3rd party Cookie いただきます


shutterstock_198380249

こんにちは、中山です(写真は私ではありません)。
以前は Cookie 終焉論的な記事をよく見かけたのですが、最近あまり見かけなくなりましたね。
結局のところ、相も変わらず Cookie は元気に活用され続けているようです。
そこで、今回はトラッキングで話題になりがちな 3rd party Cookie について考察してみましょう。

なお調査に利用したブラウザは以下の通りです。
(iOS と Android の標準ブラウザについてはまたの機会に)

  • Firefox 47.0
  • Chrome 51.0.2704.103 m
  • Internet Explorer 11.0.32

3rd party Cookie ブロックの動作(ブラウザ目線)

ブラウザ目線での 3rd party Cookie とは、ユーザーが閲覧しているページのドメインとは異なるドメインから HTTP Set-Cookie Header により受信し、HTTP Cookie Header により送信する Cookie のことを指します。図にするとこうです。

c1

では、プライバシー設定における 3rd party Cookie ブロックはどのような動作でしょうか?

  • HTTP Set-Cookie Header を受信しない
  • HTTP Cookie Header を送信しない
  • 上記の両方
  • それ以外(訪問済みサイトは送受信を許可するなど)

なお各ブラウザの 3rd party Cookie ブロックに相当する UI 文言は以下の通りです。

  • Firefox(= サードパーティ Cookie の保存 : 訪問したサイトのみ許可)
    FF
  • Chrome(= サードパーティの Cookie とサイトデータをブロックする)
    CH
  • Internet Explorer(= サードパーティの Cookie : ブロックする)
    IE

実際に動作を確認した結果がこちらです。

res1

ちなみに Firefox は「常に拒否」を選択した場合は Chrome と同様の動作となります。
また、訪問したサイトか否か、は訪問履歴ではなく該当するドメインの Cookie を保持しているか否かで判定しています。

3rd party Cookie ブロックの意味(ユーザー目線)

次にユーザー目線での 3rd party Cookie ブロックについて考察してみます。
端的には「サービス主体(= ユーザー目線の 1st party)ではない、得体の知れない業者(= ユーザー目線の 3rd party)にトラッキングされることはご勘弁」という意思表示、だと私は解釈しています。
意思表示ということで DNT とも似ていますが、補足すると

  • DNT = ユーザーのサービス(サーバ)に対する意思表示
  • 3rd party Cookie ブロック = ユーザーのブラウザに対する意思表示

つまりユーザー目線では、ドメイン云々や Super Cookie や Finger Printing の是非、といった技術的な話は本質的ではありません。

Parasite Cookie という抜け道

話は変わりますが、昔からアドテク業界では Parasite Cookie(造語)という技術を活用してきました。
JavaScript を用いることで document.cookie というプロパティーに対して読み書きを行うことが出来ます。
Parasite Cookie はこれを利用して

  • HTTP Set-Cookie Header の代りに ……
    JavaScript で document.cookie に識別子を書き込む
  • HTTP Cookie Header の代りに ……
    JavaScript で document.cookie から識別子を取り出し query string としてサーバに送信する

この document.cookie への読み書きは、閲覧しているページのドメイン(= ブラウザ目線の 1st party)の Cookie DB に対する読み書き(= Parasite !!)となります。図にするとこうです。

c2

こちらの記事 もご参考)

この結果、ブラウザで 3rd party Cookie ブロックを設定した場合でも、得体の知れない業者(= ユーザー目線の 3rd party)はトラッキングを仕掛けることが出来ます。
が、本当にそれが可能なのか否か、動作を検証してみました。

res2

一部のブラウザでブロックされる動作を期待したのですが Parasite Cookie を用いれば、ユーザーの意思表示に反したトラッキングも可能、ということがわかりました。残念です。

まとめ

Parasite Cookie も含め Cookie の種類を表にまとめました(2017/10/29 追記)。

Parasite Cookie の場合、クロスドメインでトラッキングできないことが(業者側の)課題です。
しかし Super Cookie と呼ばれる方法ならばクロスドメインでのトラッキングも可能です。
こちらについては別途ご紹介します。

今回の結論 = ユーザー目線に立った 3rd party Cookie(トラッキング)ブロック、の実装を求む !!


Comments

  • nakayama  On 2017年10月29日 at 22:11

    Cookie の種類(表)を追記しました。
    ちなみに Parasite Cookie は世の中のマーケティングツールでは 1st-party Cookie と呼んでますね(弊社ツールも含め)

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です