アカウント名:
パスワード:
今回の件は、SmartDownloadという、Netscapeブラウザに付属してローカルコンピュータにインストールされるようになっていたソフトウェアが、Netscape以外のサイトに置かれているものも含めて、「.exe」や「.zip」などのファイルをNetscapeでダウンロードする際に、何をダウンロードしているかの情報をNetscapeサイトに送信していたことが問題とされたもの(当時の記事1 [zdnet.co.jp]、当時の記事2 [mycom.co.jp] 参照)で、cookieによってそれが可能になったわけではありません(cookieは、IDの記憶によって、それらのアクセスが誰のものであるかを突き合わせることを可能にしただけ)。そのような情報の収集が可能になったのは、ローカルコンピュータにソフトウェアをインストールしたためであって、これはスパイウェアに分類されるべき問題でしょう。通常のWebサイト(単体)では、どんなふうにcookieを使っても、そのような情報は得られません。ただし、バナー広告のように、多数のWebサイトに横断的に仕掛けられたcookieの場合には、類似の状況が発生する場合があり、これは、DoubleClick社に対する集団訴訟 [zdnet.co.jp] で問題とされました。
IE 6では、出荷時設定で、サードパーティのcookie(HTMLページに埋め込まれた他のサイトにある画像などが発行してくるcookie)が拒否される設定となっており(P3Pポリシーの提示のない場合)、横断的なcookieの問題が回避される方向に動いています。
このあたりを正しく理解せずに「cookieすなわちプライバシー侵害」といった理解が進むと、通常の単体Webサイトでのセッション管理にもcookieを使えなくなり、かえってセッションハイジャックされやすくしてしまうことがある [etl.go.jp] ので、そうならないよう、技術者が事実の説明をしていくことが重要でしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
セッション (スコア:1)
なると、CGI同士の連携はどうやってやれって言うのでしょう?
HTMLの中にHIDDENでデータを書けという話になるのかな…。
HTTPセッションのほとんどは、cookieにキーを書き込んで、
その値をやり取りすることにより、サーバ側に保存している情報を
読み込み、サーバに情報を書き込むって形で行われていると
思うんですが…。むむぅ。
イロイロとやりにくくなりそうな判決っぽいですね
Re:セッション (スコア:2, すばらしい洞察)
いえ、判り易く明示し、ユーザー側がそれに積極的に同意すれば問題なく使えると思いますよ。
てゆーか、この事例に従えば、「明示→同意」プロセスさえ守ればもっとイロイロなことができそうですね。
具体的にどうイロイロなのかは、無学故思いつけませんが。
Re:セッション (スコア:2, すばらしい洞察)
何でかというと、「このページはクッキーを使用しています」と言う割には、"何の値を"使ってるのかサッパリなので。
プライバシーポリシーか何かで、一気に必要な値を列挙してあって、おまけに特に重要な値, ページ移動の際必須の値の時は、従来どおり注意書きと、プライバシーポリシーのページへのリンクがあったりすると嬉しいです。
めんどくさいとは思いますが、反面、しっかりやっていれば、どうでも良い問題になるかと。
Re:セッション (スコア:1)
大拍手!!!
言われてみれば、問題の「本質」は正にそこですね。
>プライバシーポリシーか何かで、一気に必要な値を列挙してあって、
どんな情報をやりとりするときには、どんなCookie名を使うべし、というルールというかスキーマが、
作られることが今後求められるのかも。
#Cookieの仕組みを忘れたのでアンチョコ [ingrid.org]。
そうすりゃ、Cookie名ごとにFilteringするとかが可能になるのでしょうから。
#Filterすることの是非はさておくとして。
Re:セッション (スコア:2, すばらしい洞察)
今回の件は、SmartDownloadという、Netscapeブラウザに付属してローカルコンピュータにインストールされるようになっていたソフトウェアが、Netscape以外のサイトに置かれているものも含めて、「.exe」や「.zip」などのファイルをNetscapeでダウンロードする際に、何をダウンロードしているかの情報をNetscapeサイトに送信していたことが問題とされたもの(当時の記事1 [zdnet.co.jp]、当時の記事2 [mycom.co.jp] 参照)で、cookieによってそれが可能になったわけではありません(cookieは、IDの記憶によって、それらのアクセスが誰のものであるかを突き合わせることを可能にしただけ)。そのような情報の収集が可能になったのは、ローカルコンピュータにソフトウェアをインストールしたためであって、これはスパイウェアに分類されるべき問題でしょう。通常のWebサイト(単体)では、どんなふうにcookieを使っても、そのような情報は得られません。ただし、バナー広告のように、多数のWebサイトに横断的に仕掛けられたcookieの場合には、類似の状況が発生する場合があり、これは、DoubleClick社に対する集団訴訟 [zdnet.co.jp] で問題とされました。
IE 6では、出荷時設定で、サードパーティのcookie(HTMLページに埋め込まれた他のサイトにある画像などが発行してくるcookie)が拒否される設定となっており(P3Pポリシーの提示のない場合)、横断的なcookieの問題が回避される方向に動いています。
このあたりを正しく理解せずに「cookieすなわちプライバシー侵害」といった理解が進むと、通常の単体Webサイトでのセッション管理にもcookieを使えなくなり、かえってセッションハイジャックされやすくしてしまうことがある [etl.go.jp] ので、そうならないよう、技術者が事実の説明をしていくことが重要でしょう。
開発者側の問題 (スコア:1, すばらしい洞察)
Re:開発者側の問題 (スコア:0)