Hiromitsu Takagi @HiromitsuTakagi

もしそういったこと（3rdパーティcookieを用いて性別・年代の推定）を行なっていたのをやめたとか、「他社はそれをやっているが当社はそれをやらない」という意味であれば、「プライバシーに配慮した」「行き過ぎた趣味趣向の分析や…を抑止しながらも」というのは理解できるところ。

posted at 00:59:36

また、アナリティクス系と言っても、3rdパーティcookieを用いたものは、性別・年代を推定して統計量を示す機能を提供しているものがあり（国内ではnakanohito等）、これはアーキテクチャで禁止されようとしているものだろう。元のアドエビスがそういうことをしていなかったかは確認できなかった。

posted at 00:39:32

もし「3rdパーティcookieをオンにしなくても使えるようになりました」的なことが言えれば、「プライバシーに配慮した」と言い得るが、アナリティクス系において閲覧者に対してそういうことを言う立場には元々ないのだから、やはり「プライバシーに配慮した」というのは何のことやらわからない。

posted at 00:36:38

「プライバシーに配慮した」と言っても、アドエビスは元からそうだった（アナリティクス系であるならばだが）のであり、新たに配慮したわけではなく、単に、技術的な実現手段として、ITPにより阻害されてきた手段から切り替えてきたという話にすぎない。

posted at 00:34:54

そういう状況がある中、日経が「米グーグル、ネット利用者の閲覧データ提供取りやめ」と報じたタイミングで、アドエビスがこのように報道発表したことは、それを回避する新技術が登場したかとの誤解を与え、株価がストップ高となる事態となった。
https://www.yrglm.co.jp/release/8720/

posted at 00:28:21

公開拒否

retweeted at xx:xx:xx

東洋経済オンライン@Toyokeizai

【グーグル｢閲覧データ｣提供停止に広がる波紋】ユーザーごとの｢ターゲティング広告｣困難に
#東洋経済オンライン
 https://toyokeizai.net/articles/-/325063?utm_source=Twitter&utm_medium=social&utm_campaign=auto…

Retweeted by Hiromitsu Takagi

retweeted at 00:25:06

CCPAも然り。
https://adzerk.com/blog/ccpa-google-analytics/…

posted at 00:13:11

Adzerk@adzerk

The #CCPA is in effect. Still wondering how to comply - and how it impacts your analytics? We can help: https://hubs.ly/H0mqRq_0

Retweeted by Hiromitsu Takagi

retweeted at 00:12:58

IAPPがまとめた、英仏独西の当局がアナリティクス系をどう規制しているかの比較表によると、同意を必ず要するかはばらけているようだが、必要としているところもある。
https://iapp.org/resources/article/ico-and-cnil-revised-cookie-guidelines-convergence-and-divergence/… https://pic.twitter.com/jZDAchJdnv

posted at 00:11:09

以上は技術者らが進むアーキテクチャによる規律（byレッシグ）であるが、他方、法的に規律しようとするGDPRやePrivacy、CCPAの方向性は、3rdパーティ（クロスサイトなトラッキング）だけを問題にするのではなく、1stパーティ識別子によるアナリティクス系に対しても適用されるものである。

posted at 00:04:51

2020年01月19日(日)36 tweetssource

現状は、技術的に何の実現を不可とし可とするか（目的の可否）が揺れている時期であり、また、実装手段である3rdパーティcookieやリンクID埋め込みの遮断は、目的の可否と一致しないため、過剰遮断や遮断漏れが起きている状況。そうなるのは目に見えているのに進んで行こうというのが昨今なのだろう。

posted at 23:59:42

Googleも、先日発表の3rdパーティcookieを2年で止める件で、代替機能のPrivacy Sandboxを設計するに際して、「We plan to start the first origin trials by the end of this year, starting with conversion measurement and … と、コンバージョン測定を救うとしている。
https://blog.chromium.org/2020/01/building-more-private-web-path-towards.html…

posted at 23:55:44

「When faced with a tradeoff, we will typically prioritize user benefits over preserving current website practices.（トレードオフに直面した場合、我々は、通常、現在のWebサイトの慣行を維持するよりもユーザーの利益を優先します。）」と言っていて、誤爆も止む無しとしているようだ。

posted at 23:40:46

11時間前

WebKit Tracking Prevention Policy https://webkit.org/tracking-prevention-policy/… を見ると、Tracking We Will Preventに示されているのはall covert tracking, and all cross-site trackingであり、可能な限り防止するという。完全な方法はないことから、誤爆が生じるわけで、それがUnintended Impactに記載されている。

posted at 23:38:09

11時間前

@kyotonio コンバージョン測定目的で、ターゲティング用履歴突合目的（cookie syncの本来の目的）ではないということでしょうかね。
ターゲティング用履歴突合の目的でlink decorationによるcookie sync相当のことが行われていた事実がどこかにあるなら、ITP 2.0以降の防止の対象はそれなのだろうと思いまして。

posted at 23:36:04

11時間前

@kyotonio link decorationはsyncの手段であり、その目的とするところの上位概念としてはcookie syncに含まれるものとしてよいかと思います。

