Upgrade to Pro — share decks privately, control downloads, hide ads and more …

intelligent tracking prevention study

1ff811939fd0923df8321ec6d8bf9d4b?s=47 Jxck
April 25, 2018

intelligent tracking prevention study

ITP and 3rd Party Cookie introduction at #itp_study

1ff811939fd0923df8321ec6d8bf9d4b?s=128

Jxck

April 25, 2018
Tweet

Transcript

  1. #itp_study

  2. None
  3. いい感じに トラッキングを 防ぐ

  4. None
  5. 別オリジンな ので Cookie は共有でき ない

  6. iframe のリク エスト先が同 じなので、この Cookie で識 別できる。 さっき EC で何を見ていたかによって

    SNS 上に広告を埋め込める 3PC
  7. • ◦ へのリクエストで付与する • ◦ へのリクエストなどで付与する • ◦ 一旦リダイレクトを挟んでそこで付与する Cookie

    が付与できれば == 別ドメインにリクエストが飛べば 基本はなんでも良い
  8. • アナリティクス ◦ どんな人がどうアクセスしてるか • ターゲティング広告 ◦ その人の行動から趣向などを読み取る • ソーシャルボタン

    ◦ ログイン済みのアカウントで「いいね」ボタン • ◦ 別ドメインの認証を一括で行う
  9. は要素技術 は そして、ざっくり言えばプライバシーの観点から Tracking is Evil という風潮。 少なくとも Apple では。

  10. との戦い • • • • 今ここ

  11. • ◦ デフォルトブロックするけどあれば送信する ◦ リダイレクトで付与すればいい • ◦ デフォルトブロックするが で解除できる •

    ◦ デフォルトブロックしたいけど壊れるからしてない • 参考 ◦
  12. • ◦ ◦ でプライバシーポリシーを機械可読に • ◦ ヘッダに を書く簡略記法 ◦ はこれをみて

    を送るか決める • 形骸化 ◦ ◦ 有効化するためヘッダを返し参照先に色々書く
  13. • ◦ ◦ サービスに の を伝えるヘッダ ◦ • 全体的に微妙 ◦

    はデフォルト有効 ◦ 強制力があるわけではない ◦ どのくらい効果が出てるのか
  14. 色々あったけど • の全面ブロックは難しい • でも は防ぎたい • が か判断できないか •

    は使われ方に特徴がある • 機械学習でいけるのでは
  15. None
  16. • 用 の特徴 ◦ 多くのドメインに配置されるサブリソース ◦ 多くのドメインに配置されるフレーム ◦ 多くのドメインにリダイレクトされる ◦

    インタラクション などが無い • 端末上でこれらの情報を集めて判別 ◦ 端末で完結し外に情報は出ない ◦ 判別は機械学習
  17. 最後にインタラクションしてからの経過時間 Tracking のためだけの Cookie の場合 24h で効果がなくなり、 30days で消え、その後はブロックされる、らしい。 0

    24h 30 days 3PC として使える Double Keying され メモリ上に保管 削除されブロック
  18. Partition すると、 EC で付与された Ad の Cookie と、 SNS で付与された

    Ad の Cookie が別で保存される。 3rd Party のドメインだけでなく、 1st + 3rd の 2 つの Key に紐づく。
  19. • されると できない • を取れるようにする • ◦ 許可ダイアログは今の所出ない ◦ インタラクションが発生すれば取れる

    ◦ クリックなどをさせる必要はある •
  20. None
  21. • ◦ リクエスト情報を組み合わせて識別したい ◦ と はエントロピー大 • ◦ は今後固定します ◦

    全部固定だとバグがあっても切り分けられない ◦ じゃあ バージョンだけ変えます、他は固定で ◦ ◦
  22. • 以外で したい ◦ ブラウザが覚えてくれてリクエストで教えてくれる何かが欲しい ◦ って 対応かどうかを「覚える」よね? • ◦

    を返す 返さない 個のドメインを用意 ◦ 別サイトでそこに する ◦ したかを で集めれば の情報になる ◦ 実際はドメインを用意できないのでサブドメインで • ◦ サブドメインの を制限します ◦
  23. 結論 • インタラクションが無いなら でやる ◦ は と連携で回避 ◦ は広告が自前なので問題ない ◦

    もしくは など • インタクションが有るなら ◦ • 諦める ◦ ◦
  24. 蛇足 • • ということでしょうがなくはある • での責務分離ができなくなった ◦ ベースで責務分離 ◦ 厳しい

  25. None