Cookieをオフにするなら「UserDataの常設」もオフに
タレコミ by jbeef
jbeef 曰く、
Cookieという仕組みが使い方次第で自己情報コントロール権を侵害する場合のあるものであることは、 アレゲな人たちの間ではもはや周知のことだろう。 関連する過去のストーリーを挙げてみると、 欧州議会がcookie禁止法案を来週採決、 Windows Media PlayerにDVDタイトル追跡機能、 EUでは商用eメールはオプトイン、クッキーも事前通知、 非公式サイトにも契約者ID垂れ流しのEZWeb、 プライバシー訴訟でDoubleClickが45万ドルで和解 などがある。 そうした認識があるがゆえに、 IE 6ではP3Pという仕組みが導入された。 しかしその一方で、 その努力を台無しにする機能が存在することが指摘されている。 2002年1月にRichard M. Smith氏は、 Windows Media Playerにデフォルトで設定される固有のIDが JavaScriptから参照できることを指摘し、 スーパークッキーと名付けて問題提起した。 これは、Media Playerの設定で回避できる (「ツール」メニューの「オプション」を選び、「プレーヤー」タブのところにある「インターネットサイトによるプレーヤーの個別識別を認める」をオフにするればよい)が、デフォルトではオンになっている。 これと同様の問題が別の機能でも起きることが、 BUGTRAQに8月に流れた記事で指摘された。(いささか古い話だが、あまり話題になっていないようなのでタレこむ。)
IEのセキュリティ設定(「インターネットオプション」の「セキュリティ」タブのところの「レベルのカスタマイズ」ボタンで現れる設定)には 「UserDataの常設」という意味不明な名前の設定項目(英語版では「UserData persistence」)がある。 これは、スクリプトからの操作で、 ブラウザに情報を記憶させ、後に取り出すための機能で、 セッションを越えて情報が保持されるので、 有効期限が永遠のcookieと同様の機能を果たす。 この「UserDataの常設」がインターネットゾーンでは「有効」に設定されている。 cookieをオフにする必要を感じる者は、これもオフにした方がよい。