FBのfbclidやGoogleのgclidは何を目的にしていたのでしょうか。

posted at 23:15:35

13時間前

これにより、アナリティクスのコンバージョン測定が煽りを食らうこととなったが、AppleがUnintended ImpactとしてMeasuring the effectiveness of advertisingを挙げていたことを理由に、アドエビスのエンジニアは、ITPが規制しようとしていることではないと考えたようだ。
https://note.com/martech/n/nff9965bfda05#HoVJQ…

posted at 20:53:22

13時間前

そこで、AppleはITP 2.0以降、そのようなcookie syncの手法を締め出すために、1stパーティcookieも一部制限（HTTPレスポンスヘッダではなくJavaScriptでセットしたものについて短時間で消去）するとともに、リダイレクトやReferer上のパラメタからIDらしきものを削除するようになった。

posted at 20:40:53

他方、アドネットワーク系では、3rdパーティcookieが拒絶されるようになると、cookie syncの手法で、1stパーティcookieをリダイレクトやリンクのquery stringやRefererにIDを載せて渡すことにより繋いでいくことにより同等のことをやる輩が出てくる可能性があった（出てきた事実あり？未確認）。

posted at 20:31:07

次に、一般にアナリティクス系は、1stパーティcookieでも実装できる（Googoleの例）が、3rdパーティcookieで安直に実装したものが（特に国内では？）多かった。それが、AppleがITP 1.0で3rdパーティcookieの締め出し始めたことから、1stパーティcookie方式に切り替えるところが出てきた。

posted at 20:27:54

まず、アドエビスが何をするものなのか外からよく見えないが、少なくともアドネットワーク系ではなく、アナリティクス系らしい。ただしコンバージョン測定のためにクロスサイトの閲覧者追跡を要する部分がある。

posted at 20:27:20

この件はどうもこういうこと↓らしい。
https://twitter.com/HiromitsuTakagi/status/1218198202534359040…

posted at 20:26:37

あ、リンク先間違えとる。

posted at 20:25:27

当社のコミュニケーションに至らない点があり誤解を招いたかも知れません。深く反省し、近く正式な案内をリリース致します。

個人情報の扱いについてはまだまだ整備が必要だと思いますが、当社としても健全な方向に進むように少しでも貢献できればこの上ないことだと思っています。

Retweeted by Hiromitsu Takagi

retweeted at 20:12:31

CNAMEトラッキングがブラウザの仕様の穴をついた偽装あるいは詐欺行為というツイートが流れています。確かにCNAMEをそのように使うベンダーもいるのかも知れませんが、当社は正当な範囲で個人情報を扱う企業様から、責任を持って管理するように委託された立場でありこれらの行為には該当致しません。

Retweeted by Hiromitsu Takagi

retweeted at 20:12:22

Appleは昔から(現在も)AdobeのCNAMEトラッキングを導入しています。去年ITP2.3でCNAME以外のトラッキング方法を厳しく制限します→ベンダーはいたちごっこを終わらせるためにAdobeと同じやり方を採用します→Appleに通報されます→? https://twitter.com/kyotonio/status/1199219572278063105…

Retweeted by Hiromitsu Takagi

retweeted at 20:12:08

アナリティクスの設置にCNAMEを使う事例があるようだ（Appleがやっていると言われている）が、それはASPの利用と同等という整理はあり得る。アナリティクスが設置サイトからの委託として整理できる内容のもの（他のデータと混ぜて使われない）であるならばだが。

posted at 03:25:45

対してアドテク業者がタグ設置依頼に加えCNAME設定まで依頼するようになる事案は、委託関係にないように思える。それゆえASPのようにOKとは言い難い（限らない）。特に、重大な設定をしている認識のないまま現場の運用員がやってしまうことがいかにも起きそう。閲覧者に見せるためのドメインでもない。

posted at 03:22:23

地方銀行のインターネットバンキングASPの場合は、銀行からIBM・日立らASPへの委託の形で行われる。ASPは委託を受けた形でしか一切のデータを利用できないことが前提となるのが常識として確立しているので、問題とならない。（銀行のコーポレートサイト側に対した機能がないことも問題とならない理由）

posted at 03:15:08

「勝手に名乗る」のではなく、設置する側のサイトが自らの意思で設定する。類似の事例としては、地方銀行がインターネットバンキングをIBMや日立のASPを用いて提供する際に、自分のドメイン名のホストとしてDNSに設定する方法が広く行われている。
https://twitter.com/oki_mik/status/1218543238014877696…

posted at 03:11:12

再掲
https://twitter.com/HiromitsuTakagi/status/1198273942353412096…

posted at 02:24:17

履歴が業者の手に渡ることをプライバシーの問題と捉えるとこのような発想になるが、データによって個人が選別されることの問題をデータプライバシーの問題（フィルターバブル・政治広告による民主主義・自己決定への脅威）と捉えると、結果は同一であり、解決にならない。
https://twitter.com/kyotonio/status/1218006147447156738…

posted at 02:20:46

深津貴之 / THE GUILD / note@fladdict

クッキー禁止すると、ローカル端末に個人情報保持して色々する流れになるので端末握ってるGoogle、Apple大勝利な気もする。 reading... ネット広告「クッキー離れ」広がる　10兆円市場変調も: 日本経済新聞 https://www.nikkei.com/article/DGXMZO54022810T00C20A1MM8000/…

Retweeted by Hiromitsu Takagi

retweeted at 02:17:29

3. publisherサイトを見るときに、publisherのad networkに紐づくinterest group情報を参照。ユーザがinterest groupに入っていればブラウザ側で入札（例ではcontextual targeting広告と競争）

4. 勝った広告を表示（きっとinterest groupの広告が勝つ）。

多分。後でちゃんと読む。

Retweeted by Hiromitsu Takagi

retweeted at 02:05:08

1. 靴のページを見る → "うちの靴に興味ある人"というinterest groupに入る（広告主サイトの指示で）。グループに入っていることをブラウザ側で覚えておく。

2. 広告主サイトからinterest groupに対して表示したい広告をブラウザ側に別途登録。

Retweeted by Hiromitsu Takagi

retweeted at 02:04:57

サードパーティクッキーがなくなるということでクッキーに頼らない次世代リタゲAPI案(by Google)。
ブラウザ側でタゲーティング条件保存したりブラウザ側で入札したり。
"On-Device Auction" 🚀 https://twitter.com/Log3overLog2/status/1217853928454414338…

Retweeted by Hiromitsu Takagi

retweeted at 02:04:42

Michael Kleber@Log3overLog2

New Privacy Sandbox Explainer! TURTLEDOVE proposes a way to let advertisers show ads to people they think will be interested — but without advertisers learning where those folks browse, and without web sites learning their visitors' ad interests.

