BT

Safariに搭載されたAppleのIntelligent Tracking Preventionはどのように動作するのか

| 作者: Daniel Bryant フォローする 699 人のフォロワー , 翻訳者 h_yoshida _ フォローする 1 人のフォロワー 投稿日 2018年7月23日. 推定読書時間: 4 分 |

原文(投稿日:2018/06/14)へのリンク

AppleのWebブラウザの最新リリースであるSafari 12には、サードパーティによるクッキーなどを使ったWebユーザの追跡を制限する、“Intelligent Tracking Prevention”(ITP) 2.0が搭載される予定である。

オープンソースのWebブラウザエンジンであるWebKitは、Safariを含む多くのmacOS、iOS、Linux用アプリで使用されている。WebKitの備えるITP機能は、Webページリソースのロードと、“タップ、クリック、テキスト入力”などのユーザ操作に関する統計情報を収集する。収集した統計情報は、プライベートに定義されたドメイン毎、あるいはeTLD+1毎のバケットに収められる。eTLDは“effective Top Level Domain”の略で、代表的な基本WebサイトのURLで構成される。例えばsocial.co.ukはeTLD+1だが、sub.social.co.uk(eTDL+2)やco.uk(eTLDのみ)はそうではない。WebKitブログによると、ユーザのクロスサイト追跡機能を備えたトップレベルのプライベート制御されたドメインの分類には、収集した統計情報に基づいたマシンラーニングモデルが使用されている。データの収集と分析は、すべてデバイス上で行なわれる。

TLDがユーザのクロスサイト追跡機能を持つと判断された場合、ITPバージョン1.0および1.1では、いくつかの予防策が実施されていた。ユーザがあるサイト、例えば“example.com”に過去30日アクセスしなかった場合、example.com Webサイトのデータとクッキーは直ちに削除されると同時に、新たに追加されたデータも引き続き削除される。しかし、ユーザがexample.comをトップドメイン、いわゆるファーストパーティドメインとしてアクセスすると、ITPはそれをユーザがそのWebサイトに関心を持っているシグナルであると判断して、その動作を一時的に、以下のタイムラインに示すようなものに調整する。

ITP 1.1 cookie timeline

ITP 1.0と1.1では、ユーザが過去24時間以内にexample.comにアクセスしていれば、example.comからのリソースが要求された、あるいはサードパーティとして埋込まれた場合にクッキーを使用することができる。WebKitブログの説明では、これによって“私のXアカウントでYにサインインする”というログインシナリオが可能になっていた。これはつまり、ユーザが保持するのは実際にアクセスしたサイトからの永続的なクッキーとWebサイトデータのみであり、トラッキングデータはWebブラウズによって積極的に削除される、ということだ。

ユーザが過去30日以内にexpample.comにアクセスしたが、24時間アクセスしていない場合、example.comのクッキーは保持されるが、“パーティション化(partitioned)”される。パーティション化とは、サードパーティに対して、プライベート管理されたトップドメインないしTLD+1毎にユニークかつ分離されたストレージが割り当てられる、という意味だ。例えばaccount.example.comとwww.example.comは、同じパーティションexample.comを共有する。これによってユーザは、時々訪れるサイトにもログインしたままで、クロスサイトトラッキングにクッキーが使用されるのを制限することが可能になる。

ITP 2.0では、24時間というクッキーアクセスウィンドウが廃止された。認証された埋込み機能は、Storage Access APIを通じてのみ、ファーストパーティのクッキーにアクセスすることができる。さらにITP 2.0では、サードパーティのコンテンツも、コメントの書き込みやビデオ再生など、ユーザが実際にコンテンツを使用している時のみ、ユーザを識別可能なように制限された。これはまた、Safariがユーザの許可(ウィジェットがクッキー参照の許可を要求する場合)を求めるポイントでもある。

ITP 2.0 cookie timeline

ITP 2.0はさらに、ドメインが“ファーストパーティ・バウンストラッカ”として使用されたことを検出する機能も備えている。これは純粋にナビゲーションのリダイレクトを通じてユーザを追跡するもので、サードパーティのコンテンツプロバイダとして使用されることはないが、ソーシャルメディアサイトの提供する短縮リンクでしばしば用いられている。トラッキング対策としてはその他に、複数のサイトが共謀してユーザを特定しようとするトラッカの共謀(tracker collusion)の防止や、ユーザの操作を伴わないドメインに対する参照をオリジンのみに制限する、すなわち、サードパーティの要求による情報参照をそのページのオリジンのみにダウングレードする( “https://store.example/baby/strollers/deluxe-stroller-navy-blue.html” の参照は、単に“https://store/example/”になる)機能などが含まれている。

現在は、macOS High Sierra用にSafari Technology Preview リリース 58がダウンロード提供されている他、macOS Mojaveベータ版にも含まれている。

 
 

この記事を評価

採用ステージ
スタイル
 
 

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT