ユーザーのプライバシーを守る視点から考えると問題がある「サードパーティーCookie」について、Googleは3度にわたって廃止の計画を進めましたがうまくいかず、2024年7月に計画を撤回しました。しかし、ウェブの標準化団体であるW3Cは、改めて「サードパーティーCookieは削除されるべきである」という見解を示しました。 Third-party cookies have got to go | 2024 | Blog | W3C https://www.w3.org/blog/2024/third-party-cookies-have-got-to-go/ Third Party Cookies Must Be Removed https://www.w3.org/2001/tag/doc/web-without-3p-cookies/ 「サードパーティーCookie」とは「あるサイトに

Intro Ladybird は、他のブラウザエンジンをフォークせず、企業との取引に頼らず、寄付だけで作ることを宣言した新しいブラウザエンジンだ。 Ladybird https://ladybird.org/ これがいかに価値のある取り組みなのか、 Web を漫然と眺めてきた筆者による N=1 の妄言を書いてみる。 ブラウザエンジンとは ブラウザは、「ブラウザ UI」と「ブラウザエンジン」と、大きく二つの構成要素に分けて考えることができる。 ブラウザエンジンとは、いわゆる Web 標準の技術を片っ端から実装した、ブラウザの土台となるものだ。 ビルドすれば、入力した URL からネットワーク経由でリソースを取得し、パースしてレンダリングして表示できる。そのための IETF RFC や WHATWG HTML や ECMAScript が実装されている、標準技術の結集だ。 その上に、例えばタブ

Googleの「Topics API」- プライバシーサンドボックスで今後のターゲティングがどう変わるのか？ 数十年前からオンラインの世界ではほぼ不可欠と言っても過言ではないサードパーティCookieは、幕を閉じる時間が刻一刻と近づいています。 現在、GoogleはすでにChromeブラウザ経由のウェブトラフィックの1%からサードパーティCookieを削除しており、今年の第3四半期からChromeブラウザでサードパーティCookieが完全にサポートされなくなる予定です。 このことはもちろんデジタルマーケティング担当者にとって大きな挑戦を意味しています。 リターゲティングなどというCookieを活用している従来の手法が利用できなくなり、こうして生じるであろうギャップをどのように埋めるかという課題に直面しています。 ChromeのサードパーティCookie廃止の影響に対処するべく、Google

多数の延期と不確実性を経て、グーグルはついに、リターゲティング広告の中核であるサードパーティ・クッキーの段階的廃止を本格的に開始した。 世界が新年を迎えた直後、2024年1月4日に、Googleは、Chromeブラウザのユーザーの1%を対象に、サードパーティCookieの制限を開始したと発表した。 これは一見、広大な海の中の一滴に過ぎないと感じるかもしれません。 しかし、実際には、これはかなり重要なマイルストーンなのです。 この取り組みは、Chromeの32億人のユーザーベースの約1%に相当する約3,200万人に影響を与えるだけではない。 FirefoxやSafariのようなChromeのライバル（プライバシーを最優先事項としているBraveやTorのようなブラウザは言うまでもない）は、既に結構前からデフォルトでサードパーティCookieをブロックしている。 そのため、世界で最も人気のある

Googleはインターネット上でユーザーが何を買い、どんなウェブサイトを閲覧したのかなどの情報を追跡するサードパーティーCookieに代わるユーザーの行動を追跡するための仕組みとして、「Topics API」を導入しました。Topics APIは2023年7月にリリースされたGoogle Chrome 115から利用されているのですが、これは手動で簡単に無効化することが可能ということで、その手順をチェックしてみました。 How to disable Chrome’s new targeted ad tracking - The Verge https://www.theverge.com/23860050/chrome-ads-topics-sandbox How to Disable Google Ad Tracking in Chrome's Privacy Sandbox https

Googleが新たなウェブ標準として、Web Environment Integrity(WEI)の策定を進めています。WEIは「信頼できる第三者が正当な利用者であることを認証する仕組み」で、認証していない人をウェブの世界から追い出すものだとしてVivaldiブラウザの開発元が公式ブログで批判しました。 Unpacking Google’s new “dangerous” Web-Environment-Integrity specification https://vivaldi.com/blog/googles-new-dangerous-web-environment-integrity-spec/ WEIがどんな仕組みなのかは以下の記事で詳しく解説しています。 Google従業員が「信頼できる第三者」による認証でBotや改造ブラウザを排除して「健全なインターネット」を作るべく新たな

【セキュリティチームブログリレー2回目】 こんにちは。エンジニアリンググループの山本です。 セキュリティチームは、エンジニアリンググループ全体のセキュリティを向上させるためのバーチャルチームなのですが、各プロダクト開発チームのサービスをチェックして、協力しながら全体のセキュリティを向上させていくのがミッションです。 そのお仕事の一環として「この部分、セキュリティヘッダが足りないから入れてください！」というやりとりを日常的に行なっています。 今日はこの「セキュリティヘッダ」というものが一体何なのか、今さら人に聞けないアレコレを取りまとめてみたいと思います。 セキュリティヘッダ警察の日常の図(もちろん冗談です) セキュリティヘッダ そもそもセキュリティヘッダとは？ 比較的安全なセキュリティヘッダ X-Content-Type-Options X-XSS-Protection Strict-Tr