https://github.com/michaelkleber/turtledove…

Retweeted by Hiromitsu Takagi

retweeted at 02:04:35

Justin Schuh ?@justinschuh

Just to be very clear on this point: This is not about blocking a subset of 3P cookies via lists and/or heuristics. This announcement is that we are going to remove 3P cookies and related tracking mechanisms entirely. https://twitter.com/justinschuh/status/1217115664277803011…

Retweeted by Hiromitsu Takagi

retweeted at 02:04:10

Yoshihiko Miyaichi@miyaichi

https://adexchanger.com/data-driven-thinking/google-you-finally-really-did-it/…

何が起きるかについては、これが一番わかりやすいんじゃないかな。 https://adexchanger.com/data-driven-thinking/google-you-finally-really-did-it/…

Retweeted by Hiromitsu Takagi

retweeted at 01:48:23

3rd-party cookie廃止の解説記事☠️
> View-through attribution: dead.
> Third-party data: dead.
> DMPs: dead.
> Multitouch attribution: dead
https://adexchanger.com/data-driven-thinking/google-you-finally-really-did-it/…

Retweeted by Hiromitsu Takagi

retweeted at 01:47:51

Ari Paparo@aripap

I wrote my take on the Google cookie news on AdExchanger, including a rare Sex in the City reference: https://adexchanger.com/data-driven-thinking/google-you-finally-really-did-it/…

Retweeted by Hiromitsu Takagi

retweeted at 01:47:36

昨日発表された母国仏CNILによる、cookieやトラッカー利用に関するrecommandation （提言/勧告/推奨?)。
https://www.cnil.fr/sites/default/files/atoms/files/projet_de_recommandation_cookies_et_autres_traceurs.pdf…
最近話題のCNAME利用が非推奨 👀
"La Commission incite également à ne pas avoir recours à (...) la délégation de sous-domaine."

Retweeted by Hiromitsu Takagi

retweeted at 01:39:20

今からはじめるITP2.4(?)対応｜AD EBiS マーテック研究会 @kyotonio #note https://note.com/martech/n/nff9965bfda05…

Retweeted by Hiromitsu Takagi

retweeted at 01:29:09

あくまで予測です。
https://note.com/martech/n/nff9965bfda05…

Retweeted by Hiromitsu Takagi

retweeted at 01:29:01

それは、自社保有の複数ドメインを跨る用途の話のようですね。
https://twitter.com/yuichiota/status/1218464717502476289…

posted at 00:18:29

CNAMEトラッキングというのが話題になっているようですが、Adobeとかでも以前からやってるやつと同じなのでは？
https://docs.adobe.com/content/help/ja-JP/id-service/using/reference/analytics-reference/cname.html…

Retweeted by Hiromitsu Takagi

retweeted at 00:17:34

2020年01月18日(土)182 tweetssource

Ryosuke Hosoi@rhosoi

CNAMEがうまい具合にBANされたらロードバランサーで対応とか言い出すのかも知れないね〜(^◇^;)

Retweeted by Hiromitsu Takagi

retweeted at 23:56:05

おしょさん@osho4532

CNAME、多分規制ができて誰かがやるだろうなぁ・・・とは思ってたけど、本当にやっちゃった感が半端ない
そしてやった企業もまさかここかぁ・・・っていう感想

Retweeted by Hiromitsu Takagi

retweeted at 23:50:26

@zuzu0301 @comameito 推測でしかありませんが、Google が3rd パーティクッキーを今後廃止するし、代わりに例の CNAME トラッキングを使うのでは？と思います。そのため、 Firefox みたいな API を作ってくれないでしょう。

Retweeted by Hiromitsu Takagi

retweeted at 23:45:13

totana@totana_

CNAME云々って最先端アドテクみたいに言われているけど、なんか下品なハックだよね
そこまでするかっていう

Retweeted by Hiromitsu Takagi

retweeted at 23:44:49

公開拒否

retweeted at xx:xx:xx

drinkdrankdrunk@drinkdrankdrun9

相場の話はしないアカウントなのであれなんだけど、CNAMEクローキングで連騰してる某社CEO、『弊社株価が好調』みたいな能天気なツイートしてるけど大丈夫かおい

Retweeted by Hiromitsu Takagi

retweeted at 23:42:33

ぐれさん@grethlen

CNAMEトラッキングかぁ。なんかいたちごっこ感あるな。

Retweeted by Hiromitsu Takagi

retweeted at 23:42:26

HDMI@mizchi

こうなるよなー / 他4件のコメント https://b.hatena.ne.jp/entry/s/prtimes.jp/main/html/rd/p/000000218.000009812.html… “アドエビス、3rd party Cookieを使わない新計測法「CNAMEトラッキング」が提供開始から3ヶ月で導入企業300社突破！｜株式会社イルグルムのプレスリリース” https://htn.to/295dJzx7EU

Retweeted by Hiromitsu Takagi

retweeted at 23:40:20

@Tutti_creeper @comameito 拡張機能はあるが、 DNS を resolve する API が Chromium ベースのブラウザに無いため、同じ拡張機能でも例の CNAME トラッキングは現在不可能です。

Google が3rd パーティクッキーを今後廃止し、同じ CNAME トラッキングを使う可能性はなくはないので Firefox みたいな API を作ってくれないでしょ

Retweeted by Hiromitsu Takagi

retweeted at 23:12:03

Yoshihiro OKADA@adreamgoeson

Chromeの3rd Party Cookieサポートが段階的に廃止へ。その影響〜 | AdMarkeTech.（アドマーケテック）
https://www.admarketech.com/2020/01/chrome-3rd-party-cookie.html…

Retweeted by Hiromitsu Takagi

retweeted at 23:03:14

f99aq8ove@f99aq8ove

名前解決でトラッキングするとかじゃなく、CNAME つけてファーストパーティー化するってことね。この手法をみんなが使い出したら、本当にコントロール不能になるんじゃないかな？ / “アドエビス、3rd party Cookieを使わない新計測法「CNAMEトラッキング」が提供開始から3…” https://htn.to/3KXBfJbE9D

