCA 3 日目: 自動で送られる Cookie | blog.jxck.io