Google Chrome SameSite cookie ポリシー

Googleは、2020年初頭にリリースされる予定の Chrome 80 以降のユーザーに対し、デフォルトで新しい Cookie ポリシーの適用を開始します。この記事では、新しい SameSite cookie ポリシーに関して知っておく必要のあるすべてと、その方法について説明します Adobe Target は、これらのポリシーをサポートし、使用する方法を示しています。 Target Google Chrome の新しい SameSite cookie ポリシーに準拠するため。

Chrome 80 以降、web 開発者は、web サイトをまたいで機能する cookie を明示的に指定する必要があります。これは、Googleが web 上のプライバシーとセキュリティを改善するために予定している、多くのお知らせの一つ目です。

Facebook がプライバシーとセキュリティに関して苦境に立っている事実を踏まえ、Apple に加え、Google など他の主要企業は、迅速にこの機会を利用して、プライバシーとセキュリティのリーダーとしての新しい地位を確立しました。Apple は先陣を切り、今年初めの ITP 2.1 や最近の ITP 2.2 を通じて Cookie ポリシーの変更を発表しました。ITP 2.1 では、Apple はサードパーティ Cookie を完全にブロックし、ブラウザーで作成された Cookie を 7 日間のみに保持します。ITP 2.2 では、Cookie は 1 日のみ保持されます。Googleの発表は、Appleの発表ほど積極的ではありませんが、同じ目標を達成するための第一歩です。 Apple の方針について詳しくは、 Apple インテリジェント・トラッキング防止機能(ITP)2.x を参照してください。

Googleの cookie ポリシーに対する変更点に取り組む前に、cookie の概要と使用方法について説明します。 簡単に言えば、cookie とは、ユーザー属性を記憶するために使用される、web ブラウザーに保存される小さなテキストファイルです。

Cookie は、Web 閲覧時のユーザーエクスペリエンスを向上させるので、重要です。 例えば、e コマース Web サイトで買い物をしていて、買い物かごに何かを追加しても、その訪問でログインしたり購入しない場合、Cookie は品目を記憶し、次回の訪問用に買い物かごに入れておきます。 あるいは、お気に入りのソーシャルメディア web サイトを訪問するたびに、ユーザー名とパスワードを再入力する必要がある場合を考えてみてください。Cookie は、サイトが自分を識別するのに役立つ情報を保存するので、この問題も解決します。この種の cookie は、訪問した web サイトで作成および使用されるので、ファーストパーティ Cookie と呼ばれます。

また、サードパーティ Cookie も存在します。これらをよりよく理解するために、次の例を考えてみましょう。

例えば、「友人」と呼ばれる仮のソーシャルメディア会社が「共有」ボタンを提供し、他のサイトが実装して、友人ユーザーが友人フィードでサイトのコンテンツを共有できるようにするとします。 これで、ユーザーは「共有」ボタンを使用しているニュース Web サイトのニュース記事を読み、それをクリックして、自分の友達アカウントに自動的に投稿するようになりました。

これを実現するために、ブラウザーはニュース記事が読み込まれたときに platform.friends.com から「友達と共有」ボタンを取得します。このプロセスでは、ブラウザーは、ユーザーのログイン資格情報を含む Friends Cookie を Friends サーバーにリクエストに添付します。これにより、Friends は、ユーザーがログインしなくても、そのユーザーに代わってフィードにニュース記事を投稿できます。

これはすべて、サードパーティ Cookie を使用することで可能になります。この場合、サードパーティ Cookie は次の用にブラウザーに保存されます。 platform.friends.comでは、 platform.friends.com は、ユーザーに代わって Friends アプリで投稿を作成できます。

サードパーティ Cookie を使用せずにこの使用例を実現する方法を考えた場合、ユーザーは手動で多くの手順を実行する必要があります。まず、ユーザーはニュース記事へのリンクをコピーする必要があります。次に、ユーザーは別々に Friends アプリにログインする必要があります。次に、「投稿を作成」ボタンをクリックします。その後、ユーザーはテキストフィールドにリンクをコピーして貼り付け、最後に「投稿」をクリックします。ご覧のように、サードパーティ Cookie は手動の手順を大幅に減らすことができるので、ユーザーエクスペリエンスを非常に助けます。