Retweeted by Hiromitsu Takagi

retweeted at 23:02:09

今日は当社株が好調の様子です。Googleの3rdパーティクッキー制限のリリースが、1stパーティークッキーを推進している当社には好材料とご理解いただけたのでしょうか。

Retweeted by Hiromitsu Takagi

retweeted at 23:00:45

滝井秀典キーワードマーケティング CEO@hidenoritakii

Web広告では業界に激震が走るような出来事は、後から振り返ればすべからず飛躍のチャンスなのさ。
キーワードアドバイスツール廃止、パナマ、リーマン、ヤフーとGoogleの提携、Facebookの台頭、AI時代。不安の中でも変化をチャンスとした人は概ね勝利を掴んだ。逃げ出したやつは大体消息不明だよ。

Retweeted by Hiromitsu Takagi

retweeted at 22:59:35

滝井秀典キーワードマーケティング CEO@hidenoritakii

「Cookieレスソリューション」って言葉があるんだなすでに。いいじゃんこうやって新しい産業が生まれてさ。
変化は常にチャンス。 https://twitter.com/kloutter/status/1218083781300457472…

Retweeted by Hiromitsu Takagi

retweeted at 22:58:37

yukko@tmyn0825

最近話題のCNAME tracking を調べてたら、別のトラッキング手段を見つけた。Canvas APIでレンダリングした結果はpc環境により異なるから、それで個人を特定する仕組みとのこと...。

Canvas Fingerprintingはクッキーより怖いのか技術的に調べてみた https://techracho.bpsinc.jp/morimorihoge/2014_07_29/18555…

Retweeted by Hiromitsu Takagi

retweeted at 22:41:35

zuzu@在宅エンジニアな同人主催@zuzu0301

AdguardのCNAMEトラッキングブロックは偽装しているものを弾いているっぽいけど、
これブロック対象のドメインリストが必要よね。
https://twitter.com/ay_meshkov/status/1197931395533955072/… https://pic.twitter.com/djrS09HPPC

Retweeted by Hiromitsu Takagi

retweeted at 22:41:28

疎結合@nowlinuxing

sample\.co\.jp は食品サンプルの会社のものみたいだから例として使うのは不適切では… / CNAMEを利用したトラッキング方式のご提供 | AD EBiS サポートサイト
https://support.ebis.ne.jp/all_articles/100_featuretype/200_systemsetting/29550/…

Retweeted by Hiromitsu Takagi

retweeted at 22:38:22

まりす@quercus_maris

CNAME Cloakingとか言っても、結局は昔の透過 1dot GIF 画像とかとやってることは同じ。プライバシー保護の理念を無視して、字面の規制を回避してるだけ。つまらん。

Retweeted by Hiromitsu Takagi

retweeted at 22:15:02

まりす@quercus_maris

@Ivarn @HiromitsuTakagi 話題の CNAME Cloaking は、権威 DNS の管理者が意図的に仕掛けてるハックなので、DoH は無力だと思います。

Retweeted by Hiromitsu Takagi

retweeted at 22:14:45

Rokoucha@rokoucha

@428rinsuki 変なクエリ付いたリンク踏ませる奴は前からあるらしい、今回のはブラウザにサードパーティだとクッキーすぐ消されるから～みたいあれじゃないの?そもそもトラッキングでクッキーブチ込むのは適当なタグ貼っておいてトラッキングサーバーにクエリ投げればクッキーが今ならついてくる!って奴だし

Retweeted by Hiromitsu Takagi

retweeted at 21:57:04

アイヴァーン@Ivarn

ちなみに、記事で語られている NextDNS と Mozilla は協力関係にあり、次期 Firefox 73（現在 beta 版）では NextDNS が DoH GUI 上の選択肢に入る。 https://pic.twitter.com/r8pNEcgDhm

Retweeted by Hiromitsu Takagi

retweeted at 21:55:47

アイヴァーン@Ivarn

お馬鹿なアドテク（ Web 広告）界隈が DNS の CNAME に手を出したことにより、Firefox の DoH 実装が脚光を浴びそう。
そして、あわせて DoH をブラウザが実装する意味も増してきそう(*´ω｀) https://twitter.com/Ivarn/status/1218495588515270656…

Retweeted by Hiromitsu Takagi

retweeted at 21:55:38

ひらたいら族@DodiciCilindro

CNAME擬装するとプライバシー保護になるんだ
ぶっこ抜く情報も増えて余計プライバシーを毀損するのでは https://twitter.com/yrglm/status/1218031659942985728…

Retweeted by Hiromitsu Takagi

retweeted at 21:53:24

comame@comameito

Third-party Cookie そのものが個人情報だと思い込んでるのかなあ
もしそうだとすれば致命的な勘違い

むしろ CNAME レコードを設定する方がセキュリティ上の問題が起き得るし、ユーザーに (積極的にブロックする以外の) 選択肢を与えないことにもなる

https://twitter.com/YRGLM/status/1218031659942985728…

Retweeted by Hiromitsu Takagi

retweeted at 21:53:12

だ@ostrichable

「ウイルスバスタークラウドのウイルス/スパイウェアスキャンでは、Cookieをスパイウェアとして扱っています」
https://esupport.trendmicro.com/support/vb/solution/ja-jp/1098448.aspx…
さすがにこれは冗談だろう
と思って確認したけどまじだったよ

Retweeted by Hiromitsu Takagi

retweeted at 21:51:53

ペコw/Honeyworks@dorafxmon

Cookieがスパイウェア？？
Cookieに個人情報を記録してるサイトがあるならば、そのサイトがアホやな。
トレンドマイクロ風説の流布も大概にせいよw https://twitter.com/t0riumi/status/1199725268400668673…