Cache Storageがめちゃくちゃ肥大化する問題 TBSのニュースサイト、TBS NEWS DIGがめちゃくちゃブラウザのストレージを消費しているという話がはてブや増田で話題になっています。 TBSのニュースサイトヤバない？ – はてな匿名ダイアリー 同・はてなブックマーク 確かに、手元でも同様の状況を観測できる。 当該サイトのストレージ使用状況 はたして、これは真実なのだろうか。本当に1.4GBも食うことがあるのだろうか…… そんなわけない、ということで調査 まずは再現性を確認するためにChromeのゲストモードで当該のサイトのDevtoolを開いてましょう。すると、StorageのUsageは386MBになっていました。（適当なページを開き、リロードした時点で340MB程度であった） 当該サイトのストレージ割合 上記のスクリーンショットをよく見ていただけるとわかると思いますが、こ

サマリ CookieやlocalStorage等でセッション管理しているウェブサイトがクリックジャッキング対策していない場合、どの条件で被害を受けるかを説明する。SameSite属性のないCookieでセッション管理しているウェブサイトは、主要ブラウザのデフォルト設定ではクリックジャッキングの影響を受けない。一方、loaclStorageにトークン類を格納するウェブサイトでは、Google Chrome等のブラウザでクリックジャッキングの影響がある。また、ブラウザの設定を変更した場合の影響についても説明する。 クリックジャッキングとは クリックジャッキングとは、一言で説明すると「ウェブサイト利用者に意図しないクリック（タップ）をさせる」攻撃です。ウェブサイト上で意図しないクリックを勝手にさせられると、重大な結果になる場合があります。例えば、このURLを閲覧すると、以下のようにTwitter

ウェブサイトはユーザーが後日アクセスしてきたときに識別できるようCookieを利用しており、閲覧履歴に基づいて広告が表示されます。しかし、FirefoxなどにはCookieをブロックして追跡させないようにする保護機能が搭載されていることから、Cookieの代わりとして用いられるようになってきているのが「フィンガープリント」です。この「フィンガープリント」はCookieを防いでいた手法が通用せず、タチが悪い存在だと開発者のbitestring氏が指摘しています。 Web fingerprinting is worse than I thought - Bitestring's Blog https://www.bitestring.com/posts/2023-03-19-web-fingerprinting-is-worse-than-I-thought.html bitestring氏は

認証情報や秘密の質問、そのほか貴重な情報を執拗につけ狙うサイバー犯罪者たちは、ユーザーを騙すための手口を次から次へと考えつきます。このような手口がどれほど巧妙になろうとも、犯罪者たちは常にユーザーの気の緩みを狙っていることを忘れないでください。フィッシング被害に遭わないためには、何よりもまず、認証情報を入力するよう求めてきたWebサイトのアドレスなど、細かいところに注意を払うことです。 少なくとも、ほとんどの場合にこれがあてはまります。しかし本日お話ししたいのは、これらとは手口が違う攻撃についてです。WebサイトのURLが正しく、安全に見える場合があります。この攻撃についてご説明します。 フィッシングサイトのアドレスにはなぜ誤りがあるのか アドレスバーに表示されるドメインアドレスというのはどれも、そのWebサイトのオーナーに割り当てられた固有のものです。Webサイトを作るときに真っ先に必要

Chromeの開発者ツールで地味に好きな機能はこれ。 「広告フレームをハイライト表示する」 サイト内の広告を赤く表示してくれます。いろんなサイトが広告を巧みに混ぜ込んでいるので面白いですよ！ https://t.co/IFrHpHGl00

作成日 2022-12-30 更新日 2022-12-30 author @bokken_ tag Web, Privacy, Security, Cookie はじめに 3rd Party Cookie をブロックする制限を緩和するための仕様である CHIPS が策定されている。¶ 近年、ユーザの Privacy の向上を目的として 3rd Party Cookie をブロックする流れがある。cross site でユーザトラッキングを提供する多くのツールは 3rd Party Cookie を使っているため、3rd Party Cookie をブロックすることで解決しようとするものだ。すでにいくつかのブラウザではこういった動きが見られる(Firefox, Safari)。¶ しかし、一部のサイトでは 3rd Party Cookie が有効に使われているケースもある。こういったケースで

2024/08/21更新 Twitterの邪魔な要素や見たくないワードが含まれるツイートなどを削除するルールを紹介しています。 「！」はメモなのであってもなくてもOK。 uBlock Originのマイフィルターにコピペ適用すれば完了です。Adguardでは未確認ですが、ほとんどのルールは動作すると思います。 ホーム おすすめユーザーを非表示 「新しいリストを見つける」を非表示 「コミュニティを探す」を非表示 サイドバーの「いまどうしてる？」「スペース」「認証を受ける」「おすすめユーザー」「関連性の高いアカウント」を非表示 一瞬の表示すら目障りな人用 サイドバーから「Grok」「コミュニティ」「プレミアム」を非表示 「おすすめ」と「フォロー中」のタブを非表示 トレンド トレンドをワード指定して非表示 トレンドの順位を非表示 トレンド要素以外を非表示 ニュースやスポーツなどのタブを非表示 ツ