より一般的に、サードパーティ Cookie を使用すると、ユーザーが Web サイトに明示的にアクセスしなくても、ユーザーのブラウザーにデータを保存できます。

セキュリティ上の問題

Cookie はユーザーエクスペリエンスと強力な広告を強化しますが、クロスサイトリクエストフォージェリー(CSRF)攻撃などのセキュリティの脆弱性の原因となる可能性もあります。例えば、ユーザーが銀行サイトにログインしてクレジットカードの請求を支払い、ログアウトせずにサイトを離れ、同じセッションで悪意のあるサイトを閲覧すると、CSRF 攻撃が発生する可能性があります。悪意のあるサイトには、ページの読み込み時に実行されるバンキングサイトに対して要求を行うコードが含まれている場合があります。ユーザーは依然としてバンキングサイトに対して認証されているので、セッション cookie を使用して CSRF 攻撃を開始し、ユーザーの銀行口座から資金移動イベントを開始することができます。 これは、サイトを訪問するたびに、HTTP リクエストにすべての Cookie が添付されるからです。これらのセキュリティ上の問題のため、Google では現在、これらの問題を軽減しようとしています。

とはいえ、どうやって Target は cookie を使用します。 Target を使用するには、まずサイトに Target JavaScript ライブラリをインストールする必要があります。これにより、ファーストパーティ Cookie をサイトの訪問者のブラウザーに配置できます。ユーザーが Web サイトを操作する際に、ユーザーの行動と興味のデータをに渡すことができます。 Target JavaScript ライブラリを使用する。 The Target JavaScript ライブラリは、ファーストパーティ cookie を使用して、ユーザーに関する識別情報を抽出し、ユーザーの行動と興味データにマッピングします。 このデータは、Target がパーソナライゼーションアクティビティの強化に使用します。

Target も(場合によっては)サードパーティ Cookie を使用します。異なるドメインに存在する複数の web サイトを所有し、それらの web サイトをまたいでユーザージャーニーを追跡する場合、クロスドメイントラッキングを活用してサードパーティ Cookie を使用できます。Target JavaScript ライブラリでクロスドメイントラッキングを有効にすると、お使いのアカウントはサードパーティ Cookie の使用を開始します。ユーザーがドメイン間をホップすると、ブラウザーは Target のバックエンドサーバーと通信し、このプロセスでサードパーティ Cookie が作成され、ユーザーのブラウザーに配置されます。 ユーザーのブラウザー上に存在するサードパーティ Cookie を通じて、 Target は、1 人のユーザーに対して、異なるドメイン間で一貫したエクスペリエンスを提供できます。

Googleでは、ユーザーを保護するために、サイト間で Cookie が送信される際の保護を提供するため、Set-Cookie ヘッダーの SameSite 属性コンポーネントで cookie を管理する必要がある、SameSite と呼ばれる IETF 標準のサポートを追加する予定です。

Strict、Lax または None の 3 つの異なる値を SameSite 属性に渡すことができます。

説明
Strict
この設定を含む cookie には、最初に設定されたドメインへの訪問時にのみアクセスできます。つまり、Strict は、サイト全体で cookie の使用を完全にブロックします。このオプションは、銀行など、高いセキュリティを必要とするアプリケーションに最適です。
Lax
この設定を含む cookie は、同じサイトのリクエストまたは非べき等 HTTP リクエストを含むトップレベルナビゲーション(HTTP GET など)に対してのみ送信されます。したがって、このオプションは、サードパーティが Cookie を利用可能な場合に使用されますが、CSRF 攻撃による被害からユーザーを保護するというセキュリティ上の利点もあります。
None
この設定を含む Cookie は、現在機能する Cookie と同じように機能します。

上記を念頭に置いて、Chrome 80(およびそれ以降)では、「SameSite by default cookies」と「Cookies without SameSite must be secure」の 2 つの独立した設定が導入されます。Chrome 80 では、これらの設定がデフォルトで有効になります。

SameSite ダイアログボックス

  • SameSite by default cookies:設定すると、SameSite 属性を指定していないすべての cookie が自動的に強制的に使用されます SameSite = Lax.
  • Cookies without SameSite must be secure:SameSite 属性のない cookie、または SameSite = Noneセキュアである必要があります。セキュアとは、このコンテキストでは、すべてのブラウザーリクエストが HTTPS プロトコルに従う必要があることを意味します。この要件に準拠しない cookie は拒否されます。この要件を満たすには、すべての web サイトで HTTPS を使用する必要があります。