Retweeted by Hiromitsu Takagi

retweeted at 21:51:44

うぉにくやすぁーン@nomoreunk

てかさ、この説明だとPC上のファイルは全部スパイウェアってことにならんか？

"Cookieファイルが外部に流出すると個人情報が盗まれる原因になります"って、それ別にどのファイルでも該当するやんか。

Retweeted by Hiromitsu Takagi

retweeted at 21:51:30

hevo2 and ?@hevohevo

トレンドマイクロ「Cookieはファイルだから流出したら危険！だからスパイウェア！！」

Cookieより、その程度の認識しかないウイルスバスターなんかを入れてる方が危険じゃろ。

Retweeted by Hiromitsu Takagi

retweeted at 21:50:18

hevo2 and ?@hevohevo

君は何を言っているんだ？ / 1件のコメント https://b.hatena.ne.jp/entry/s/esupport.trendmicro.com/support/vb/solution/ja-jp/1098448.aspx… “Cookie というスパイウェアがいつも見つかるけど大丈夫？ | サポート Q&A：トレンドマイクロ” (1 user) https://htn.to/3mVx2JT4QC

Retweeted by Hiromitsu Takagi

retweeted at 21:50:13

AZ@撮る人@azumacc

コメント欄見てるとCookieをウイルスかスパイウェアと勘違いしてる人多そう https://twitter.com/YahooNewsTopics/status/1188951891570348032…

Retweeted by Hiromitsu Takagi

retweeted at 21:49:29

はたむ@gg_hatano

『「Cookie」ファイルが外部に流出すると、大切な個人情報が盗まれる原因にもなります。そのため、個人情報流出の危険をお知らせするために、ウイルスバスタークラウドのウイルス/スパイウェアスキャンでは、Cookieをスパイウェアとして扱っています。』
個人情報を含むテキストはスパイウェア？

Retweeted by Hiromitsu Takagi

retweeted at 21:48:48

トレンドマイクロ公式サポート@TMSupportJP

【メイ知識】

#ウイルスバスタークラウドでスキャンすると、Cookie というスパイウェアがいつも見つかるのですが、パソコンは大丈夫ですか❓

詳細はこちら⬇️
https://esupport.trendmicro.com/support/vb/solution/ja-jp/1098448.aspx…

#トレンドマイクロ https://pic.twitter.com/W2TJbuqTrO

Retweeted by Hiromitsu Takagi

retweeted at 21:48:35

とりうみ@t0riumi

トレンドマイクロ、お前は駆け出しエンジニアか何かか？ https://pic.twitter.com/NBetjlusVw

Retweeted by Hiromitsu Takagi

retweeted at 21:47:39

AdGuard 日本@AdGuardJP

今、自分をファーストパーティと見せかけて「ブロック不可能」と言われる“偽装トラッカー”（追跡ソフト）が話題になっています。

その仕組みとAdGuard対策について↓
https://adguard.com/ja/blog/disguised-trackers.html…

Retweeted by Hiromitsu Takagi

retweeted at 21:40:51

Firefox は DNS を resolve する API を後悔して、拡張機能(アドオン)はそれを使うことができる。
uBlock Origin はその API を使って、リストに入っている CNAME トラッキングをブロックする。

Retweeted by Hiromitsu Takagi

retweeted at 21:38:26

????@anon5r

多分その後やられることとしてはDoHなどのサービスでDNSベースでのADブロッキングも始まってるので、CNAME張った先のIP自体がブロックされていくだけなんだろう

Retweeted by Hiromitsu Takagi

retweeted at 21:36:22

????@anon5r

CNAMEトラッキングねぇ。なんでトラッキングが次々に止められてるのか理解してないビジネス（理解してるけど自分たちの領分として顧客相手にどうにかしないといけないのでかいくぐってやるしかないんだろう）

Retweeted by Hiromitsu Takagi

retweeted at 21:36:18

ウェブマーケティングの仕事をしていたとき、トラッキングによるプライバシー侵害に対してすごく罪悪感を持ったため退職した。

↓のようなことを真面目に言い出す業界なんてもう支えたくなかった。

言い方が悪いが、中の人も、ぜひ自分の人生のチョイスを一度考えてみて下さい。 https://twitter.com/YRGLM/status/1218031659942985728…

Retweeted by Hiromitsu Takagi

retweeted at 21:35:26

アーキテクチャによる規律を乗り越えてくる fingerprinting や CNAME cloaking のコードは不正指令電磁的記録として刑法犯で排除すればいいだろう。日本刑法の威力を世界に見せつけるときだ。

posted at 17:44:49

@HiromitsuTakagi そうですね、健全じゃないからFingerprintを使ってるんですもんね…

Retweeted by Hiromitsu Takagi

retweeted at 17:40:19

またトレジャーデータか。
https://twitter.com/yuichiota/status/1217991199014842368…

posted at 17:36:09

「健全に使える」なんてことが可能なら、fingerprintingを使うまでもないのでは。
https://twitter.com/yuichiota/status/1217991201372033024…

posted at 17:33:56

短期的には、ブラウザによる3rd Party Cookieの制限がFingerprintの量産になってしまうのはしょうがないのか、、、むしろFingerprintの透明性を高めて、健全に使えるようにしたほうがいいのかな。

Retweeted by Hiromitsu Takagi

retweeted at 17:33:07

TreasureDataのJavaScript SDKのドキュメントにも対応していると書いてあるので、こっそりやっているわけではないみたいですが、、、
https://docs.treasuredata.com/articles/releasenote-20170101#collection-javascript-sdk-with-device-fingerprint…

Retweeted by Hiromitsu Takagi

retweeted at 17:31:04

昨日「最近日本のウェブサイトでもfingerprint2.jsが増えている気がします」とツイートしましたが、ちょうどさっき TreasureDataさんでもFingerprintを使っているのを発見しまして、やはりクッキーをすべて削除しても、"td_fingerprint_id"の値は同じでした。

