Cookie の使用状況を監査する



ウェブサイトまたはサードパーティがサードパーティ Cookie を使用しているかどうかを確認する サービスによって異なります

サードパーティ Cookie の使用状況を把握する

クロスサイトで送信される Cookie コンテキスト(iframe やサブリソース リクエストなど)は、 簡単に保護できます。サードパーティ Cookie サードパーティが提供するもののほか 画像サーバーやマイクロサイトなど、トップレベルのページとは異なるドメインを持つ独自のサイトまたはサービスからのものであることもあります。

サードパーティ Cookie のユースケースには、次のようなものがあります。

  • 他のサイトから共有された埋め込みコンテンツ(動画、地図、コードサンプル、ソーシャル投稿など)。
  • 支払い、カレンダー、予約、予約などの外部サービス用のウィジェット。
  • ソーシャル ボタンや不正防止サービスなどのウィジェット。
  • リクエストと一緒に送信される Cookie に依存するリモート <img> リソースまたは <script> リソース(一般的に、ピクセルのトラッキングやコンテンツのパーソナライズに使用されます)。
で確認できます。
サードパーティ Cookie を示す図。 サードパーティ Cookie の例。

2019 年に各ブラウザで Cookie の動作が変更され、Cookie はデフォルトでファーストパーティ アクセスのみに制限されました。 現在、クロスサイト コンテキストで使用されている Cookie は、SameSite=None で設定する必要があります。 属性です。

Set-Cookie: cookie-name=value; SameSite=None; Secure

つまり、サードパーティ Cookie は SameSite=None 属性で識別できます。

サードパーティ Cookie の使用状況を監査する

SameSite Cookie 属性を None に設定したインスタンスはコード内で検索してください。2020 年頃に Cookie に SameSite=None を追加した場合、その変更は出発点として適しています。

SameSite=None とマークされた Cookie がクロスサイト コンテキストで使用されていないと思われる場合、他の場所でクロスサイト コンテキストで使用されている可能性があるため、意図的なものかどうかを確認してください。そうしないと、SameSite=None が誤って設定されている可能性があるため、不要な SameSite=None の使用を削除する必要があります。

パーティション化された CookiePartitioned 属性で設定されたもの)は、この属性をサポートするブラウザでサードパーティ Cookie が制限されていても、引き続き配信されます。

Chrome DevTools

Chrome DevTools の [Network] パネルには、リクエストで設定され、送信された Cookie が表示されます。[Application] パネルの [Storage] の下に [Cookies] という見出しがあります。ページの読み込みの一環としてアクセスした各サイトに保存されている Cookie を参照できます。SameSite 列を基準に並べ替えると、None 個の Cookie をすべてグループ化できます。

DevTools の [Issues] タブに、SameSite=None Cookie に関する警告が表示される。
DevTools の [Issues] タブ

Chrome 118 以降では、DevTools の [問題] タブに、「クロスサイトのコンテキストで送信された Cookie は、今後の Chrome バージョンではブロックされます」という互換性を破る変更の問題が表示されます。この問題には、現在のページで影響を受けた可能性のある Cookie が表示されます。

プライバシー サンドボックス分析ツール

また、Privacy Sandbox Analysis Tool(PSAT)も開発しました。これは DevTools の拡張機能で、ブラウジング セッション中の Cookie 使用の分析を容易にします。これにより、Cookie とプライバシー サンドボックス機能のデバッグ経路と、プライバシー サンドボックス イニシアチブについて詳しく学ぶためのアクセス ポイントが提供されます。

モーダルで使用されている Cookie の数と種類、およびその背後にある Cookie のリストとブロック理由を示す Privacy Sandbox Analysis Tool(PSAT)のスクリーンショット。
Privacy Sandbox Analysis Tool(PSAT)

この拡張機能は、サードパーティ Cookie の使用や新しいプライバシー保護の代替手段の採用に関連するシナリオの分析とデバッグを行う特殊な機能で DevTools を補完します。

この拡張機能は Chrome ウェブストアからダウンロードするか、PSAT リポジトリと Wiki からアクセスできます。

サードパーティのサービス プロバイダに確認する

サードパーティによって設定された Cookie を特定した場合は、そのプロバイダがクロスサイト Cookie の設定から移行しない予定かどうかを確認する必要があります。使用しているライブラリのバージョンをアップグレードしたり、サービスの構成オプションを変更したりする必要があるかもしれません。必要な変更をサードパーティが自ら処理している場合は、何もしないこともあります。

ファーストパーティの Cookie を改善する

Cookie がサードパーティのサイトで使用されていない場合(たとえば、サイトでのセッションを管理するために Cookie を設定し、クロスサイト iframe で使用されない場合)は、明示的に Cookie を SameSite=Lax または SameSite=Strict としてマークする必要があります。ファーストパーティの Cookie に使用できる適切なデフォルト値もいくつかあります。詳しくは、ファーストパーティ Cookie のレシピをご覧ください。