しかし、ITの巨人のHTTPでの仕事はこれで終わりではありませんでした。 先月、Googleが安全でないプロトコルを使用して受信したCookieの「寿命」をさらに1年に短縮することが明らかになりました。 以下に状況について詳しく説明します。
/ Flickr / jeff herbst / PD
HTTPを介してCookieをGoogleに送信することは、セキュリティリスクと呼ばれます。 会社の代表者は、「長寿命のCookie」が「 Pervasive Monitoring 」と呼ばれる攻撃を許可していることに注目しています。 これは、プロトコルアーティファクト、メタデータ(ヘッダーなど)、およびアプリケーションデータを収集することにより、送信された情報を大規模に(そして隠されていることが多い)追跡します。 このタイプの監視が関係している状況の例は、NSAがネットワークユーザーを追跡するために PREF Cookieを使用したときの話です。
Googleは、HTTPSがこの種の攻撃から保護すると主張しています。 しかし、誰もがより安全なプロトコルに切り替えたわけではないため(デフォルトで100サイトのうち81サイトのみがHTTPSを使用しているため )、研究者はさらに進んでCookieの寿命を短くすることにしました。
Googleのテレメトリによると、HTTP経由で受信したCookieは1年以上「ライブ」でした。 Chrome開発者は、Cookieの有効期間を制限する予定です。 そして、それを徐々に行います。最初に、1年に減らしてから、数日まで。 彼らは、異なるサイトでインターネット上のユーザーの行動を追跡することはより困難になると確信しています。
この変更は、Chrome 70アップデートで実装されており、2018年10月末にリリースされます。
提案の本質
Googleのエンジニアは 、Cookie転送形式を次のように変更することをお勧めします。
保護されていないURLへの送信要求のヘッダーを作成する場合、各Cookieの作成日が最初にチェックされます。 「年齢」が特定のしきい値(12か月、数日後)よりも大きい場合、Cookieはヘッダーに追加されず、削除されます。 Cookie作成時間設定アルゴリズムを変更することも提案されています 。 コンテンツが同じ場合、新しいCookieの作成時間は古いCookieの作成時間と一致します。
これはWebサービスにどのように影響しますか?
開発者によると、後方互換性の問題は発生しないはずです。 ただし、これは、安全でない長期Cookieを使用するサービスの動作に影響する場合があります。 そのため、次のオプションを検討することをお勧めします。
- 引き続きHTTPSに切り替えます。
- DoubleClickのIDローテーションに似たシステムを実装します。その値は毎日再暗号化および更新されます。 このソリューションは、何らかの理由でHTTPSに切り替えることができないユーザーに適しています。
- Cookieを識別子として拒否し、代わりにlocalStorageを使用します。
/ Flickr / 伊藤ジョイ / cc
他のブラウザはどうですか?
他のブラウザの開発者も同様の実装を試みました 。 たとえば、2年前、Mozillaの担当者は、一部のFirefoxブラウザーCookieをセッションCookie( 1および2 )に変更することを提案しましたが、この提案を拒否しました。
アイデアは、セッションにセキュアフラグがない場合にCookieを設定することでした。 ただし、イニシアチブのテストでは、このフラグを設定するサイトが少なすぎることが示されました。 HTTPS(google.comを含む)を使用するサイトでさえ、これを無視しています。
Googleの提案に関して、同社はCookieの有効期間を短くするという決定により、コミュニティがHTTPSをWebの「標準」にすることを期待しています。