Retweeted by Hiromitsu Takagi

retweeted at 17:30:49

それは、他所の .js をインクルードするのも同じなんだけどね。
https://twitter.com/ichinose_iroha/status/1218398640336601088…

posted at 17:27:37

一ノ瀬いろは@ichinose_iroha

CNAMEトラッキングなんて提供するような企業にCNAME設定したら、トラッキング以外にも何されるか分かったものじゃ無い。

Retweeted by Hiromitsu Takagi

retweeted at 17:26:58

f_usagi@f_usagi

CNAME Cloaking、邪悪だなあ。これを使って ITP を回避するコードは不正指令電磁的記録にならないのかしら

Retweeted by Hiromitsu Takagi

retweeted at 17:08:58

tomo@tomohisa0107

CNAMEが直近やり玉に挙がっているが、3rd Party Cookieブロックという制限の中で、クロスドメイン分析の文脈では代替技術としてCNAME利用は昔から存在していた。行動ターゲティングの文脈におけるプライバシー云々で語るのは違うでしょ、と。#CNAME #Cookie離れ
 https://docs.adobe.com/content/help/en/id-service/using/reference/analytics-reference/cname.html…

Retweeted by Hiromitsu Takagi

retweeted at 17:04:28

tomo@tomohisa0107

3rd party cookieブロックの話がやたら盛り上がっているが、複数ドメインを持っている企業にとって、行動ターゲティングの文脈と、自社複数ドメインに単純に何人（ブラウザ数）来たのか知りたいというクロスドメイン分析の文脈で分けて語ってほしい。#cookie離れ

Retweeted by Hiromitsu Takagi

retweeted at 17:04:14

kei natsui@kei_natsui

計測ツールを1stパーティCookieで運用するのはアリですよね。CriteoとかがCNAME書き換えてってカジュアルに言ってくるのは変だと思うけど。
—
アドエビス、3rd party Cookieを使わない新計測法「CNAMEトラッキング」が提供開始から3ヶ月で導入企業300社突破！：時事ドットコム https://www.jiji.com/jc/article?k=000000218.000009812&g=prt…

Retweeted by Hiromitsu Takagi

retweeted at 17:04:02

ky@ky_615

個人的には嫌だなーと思いつつも営業や企画陣より立場が低いからね。仕方ないね。人権ないし。

Retweeted by Hiromitsu Takagi

retweeted at 17:02:59

ky@ky_615

弊社もCNAMEによるCookie詐欺システム導入します。

Retweeted by Hiromitsu Takagi

retweeted at 17:02:53

comame@comameito

さらに悪いことに、自分が発行した正しい意味での First-party Cookie もトラッキング企業に送られてしまう
もしこれが認証などに使う機密情報だったとすれば、
というのを考えると、本当にゾッとする

https://medium.com/nextdns/cname-cloaking-the-dangerous-disguise-of-third-party-trackers-195205dc522a…

Retweeted by Hiromitsu Takagi

retweeted at 16:56:36

comame@comameito

CNAME トラッキングとかいう極悪な手法を知って絶句している
ブラウザ側で一切制御できないので、超えてはいけない一線

https://support.ebis.ne.jp/all_articles/100_featuretype/200_systemsetting/29550/…

Retweeted by Hiromitsu Takagi

retweeted at 16:56:26

CNAMEで1st Partyにしますってのが人気で株価上がっているらしいけど、牧歌的でいいなあ。

Retweeted by Hiromitsu Takagi

retweeted at 16:55:43

今日はアドテク銘柄がS安になるのが自然だと思うけど、あんまり下げてない不思議。

投資家には難しいのかしら。

Retweeted by Hiromitsu Takagi

retweeted at 16:55:37

謎の画像

https://r.nikkei.com/article/DGXMZO54022810T00C20A1MM8000?unlock=1… https://pic.twitter.com/ibajUD13Xd

Retweeted by Hiromitsu Takagi

retweeted at 16:52:37

https://github.com/w3c/web-advertising…
これ読んでるけど、議論全然進んでないように見える。大丈夫か？

Retweeted by Hiromitsu Takagi

retweeted at 16:51:01

かお㌠@ka0com

なるほど、今日のネタの震源はこれか…

cnameで適当なサブドメインを広告ドメインで読み変えさせ、1st Party cookieと扱うことでトラッキング。
同様にcnameしたドメイン全てが3rd Party cookieでやってたことと変わらなくなるのでは？

制限されている意味を曲解しているな

https://prtimes.jp/main/html/rd/p/000000218.000009812.html…

Retweeted by Hiromitsu Takagi

retweeted at 16:49:25

ゆき@flano_yuki

「Cookieの仕様改定版、RFC6265bisの議論」
https://asnokaze.hatenablog.com/entry/2017/04/26/080916…
もちろんブログ記事かいてある
#http_tokyo

Retweeted by Hiromitsu Takagi

retweeted at 16:44:58

ゆき@flano_yuki

Cookieにかわる Sec-HTTP-State ヘッダの提案
https://asnokaze.hatenablog.com/entry/2018/08/15/023431…
もちろんブログ記事書いてある
#http_tokyo

Retweeted by Hiromitsu Takagi

retweeted at 16:44:41

Shunsuke Mano@progfay

https://blog.jxck.io/entries/2018-10-26/same-site-cookie.html…
#http_tokyo

Retweeted by Hiromitsu Takagi

retweeted at 16:43:21

GitHub はこういう安全策を全部やっててすごい。Cookie の実装が気になったら GitHub を参考にしよう。#http_tokyo

Retweeted by Hiromitsu Takagi

retweeted at 16:38:48

SameSite=Strict にすると、異なるオリジンからのアクセスの場合は Cookie を送らなくなる。
ブラウザの新しいタブを開いて URL を打ち込んだ場合はオリジン無しなので、この場合も Cookie が飛ばない。#http_tokyo

Retweeted by Hiromitsu Takagi

retweeted at 16:38:17

もういっそのこと Cookie じゃない新しいヘッダーを作ればいいんじゃね？ということで HTTP State Token という仕様も考えられている。#http_tokyo

Retweeted by Hiromitsu Takagi

retweeted at 16:37:47

この対策として __Secure-SID プレフィックスという仕様が策定中。また、より安全なものとして Host プレフィックスというのもある。#http_tokyo

