AppleはSafariがサードパーティのCookieを完全にブロックするようになったと発表しました。これはChromeを超えるマイルストーンです。
目次(クリックしてジャンプ)
Intelligent Tracking Prevention
Appleはこの機能を Intelligent Tracking Prevention(トラッキング防止機能)と呼んでいます。これは、サードパーティのCookieをブロックする一方で、ユーザーが支払い設定、購読、コメントウィジェットなどのサービスや機能を選択している場合は、クロスサイトCookieへのアクセスを許可しています。
この方法では、ユーザーは、ユーザーがサイトからサイトへの追跡を望んでいない広告サイトからのサードパーティCookieをブロックしながら、ユーザーはまだPayPalのような支払い方法を利用することができます。
Safariがこれを実現する方法は、ストレージアクセスAPIと呼ばれる2017年に導入された技術を使用することです。ストレージアクセスAPIを利用することで、ユーザーはソーシャルメディアサイトにログインして、例えば「いいね!」やコメント機能を利用することができるようになります。
任意のCookieアクセスをしない
Storage Access APIは、ランダムな第三者がブロッキングを回避することはできません。規格の開発に携わっているW3Cプライバシーコミュニティグループによると、下記のようにコメントしている
Storage Access APIは、任意の第三者にCookieアクセスを付与することを意図していません。ユーザーがファーストパーティとしても積極的に使用しているサードパーティ、つまりユーザーが認識して使用しているウェブサイトへのCookieアクセスを付与することのみが意図されています。…Storage Access APIは、シングルサインオン、クロスサイトサブスクリプションサービス、および統合されたログインと競合していません。
つまり、FacebookやPayPalにサインインしている場合、ユーザーがサインインしているファーストパーティのサイトに関連するサービスは通常通り利用できます。
ブロックされるのは、ユーザーがオプトインしていないサードパーティのサイトのみです。
ユーザーがサービスにサインインしていない場合は、ユーザーにサインインしてタスクを実行するように促すポップアップを生成することができます。
発表では、3つの重要なメリットを挙げています。
- サードパーティのリクエストを介したウェブサイトに対するクロスサイトリクエストフォージェリ攻撃を無効化する。
- 補助的なサードパーティドメインを使用してユーザーを識別する機能を削除します。このような設定では、ユーザーが最初のサードパーティのウェブサイトのデータを削除した場合でも ID を保持してしまう可能性があります。
- 開発者の作業が簡単になりました。これで可能な限り簡単になりました。サードパーティとしてCookieアクセスが必要な場合は、Storage Access APIを使用します。
SafariがChromeのプライバシーを打ち負かす
Chromeブラウザの完全なサードパーティブロックは2年後の2022年まで予定されていません。サードパーティブロッキングに関しては、Googleの方がAppleよりも多くの利害関係があります。Googleの収益は、行動広告(別名不気味な広告)を促進するために、サードパーティのCookieに依存している。
おそらく、人々がGoogleの不気味な広告と呼ぶものは、デフォルトでオンになっているSafariのサードパーティCookieブロックでは、サイトからサイトへとユーザーを追跡することはできません。
SafariはGoogleアナリティクスをブロックするのか
AppleはGoogleアナリティクスに特化したガイダンスを提供していませんでした。しかし、Googleアナリティクスはユーザーがファーストパーティとしてオプトインしていないサードパーティであるため、おそらくGoogleアナリティクスのCookieはブロックされる可能性があります。これはテストする必要があるでしょう。
発表の全文はこちらからお読みください。
Full Third-Party Cookie Blocking and More
【英語】