BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース Safariに搭載されたAppleのIntelligent Tracking Preventionはどのように動作するのか

Safariに搭載されたAppleのIntelligent Tracking Preventionはどのように動作するのか

ブックマーク

原文(投稿日:2018/06/14)へのリンク

AppleのWebブラウザの最新リリースであるSafari 12には、サードパーティによるクッキーなどを使ったWebユーザの追跡を制限する、“Intelligent Tracking Prevention”(ITP) 2.0が搭載される予定である。

オープンソースのWebブラウザエンジンであるWebKitは、Safariを含む多くのmacOS、iOS、Linux用アプリで使用されている。WebKitの備えるITP機能は、Webページリソースのロードと、“タップ、クリック、テキスト入力”などのユーザ操作に関する統計情報を収集する。収集した統計情報は、プライベートに定義されたドメイン毎、あるいはeTLD+1毎のバケットに収められる。eTLDは“effective Top Level Domain”の略で、代表的な基本WebサイトのURLで構成される。例えばsocial.co.ukはeTLD+1だが、sub.social.co.uk(eTDL+2)やco.uk(eTLDのみ)はそうではない。WebKitブログによると、ユーザのクロスサイト追跡機能を備えたトップレベルのプライベート制御されたドメインの分類には、収集した統計情報に基づいたマシンラーニングモデルが使用されている。データの収集と分析は、すべてデバイス上で行なわれる。

TLDがユーザのクロスサイト追跡機能を持つと判断された場合、ITPバージョン1.0および1.1では、いくつかの予防策が実施されていた。ユーザがあるサイト、例えば“example.com”に過去30日アクセスしなかった場合、example.com Webサイトのデータとクッキーは直ちに削除されると同時に、新たに追加されたデータも引き続き削除される。しかし、ユーザがexample.comをトップドメイン、いわゆるファーストパーティドメインとしてアクセスすると、ITPはそれをユーザがそのWebサイトに関心を持っているシグナルであると判断して、その動作を一時的に、以下のタイムラインに示すようなものに調整する。

ITP 1.1 cookie timeline

ITP 1.0と1.1では、ユーザが過去24時間以内にexample.comにアクセスしていれば、example.comからのリソースが要求された、あるいはサードパーティとして埋込まれた場合にクッキーを使用することができる。WebKitブログの説明では、これによって“私のXアカウントでYにサインインする”というログインシナリオが可能になっていた。これはつまり、ユーザが保持するのは実際にアクセスしたサイトからの永続的なクッキーとWebサイトデータのみであり、トラッキングデータはWebブラウズによって積極的に削除される、ということだ。

ユーザが過去30日以内にexpample.comにアクセスしたが、24時間アクセスしていない場合、example.comのクッキーは保持されるが、“パーティション化(partitioned)”される。パーティション化とは、サードパーティに対して、プライベート管理されたトップドメインないしTLD+1毎にユニークかつ分離されたストレージが割り当てられる、という意味だ。例えばaccount.example.comとwww.example.comは、同じパーティションexample.comを共有する。これによってユーザは、時々訪れるサイトにもログインしたままで、クロスサイトトラッキングにクッキーが使用されるのを制限することが可能になる。

ITP 2.0では、24時間というクッキーアクセスウィンドウが廃止された。認証された埋込み機能は、Storage Access APIを通じてのみ、ファーストパーティのクッキーにアクセスすることができる。さらにITP 2.0では、サードパーティのコンテンツも、コメントの書き込みやビデオ再生など、ユーザが実際にコンテンツを使用している時のみ、ユーザを識別可能なように制限された。これはまた、Safariがユーザの許可(ウィジェットがクッキー参照の許可を要求する場合)を求めるポイントでもある。

ITP 2.0 cookie timeline

ITP 2.0はさらに、ドメインが“ファーストパーティ・バウンストラッカ”として使用されたことを検出する機能も備えている。これは純粋にナビゲーションのリダイレクトを通じてユーザを追跡するもので、サードパーティのコンテンツプロバイダとして使用されることはないが、ソーシャルメディアサイトの提供する短縮リンクでしばしば用いられている。トラッキング対策としてはその他に、複数のサイトが共謀してユーザを特定しようとするトラッカの共謀(tracker collusion)の防止や、ユーザの操作を伴わないドメインに対する参照をオリジンのみに制限する、すなわち、サードパーティの要求による情報参照をそのページのオリジンのみにダウングレードする( “https://store.example/baby/strollers/deluxe-stroller-navy-blue.html” の参照は、単に“https://store/example/”になる)機能などが含まれている。

現在は、macOS High Sierra用にSafari Technology Preview リリース 58がダウンロード提供されている他、macOS Mojaveベータ版にも含まれている。

 
 

この記事を評価

採用ステージ
スタイル
 
 

この記事に星をつける

おすすめ度
スタイル

BT