Retweeted by Hiromitsu Takagi

retweeted at 16:37:42

はてなダイアリーはドメインは全員同じでパスで区切られていたので、セキュリティ上の理由から JS が使えなかった。
はてなブログでは利用者ごとにドメインが異なるので Same-Origin ポリシーでブロックされるので、JS が使える。
が、Cookie は Same-Origin ポリシーを乗り越えて漏れる。#http_tokyo

Retweeted by Hiromitsu Takagi

retweeted at 16:37:35

Chrome はサードパーティ Cookie に頼らなくてもいいように、専用の API を作ろうとしている。Cookie はセッション識別にだけ使うようにしたい。#http_tokyo

Retweeted by Hiromitsu Takagi

retweeted at 16:36:06

サードパーティ Cookie を全部殺してしまうとシングルサインオンとかも使えなくなってしまうので、ITP は「トラッキング広告っぽいものだけを AI でインテリジェントに見分けてブロックするよ」と言っている。#http_tokyo

Retweeted by Hiromitsu Takagi

retweeted at 16:35:53

ITP という仕様がある（実装してるのは Safari だけ）。iframe からのリクエストに対して発行された Cookie を、埋め込まれている外側オリジンと紐付けて記録する。#http_tokyo

Retweeted by Hiromitsu Takagi

retweeted at 16:35:44

iframe で広告を埋め込むと、埋め込まれている外側のページのオリジンが何であれ、広告サービスはサードパーティ Cookie でトラッキングができちゃう。プライバシー上良くないので、最近いろいろと対策されてる。#http_tokyo

Retweeted by Hiromitsu Takagi

retweeted at 16:35:39

世の中は SameSite が指定されていない Cookie を Lax として扱う流れ。それが嫌ならサービス側が SameSite=None をつけて送出しろ。#http_tokyo

Retweeted by Hiromitsu Takagi

retweeted at 16:35:09

Set-Cookie ヘッダーに SameSite パラメーターが増えた。#http_tokyo

Retweeted by Hiromitsu Takagi

retweeted at 16:34:57

Eiji Kitamura / えーじ@agektmr

「ChromeはサードパーティCookieを2年でサポート終了する予定です」 https://twitter.com/agektmr/status/1217215504114282496…

Retweeted by Hiromitsu Takagi

retweeted at 16:22:29

Eiji Kitamura / えーじ@agektmr

[再掲] 2月に安定版リリースされるChrome 80からサードパーティCookieの扱いが変わります。あなたのウェブサイトが問題ないか確認する方法、および問題を回避する方法は、こちらのポストをご覧ください。 // 新しい Cookie 設定 SameSite=None; Secure の準備を始めましょう
https://developers-jp.googleblog.com/2019/11/cookie-samesitenone-secure.html…

Retweeted by Hiromitsu Takagi

retweeted at 16:21:06

The Hacker News@TheHackersNews

The idea is to force sites into giving more transparency to the users.

Explicitly marking which cookies are for cross-domain requests would let users identify 3rd-party cookies and clear them without loosing important functionalities of a site, like remembering logged-in user.

Retweeted by Hiromitsu Takagi

retweeted at 16:19:59

The Hacker News@TheHackersNews

No, Google Chrome is not ending support for 3rd-party cookies.

Sites can continue using 3rd-party cookies by explicitly telling Chrome (using SameSite) that which cookies are for cross-domain requests.

Otherwise, by default, cross-domain access to all cookies will be blocked.

Retweeted by Hiromitsu Takagi

retweeted at 16:19:46

ストレイトアウタエビス@stk0724

cookieの外部提供って何？サードパーティcookieの話？ https://twitter.com/nikkei/status/1217587269328162816…

Retweeted by Hiromitsu Takagi

retweeted at 16:19:18

mikan@anonymikan

@nikkei また図解中に「グーグル自身のデータ収集は継続」とありますがアクティビティ等の事ですか？であればCookieとは関係ないように思えます。この図解だとこれらの情報を今までGoogleが提供していたというような記述になりますがそのような事実を御社で確認しているという事ですか？

Retweeted by Hiromitsu Takagi

retweeted at 16:18:23

mikan@anonymikan

@nikkei サードパーティCookieの話なので、提供している主体はどちらかと言えばサイト管理者に当たるのでGoogleが閲覧データを提供しているような見出しは少なくともこの件に関してはミスリードでは？このツイートの図解もその辺りを曖昧にしていて、事実誤解したリプライもいくつか見受けられます。

Retweeted by Hiromitsu Takagi

retweeted at 16:16:40

日本経済新聞電子版@nikkei

Google（グーグル）はネットの閲覧履歴「Cookie（クッキー）」の外部提供を2022年までにやめます。ターゲティング広告の精度が下がり、行動が監視されていると思う場面は減りそうです。

▶Google、ネット利用者の閲覧データ提供取りやめ
https://s.nikkei.com/35XaGp8 https://pic.twitter.com/to1iVKChlu

Retweeted by Hiromitsu Takagi

retweeted at 16:16:25

Haruhiko Okumura@h_okumura

今朝の朝日新聞も後追い「グーグル、第三者へ閲覧履歴の提供廃止」 https://www.asahi.com/articles/DA3S14329807.html… ChromeにサードパーティCookieをブロックする機能は昔からある。設定すれば広告がターゲティングでなくランダムになるかも https://pic.twitter.com/e48oCtIJd9

Retweeted by Hiromitsu Takagi

retweeted at 16:15:20

Haruhiko Okumura@h_okumura

今朝の日経新聞1面トップ「米グーグル、ネット利用者の閲覧データ提供取りやめ」 https://www.nikkei.com/article/DGXMZO54437490V10C20A1MM8000/… 題名から内容が想像できない。ブラウザ Google Chrome がサードパーティCookieを2年以内に廃止するという話 https://gigazine.net/news/20200115-chromium-third-party-cookies-obsolete/… Safari はすでに。同じ Chromium ベースの新 Edge も

