Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp
米Googleは4月23日(現地時間)、2024年中に完了する予定だったWebブラウザ「Chrome」でのサードパーティcookieの廃止を延期すると発表した。延期はこれで3度目になる。 延期の理由は「業界、規制当局、開発者からの異なるフィードバックを調整することに関連する課題が継続している」ため。 特に、「プライバシーサンドボックス」の取り組みに懸念を示している英政府競争規制当局の競争・市場庁(CMA)が「業界テストの結果を含むすべての証拠を検討するための十分な時間を確保することが重要」としている。 CMAは1月、Googleに対し、複数の競争関連の懸念が解消されるまで、サードパーティcookie廃止を一時停止するよう命じた(リンク先はPDF)。 CMAによる検討などに引き続き協力することで、プロセスを年内に完了し、合意に達すれば2025年初頭から廃止を進める想定という。 Googleは
Cookieの改訂版仕様 rfc6265bis について、その変更点をざっと眺めていく はじめに SameSite属性 Cookie名プレフィックス (Cookie Name Prefixes) __Secureプレフィックス __Hostプレフィックス 非セキュアなオリジンからの Secure属性の上書きを禁止 nameless cookieの許容 Cookie名、Cookie値の上限長の指定 Expires属性の年が2桁の場合の処理の指定 Max-Age/Expires の上限 その他 今回入らなかった機能 はじめに Cookieの仕様は『RFC 6265: HTTP State Management Mechanism』として標準化されています。 そのCookieの仕様の改訂版が『rfc6265bis』と呼ばれているもので、現在標準化作業が進められいています。"SameSite属性"
米Google(グーグル)といえば、生成AI(人工知能)やクラウドサービスで派手な技術を打ち出す印象が強い。ただサイバーセキュリティー分野では、派手さはないが実用的な技術やサービスをしばしば発表していて、筆者はひそかに楽しみにしている。以前にも「グーグルがオープンソースソフトウエア(OSS)にお墨付きを与える」という渋いサービスを取り上げたことがある。 そんなグーグルが2024年4月2日(米国時間)、また渋いセキュリティーの新技術を発表した。同社が「デバイス・バウンド・セッション・クレデンシャルズ(DBSC)」と呼ぶ技術である。まだあまり注目されていないが、「クッキー泥棒」ともいうべきサイバー攻撃への対策の決め手になる技術かもしれない。そう感じ、サイバーセキュリティーの専門家に取材することにした。 「ログインできるクッキー」が狙われている クッキー泥棒とは、ユーザーのWebブラウザーに保存
IIJは、2024年2月7日、ダークパターンやCookie利用における法規制や企業対応をテーマとしたセミナーを開催した。 インターネットが日常生活に必要不可欠で、当たり前に使用するツールとなった現在、消費者は、個人情報を窃取されたり、意図に反した行動を取らされたりしないよう、常に注意しなければいけなくなった。一方で、サイトやサービスを運用する企業側が、プライバシー規制の厳格化と相まって、配慮すべきトピックとなっているのが「ダークパターン」および「Cookieの利用」だ。 本記事では、国内外のダークパターン規制および具体例を紹介するセッションと、ヤマハ発動機やライオンのサイト担当者が登壇したCookieバナー実装がテーマのパネルディスカッションの様子をレポートする。 国内外のダークパターン規制事情、日本でも特定分野やケースで法令違反となることも まずは、「欧米でのダークパターン規制の動向と日
ChromeのサードパーティCookieは結局どうなる? ChromeのサードパーティCookieのサポート廃止は、代替策として考案されたGoogleのアドレッサビリティテクノロジーであるプライバシーサンドボックスがCMA(イギリスの競争・市場庁)の審査を経て、仕様確定するかどうかに影響されます。 今回で3度目の延期となりますが、過去2回と比べると、Googleはもちろんのこと、CriteoやRTB Houseなどの技術協力パートナー、IABのプライバシーサンドボックスのタスクフォース(60社強のアドテク企業が参加)、CMA、ICO、そしてアドテク業界各社など、エコシステムの多くの関係者の努力もあり、プライバシーサンドボックスの技術仕様に関してはかなりのところまで進んでいます。 延期の背景としてはざっくりと以下のような状況になります: Google Ad Manager、GCPなどを中心に
Update on the plan for phase-out of third-party cookies on Chrome
The Privacy Sandbox News Update on the plan for phase-out of third-party cookies on Chrome The UK’s Competition and Markets Authority (CMA) and Google publish quarterly reports to update the ecosystem on the latest status of Privacy Sandbox for the Web. As part of Google’s Q1 2024 report, we will include the following update about the timeline for phasing out third-party cookies in Chrome in the A
米Google(グーグル)はプライバシー保護の観点から、Webブラウザー「Google Chrome(グーグルクローム)」で、サード・パーティー・クッキーを受け入れることを2024年内にも停止する方針だ。これまでデジタル広告のインフラとして機能してきたクッキーが使えなくなることで、デジタル広告市場は大きな影響を受けることが予想される。こうした中、大手広告代理店の電通グループは、大手広告プラットフォームとの連携を強化するデータ戦略を明らかにした。 サード・パーティー・クッキーが問題視されている最大の理由は「利用者の同意なしのデータ取得」にある。デジタル広告技術の開発会社は、Webサイトにアクセスしたブラウザーに対し、訪問者の同意なしでサード・パーティー・クッキーを付与し、利用履歴などを取得。そのデータを基に、旅好き、ファミリー層といった利用者の属性を推測し、ターゲティング広告の配信に活用して
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io
Google、サードパーティcookie廃止を3度目の延期 年内には実施せず
Cookieの改訂版仕様 rfc6265bis の変更点 - ASnoKaze blog
Googleが渋いセキュリティー新技術、「クッキー泥棒」対策の決め手になるか
企業が避けるべき「8つのダークパターン」と「Cookieバナー実装」、IIJが説明 (1/3)
さまよえるサードパーティCookieとオープンインターネットは何処へ
「Google Chrome」のサードパーティCookie廃止は延期 ~2024年内の非推奨化を断念/来年へ持ち越しへ
Google、年内のサードパーティCookie廃止を延期
電通、脱クッキー時代の新戦略 「プラットフォーマー依存」加速か