ニガくて難しいアクセス解析を、たっぷりのミルクでふわふわの贅沢ラテ的な仕上がりに

強制クッキーという誤解と、真実はある条件下での3rd Party Cookieのこと

2年ほど前に流行った2chコピペブログで横行していた「強制クッキー」。 アフィリエイト先のページをiframeで読み込むことで、アフィリリンクをクリックしなくてもアフィリ対象になる(強制的にクッキーを食わされる)という手法だそうです。

ちょっと調べてみたところ、iframeで呼び出せばすべて強制クッキーになるという誤解が広まっているようなので、正しい内容を覚え書きしておこうと思います。

そもそも、強制クッキーなんてない

強制的にクッキーをブラウザに設定できるのであれば、アフィリエイターも、アクセス解析野郎も、何の苦労もありません。いわゆる強制クッキーとはサードパーティクッキーのことです。 たとえばこのブログ記事を読んでいる場合、サイトに来て読んでいればドメインは「ryow.net」になっていますね。ブラウザが安心して食べられるクッキーは、ブラウザのURLバーに出ているドメインで作られるクッキー、つまりファーストパーティクッキーです。 逆に、ryow.netを見ているのにamazon.comのクッキーを食わせられるとまずいわけです。それがサードパーティクッキー。 ちなみにGoogle Analyticsで扱っているのはファーストパーティクッキーです。

で、どうしてiframeでアマゾンやら楽天やらを表示させるだけでサードパーティクッキーが設定されたかというと、2つの条件にマッチしたからなんですね。 条件1.ブラウザにIEを使っている 情弱ということです。 条件2.iframeで読み込んだドメインのレスポンスヘッダにP3Pコンパクトポリシーが設定されている 安全なサイトである証拠です。 この条件に合う場合のみ、正直なIEは安全なサイトのクッキーを安心して受け入れるというわけです。つまり、ブラウザを使っている人側の問題ということです。

2010年も終わろうとしている今、IEを使い続けている人がどれくらいいるでしょうか? さらに、モダンブラウザではデフォルトでは「サードパーティのクッキーを受け入れる」がオフになっているのがほとんど。Safariなんてまさにそうですね。

会社のセキュリティスペシャリストに聞いた話では、日本語でのcookieやP3Pについての詳しい言及って、ほぼ無いそうです。 だれかが握ってるのかな。

Home > 06.マメ知識 > 強制クッキーという誤解と、真実はある条件下での3rd Party Cookieのこと

このページの上へ