Retweeted by Hiromitsu Takagi

retweeted at 16:15:09

堂前@IIJ@IIJ_doumae

IIJmio meeting 26 発表資料を公開しました。 #iijmio
https://techlog.iij.ad.jp/archives/2716

Retweeted by Hiromitsu Takagi

retweeted at 16:07:18

「当該データベースが一定の正当性（目的の正当性、正確性、客観性等）を有するものである場合には、」と、正確性と客観性が求められているが、その基準が存在するのか、IIJがその基準を満たしているか、その判断を誰がするのか。何もない中で強行されようとしている。 https://pic.twitter.com/bOhS4QOBlA

Retweeted by Hiromitsu Takagi

retweeted at 16:05:18

問題のガイドライン、「レピュテーションDB」をこんな信用性も公正性も担保できないずさんなものでOKとする態度なのか。信じられない。馬鹿なのか。端末側のセキュリティソフトでやるのはともかく、common carrierでこんなことをやったら通信の信頼が毀損されてしまうぞ。
https://www.jaipa.or.jp/other/mtcs/guideline_v5.pdf… https://pic.twitter.com/amXmlri9Al

Retweeted by Hiromitsu Takagi

retweeted at 16:05:06

その「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン」とやらは、ブロッキング対象の選定基準の整備と公表など、公正性を担保し透明性を図ることを要求していないのですか？
https://twitter.com/IIJ_doumae/status/1127122650818433024…

Retweeted by Hiromitsu Takagi

retweeted at 16:04:56

違法な検閲である限り約款改訂による包括同意なんぞ無効だ。何を検閲するかの選定基準の規程すらない検閲に（いくらセキュリティ目的だからといって）利用者に推定的同意があるなどと到底言うことができない。
https://twitter.com/IIJ_doumae/status/1127121872993132544…

Retweeted by Hiromitsu Takagi

retweeted at 16:04:42

ブロッキングと呼ばずにフィルタリングと別名で称しているところからして不誠実極まりない。DNSから抹消するのはいずれも同じ。サイトブロッキングに他ならない。呼び分けの根拠は？（フィルタリングは端末で行う手法を言う。）
https://twitter.com/IIJ_doumae/status/1126900447124398080… https://pic.twitter.com/GjoxoAaOEY

Retweeted by Hiromitsu Takagi

retweeted at 16:04:34

自称「よくあるご質問」を見たが、対象の該当基準に関する質問がない。その上「Q7. DNSフィルタリングされた理由を教えて…」に対して「理由については非開示となります」と答えており、およそ透明性がなく、公正性の確認が不可能であり、違法な通信検閲と言わざるを得ない。
https://www.iij.ad.jp/sec-statement/faq/… https://pic.twitter.com/rcEbvKqv8H

Retweeted by Hiromitsu Takagi

retweeted at 16:04:07

リンク先のここも、「C＆Cサーバ (*4)等」としか書いてない。その基準は一切明らかにされていない。*4の用語解説では「マルウェアを遠隔操作するために設置されるコンピュータ等の機器のこと」とあるので、coinhive. comも該当すると思う人には該当してしまう。「等」も不明。
https://www.iijmio.jp/guide/env/filtering.jsp/…

Retweeted by Hiromitsu Takagi

retweeted at 16:03:54

https://www.iij.ad.jp/sec-statement/
を拝見したが、ここでも何を対象にするのかが全く説明されていない。なんでこんなことが許されているの？総務省は何やってたん？

Retweeted by Hiromitsu Takagi

retweeted at 16:03:47

検閲の継続期間のルールすら決めずに強行するようだ。信じられない。
https://twitter.com/IIJ_doumae/status/1126829785340973056…

Retweeted by Hiromitsu Takagi

retweeted at 16:03:39

著作権対策だと認められないがセキュリティ対策なら当然認められるかのような口ぶりですが、そんな理屈で違法性阻却などされない。対象が公正に選別される基準と実施体制が整っていて初めて認められ得る。そのことがIIJほどの会社でさえ理解されず進められていることに驚愕。
https://twitter.com/IIJ_doumae/status/1126786550786809856…

Retweeted by Hiromitsu Takagi

retweeted at 16:03:30

は？そんな抽象的な対象を属人的判断で決定するわけですか？対象の定義も判断基準の規程も存在しない状況で強行するわけですか。そんなものは到底、正当業務行為と言えず、通信の秘密侵害であり、電気通信事業法の検閲の禁止にズバリ違反する違法行為でしょう。
https://twitter.com/IIJ_doumae/status/1126897884241096704…

Retweeted by Hiromitsu Takagi

retweeted at 16:03:22

https://twitter.com/IIJ_doumae/status/1126745453083615232…
ご紹介いただいたスライド「DNSフィルタリングをなぜ行うのか」を拝見しましたが、必要性と妥当性の説明がなされているだけで、何を検閲遮断するのかの基準についての説明が一切見当たりませんが、どこかにあるのでしょうか？

Retweeted by Hiromitsu Takagi

retweeted at 16:03:13

https://twitter.com/IIJ_doumae/status/1126745207129628673…
とのことですが、Coinhiveをマルウェアだとみなしている人たち（ウイルス対策ベンダー）からすれば、coinhive. comは感染端末を遠隔操作するC&Cサーバと同然のものとして登録していますが、IIJがそのようにみなしていないということはどこで確認できるのでしょうか？

Retweeted by Hiromitsu Takagi

retweeted at 16:03:07

@iijmio .@iijmio 又々こんにちわ〜o(^^)o「悪性通信を行うC&Cサーバ」すごいですね＼(^o^)／ NHKはCoinhiveを遠隔操作と報じてましたがCoinhiveのサーバが「悪性通信を行うC&Cサーバ等」に含まれないことの保証は御社のどの規定を見れば確認できるのですか（･＿･）？
https://twitter.com/HiromitsuTakagi/status/1007676298406158338…

Retweeted by Hiromitsu Takagi

retweeted at 16:01:49