ニガくて難しいアクセス解析を、たっぷりのミルクでふわふわの贅沢ラテ的な仕上がりに

マイクロソフトのsupercookieの批判が、RTされまくって矛先が変わっているという話

via. cookie削除後も行動追跡を続ける「supercookie」に研究者が警鐘

『スタンフォード大学の研究者は、Microsoftが運営する「live.com」サイトでsupercookieの手法を使って削除したはずのcookieが再生されているのが見つかったと報告した。』

 研究者のジョナサン・メイヤー氏によれば、supercookieとは通常のcookieを使わずにユーザーの行動を追跡する技術のことで、中にはsupercookieを使ってcookieを「再生」し、「ゾンビcookie」を作り出しているWebサイトもあるという。
 メイヤー氏はこうした実態を受けて、インターネット上のプライバシー保護について「オンライン広告業界は自主規制が可能だと主張するが、われわれの分析では重大なプライバシー問題が見つかっており、業界の主張はうのみにし難い」と総括している。

ツイッターの流れを眺めたところ、「消したはずのクッキーが(ウィルス的なものが悪さをして)勝手に復活して大事な情報を流し続ける」みたいな恐ろしい感じに受け止められているように見えました。

原文を見ると「マイクロソフトはbing.com, microsoft.com, msn.com, live.com, xbox.comで「atdmt.com」というサードパーティドメインにて、パラメータをもとにクッキーを同期する(cookie sync)という手法で管理することで、たとえばbingのクッキーを消しても、その後msn.comにアクセスしたら同じクッキー値を使っているからbingも復活させている」という意味のことが書かれてるっぽいです。
ご丁寧にコードまで書いてあるのでコピペします。

//wlHelper.js
var id_muid = '5CBC2F2396F14F4EBA255A695D313CD1';
var muidValue = null;
// the MUID cookie value is read into muidValue
...
if (muidValue == null && id_muid != null) {
   ...
   // cookieDomain is set to '; domain=' + the current domain
   var cookieSettings = cookieDomain + '; expires=Fri, 01 Jan 2021 00:00:00 GMT; path=/;';
   document.cookie = 'MUID=' + id_muid + cookieSettings;
}

そんで、このJSタグを以下のようにパラメタ付きで読み込むことにより、MUIDパラメータをキーにクッキーを一致させているよ、という手法だそうです。
http://analytics.atdmt.com/Scripts/wlHelper.js?i=MUID
http://analytics.live.com/Scripts/wlHelper.jsi=MUID
http://analytics.microsoft.com/Scripts/wlHelper.js?i=MUID
http://analytics.msn.com/Scripts/wlHelper.js?i=MUID
この手法自体は一般的なもので、悪意のあるスクリプトでもゾンビでも何でもありません。

さらに、Microsoft.comはETagを使ってMUIDを固定するという、いわゆる「ETag cookie」も使ってパラメータ管理を二重化しているっぽいです。
重ねて言うけど、これも別に悪意があるわけじゃなくて、トラッキングのテクニックの一つに過ぎません。

ちなみにはてブコメントやツイッターで、supercookie=Flashクッキー、という説が流れていますが、これは正しくありません。僕も去年書いていたように、
「通常のHTTPクッキー/Local Shared Objects (Flash Cookie)/Silverlight Isolated Storage/セッションデータをRGB値にエンコードしたPNGファイルキャッシュ/CSS履歴ハック/HTTP ETags/Storing cookies in Web cache/window.name caching/Internet Explorer userData storage/HTML5 Session Storage/HTML5 Local Storage/HTML5 Global Storage/HTML5 Database Storage via SQLite」という13種類のクッキー(らしきもの)を組み合わせるテクニック、いわゆる「evercookie」を広義のsupercookieのことだと思ってます。

「supercookie」で検索すると、Windows Media Player ver9以下で、一意のプレイヤーIDを利用したクッキーをembedするという手法が出てきましたが、これはすでにマイクロソフトがパッチを当てているようです。しかも今回の原文とは関係がありません。

クッキーの話題を出すと、なぜかアンチFlashの声が一定数上がりますが、上記のとおりHTML5のローカル保存機能も同じですからね。どさくさにまぎれてFlash死ねみたいな声が上がるのはフェアじゃないと思います(僕は元FlasherだからFlash擁護派ではあるんだけど)。

悪いのはマイクロソフトか、supercookieか

この記事は、原文ではマイクロソフトの非常識をうたっているのに、上記日本語記事ではsupercookie怖いだけで終わってしまっています。
原文では「マイクロソフトのオプトアウトボタンはChromeとSafariではボタンを押すことができない!」という根本的な問題を明らかにしています。

通常、トラッキングというのは「オプトアウト」ができるようにすべき(じゃないとすぐにプライバシー訴訟に発展しちゃう)なので、各社はオプトアウトボタンをどっかに用意しています。そのページにたどり着くのに時間がかかるとかはおいといて。

テレビで言えば、「嫌なら見るな」のための、「電源を切るボタン」のことです。 だけどマイクロソフトは、これらのブラウザで見ると、このボタン自体が隠れてしまって押すことができない状態にしていた、ということです。「嫌でも見ろ」という状態。これはよくない。

原文は、この例をもとにオンライン広告のプライバシー問題を懸念しています。
だけどツイートでなんとなく拡散されたものを見た人にとっては、全然違う印象を受けたはずです。

「マイクロソフトがsupercookieを使ってる!」
「オプトアウトボタンが押せない!」
だったのが
「supercookieでゾンビクッキーが大量生成されている!」
「怖い!」「怖い!」「拡散希望!」
「どうやらFlashクッキーのことらしいよ」
「Flash爆発しろ!」
という、マイクロソフトから始まったのに無関係のアドビが攻撃されているというポルナレフ状態に陥っています。

まあこの記事もけっこう盛ってますが、参考までにツイート検索キャプチャを貼っておきます。
という状況を生み出すTwitterってマジ熱いですね、というお話でした。

Home > 11.他のブログ記事を紹介 > マイクロソフトのsupercookieの批判が、RTされまくって矛先が変わっているという話

このページの上へ