TargetGoogle のセキュリティのベストプラクティスに従う

Adobe時には、常に業界の最新のセキュリティおよびプライバシーベストプラクティスをサポートしたいと考えています。 そこで、Target は、Google で導入された新しいセキュリティとプライバシーの設定をサポートします。

「SameSite by default cookies」設定の場合、Target は引き続きパーソナライゼーションを配信し、ユーザーに影響は与えず、ユーザーによる介入も不要です。Target Google Chrome によってフラグ SameSite = Lax が適用されるので、 はファーストパーティ cookie を使用し、引き続き適切に機能します。

「Cookies without SameSite must be secure」オプションで、Target のクロスドメイントラッキング機能をオプトインしない場合、 Target が引き続き機能します。

ただし、複数のドメインをまたいで Target を活用するクロスドメイントラッキングの使用をオプトインしている場合、Chrome (およびそれ以降)でサードパーティ cookie で使用するには SameSite = None およびセキュアフラグが必要です。これは、サイトで HTTPS プロトコルを使用する必要があるということを意味します。Target のクライアントサイドライブラリは自動的に HTTPS プロトコルを使用し、Target のサードパーティ cookie に SameSite = None およびセキュアフラグを追加して、すべてのアクティビティが引き続き配信されるようにします。

必要なアクション

Target が Google Chrome 80 以降のユーザーに対しても引き続き動作するために必要な手順を理解するには、以下の表を参照してください。次の列が表示されます。

  • Target JavaScript ライブラリ:サイトで at.js 1.x または at.js 2.x を使用している場合。
  • SameSite by default cookies = 有効:訪問者が「SameSite by default cookies」を有効にしている場合、どれくらい影響を及ぼすか、および Target を引き続き機能させるためにすべきことがあるか。
  • Cookies without SameSite must be secure = 有効:訪問者が「Cookies without SameSite must be secure」を有効にしている場合、どれくらい影響を及ぼすか、および Target を引き続き機能させるためにすべきことがあるか。
Target JavaScript ライブラリ
SameSite by default cookies = 有効
Cookies without SameSite must be secure = 有効
at.js 1.x、ファーストパーティ cookie 使用。
影響なし。
クロスドメイントラッキングを使用していない場合は影響はありません。
at.js 1.x、クロスドメイントラッキング有効。
影響なし。
サイト用に HTTPS プロトコルを有効にする必要があります。
Target はサードパーティ Cookie を使用してユーザーを追跡し、Googleはサードパーティ Cookie に SameSite = None とセキュアフラグ。 Secure フラグを使用するには、サイトで HTTPS プロトコルを使用する必要があります。
at.js 2.x
影響なし。
影響なし。

Target で必要な手順は何ですか?

新しいGoogle Chrome 80 以降の SameSite cookie ポリシーに準拠するには、プラットフォームで必要な手順は何でしたか?

Target JavaScript ライブラリ
SameSite by default cookies = 有効
Cookies without SameSite must be secure = 有効
at.js 1.x、ファーストパーティ cookie 使用。
影響なし。
クロスドメイントラッキングを使用していない場合は影響はありません。
at.js 1.x、クロスドメイントラッキング有効。
影響なし。
at.js 1.x、クロスドメイントラッキング有効。
at.js 2.x
影響なし。
影響なし。

HTTPS プロトコルを使用してに移行しない場合、どのような影響がありますか?

影響を受ける唯一の使用例は、Target で、at.js 1.x を通じてクロスドメイントラッキングを使用している場合です。当社が使用するサードパーティ Cookie は Google によって破棄されるので、Google の要件である HTTPS に移行しない場合は、ドメインをまたいだユニーク訪問者数が急増します。また、サードパーティ Cookie は破棄されるので、Target は、ユーザーがドメイン間を移動すると、そのユーザーに対して一貫性のあるパーソナライズされたエクスペリエンスを提供できなくなります。サードパーティ Cookie は、主に、所有するドメインをまたいで移動する 1 人のユーザーを識別するために使用されます。

まとめ

業界はお客様向けにより安全な Web を作成する方向に進んでおり、Adobeは、エンドユーザーのセキュリティとプライバシーを確保する方法で、お客様がパーソナライズされたエクスペリエンスを提供できるよう支援することに全力で取り組んでいます。 必要な操作は、前述のベストプラクティスに従って、 Target Google Chrome の新しい SameSite cookie ポリシーに準拠するため。

recommendation-more-help
6906415f-169c-422b-89d3-7118e147c4e3