Jaap Arriens/NurPhoto via Getty Images

アップルが、macOS、iOS、iPadOSに搭載するウェブブラウザーSafariの最新バージョンでは、デフォルトであらゆるサードパーティーCookieをブロックするようになりました。これにより、第三者からユーザーの状態を知ることができなくなるため、ウェブサイトにおけるログインステータスの取得やクロスサイトリクエストフォージェリ(CSRF)などといった攻撃が困難になります。Safariでは2017年からクロスサイトトラッキングを制限するIntelligent Tracking Prevention(ITP)機能が搭載されているため、これまでの状態でもほとんどのサードパーティ製Cookieがブロックされています。そして今回のブロック機能強化ではクッキーをブロックしたことによるITPの状態を第三者が知ることができなくなり、攻撃がより困難になると説明されます。

また、アップルは2019年にクライアント側のCookieの保管期限を7日に制限すると発表しました(後に24時間い短縮)。この発表後ウェブサイト側はJavaScriptを使ってクライアント側に情報を保管するようになり、期限切れのないローカルストレージにそれを移動する対策を施してきました。しかし最新のSafariではスクリプトからアクセスできるストレージには7日間の保管期限を設けています。

アップルは今回のアップデートについてGoogleの協力を得たとして謝辞を述べています。Googleも2022年までにChromeブラウザーのサードパーティ製Cookieブロック機能を強化すると発表しています。アップルのWebKit開発チームは、W3Cにこの成果を報告し、他のブラウザー開発組織に支援を提供するとしています。あらゆるブラウザーが完全にサードパーティのCookieをブロックするようになれば、ネット広告やウェブサイトによるユーザー情報の収集のあり方にも少なからず変化が訪れることになりそうです。