- 2010年10月27日 01:11
- 06.マメ知識
2年ほど前に流行った2chコピペブログで横行していた「強制クッキー」。 アフィリエイト先のページをiframeで読み込むことで、アフィリリンクをクリックしなくてもアフィリ対象になる(強制的にクッキーを食わされる)という手法だそうです。
ちょっと調べてみたところ、iframeで呼び出せばすべて強制クッキーになるという誤解が広まっているようなので、正しい内容を覚え書きしておこうと思います。
そもそも、強制クッキーなんてない
強制的にクッキーをブラウザに設定できるのであれば、アフィリエイターも、アクセス解析野郎も、何の苦労もありません。いわゆる強制クッキーとはサードパーティクッキーのことです。 たとえばこのブログ記事を読んでいる場合、サイトに来て読んでいればドメインは「ryow.net」になっていますね。ブラウザが安心して食べられるクッキーは、ブラウザのURLバーに出ているドメインで作られるクッキー、つまりファーストパーティクッキーです。 逆に、ryow.netを見ているのにamazon.comのクッキーを食わせられるとまずいわけです。それがサードパーティクッキー。 ちなみにGoogle Analyticsで扱っているのはファーストパーティクッキーです。
で、どうしてiframeでアマゾンやら楽天やらを表示させるだけでサードパーティクッキーが設定されたかというと、2つの条件にマッチしたからなんですね。 条件1.ブラウザにIEを使っている 情弱ということです。 条件2.iframeで読み込んだドメインのレスポンスヘッダにP3Pコンパクトポリシーが設定されている 安全なサイトである証拠です。 この条件に合う場合のみ、正直なIEは安全なサイトのクッキーを安心して受け入れるというわけです。つまり、ブラウザを使っている人側の問題ということです。
2010年も終わろうとしている今、IEを使い続けている人がどれくらいいるでしょうか? さらに、モダンブラウザではデフォルトでは「サードパーティのクッキーを受け入れる」がオフになっているのがほとんど。Safariなんてまさにそうですね。
会社のセキュリティスペシャリストに聞いた話では、日本語でのcookieやP3Pについての詳しい言及って、ほぼ無いそうです。 だれかが握ってるのかな。