パスワードを忘れた? アカウント作成
13981900 story
インターネット

世の中には「個人情報保護のためにCookieを使用している」と主張するサイトが多数存在する 34

ストーリー by hylom
Cookieを使わなければ保護されるわけだが 部門より

世の中には「個人情報保護のためCookieを使用する」というサイトが存在するそうだ(黒翼猫のコンピュータ日記 2nd Edition)。

たとえば、「リクナビ派遣」ではCookieを無効にして同サイトにアクセスすると「当サイトでは個人情報保護と利便性の観点からCookieを使用しています。」という文言が表示されるという。

なお、Cookieは閲覧中Webサイトが送信した情報をブラウザに記録させ、再度のアクセス時にその情報をサーバーに送信する機構であり、Cookieと個人情報保護の間に直接的な関係はない。

  • 個人情報保護 (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2019年08月15日 16時11分 (#3669561)

    案外言ってることが正しくて、Cookieダメなら全力で個人情報を収集するぞ、って脅しじゃない?

    ここに返信
    • by Anonymous Coward on 2019年08月15日 16時28分 (#3669572)

      昔CookieにEicar情報を挟んだら、大手サイトが動かなくなったことがあったな、、、

      • by Anonymous Coward

        ブラウザのアドオンでhttp通信全てにEicar入れるのとか作ったらどうなるんだろw
        どこに挟むかで変わるのかな

      • by Anonymous Coward

        わはは
        その発想はなかった

      • by Anonymous Coward

        アンチウィルス稼働させてたらEICARは検出しなきゃ駄目だし、
        アンチウィルス稼働させつつこれ回避するにはどうすりゃいいんだ?
        サーバサイドにクッキーの保存しないようにしても、
        URLやUAに埋め込まれたら保存するしかないし、
        なにより通信ペイロードチェックすれば漏れなく引っかかる。
        ユーザが制御可能なデータを全部チェック対象外にすると意義が激減するしなぁ……

        アクセス拒否が一番妥当な処置かもしれん。

        # もしかして自分が見れないとかじゃなくて一発サーバダウン的な怖い話?

    • by t-wata (10969) on 2019年08月15日 16時35分 (#3669576) 日記

      「利便性だけじゃなくちゃんと個人情報保護を考慮したCookieの使い方していますよ」という意味じゃないですかね。

      • by Anonymous Coward
        じゃないですよ。
        追跡のためにCockieを使っています、ってプライバシーポリシーに書きたくないけど何かは書かなきゃならないから推敲に推敲を重ねて意味不明になっただけ。
        まあそのうちEU圏のユーザーが現れた時点でGDPR違反で売上の4%の罰金払わされるだけだし外野は生暖く見守ってればいいんじゃないの。
        • by Anonymous Coward on 2019年08月15日 19時12分 (#3669664)

          そうじゃなくて、Cookieを使わなければ、解像度やデフォのフォントみたいなフィンガープリントを使うから、結果的に、情報量が増えるってことじゃない?

        • by Anonymous Coward

          Cookieを追跡のためって。。。広告会社があるまいし。古いインターネット上で言われてたゴミ知識で思考停止しちゃってる人?
          ログイン必要な自サイト内ならCookieなんてあろうがなかろうがどっちにしろいくらでも追跡できるし。

          • by Anonymous Coward

            なんで突然ログイン必要なサイトの話をしだすんだろうか・・・

            • by Anonymous Coward

              元々例に挙げられているリクナビ派遣が、ログインが必要なサイトだからでしょ。
              突然じゃなくて、最初からそういう話ですよ。

          • by Anonymous Coward

            やろうと思えば他にも方法はいろいろありますが、実績のある安全な方法としてセッション管理にCookieが使われるのがWebの世界の標準ではないですか?
            数あるフレームワークもセッション管理はCookieを使用するものがほとんどで、わざわざセッション管理だけ自前実装して作り替えるほうが通常はセキュリティーリスクが大きいはずです。

          • by Anonymous Coward

            ブラウザを起動した途端、以前アクセスしたが起動後まだアクセスしていないドメインのcookieが軒並み更新されるのを見ると、追跡用途は多いんじゃない?

    • by Anonymous Coward

      なるほど~
      Cookie持っているのは、通行手形持ってるって扱いか

    • by Anonymous Coward

      「我々は追跡をする(確定)。ログイン必須にすると個人情報の管理が必要なので、個人情報扱いではないCookieを用いる。つまりCookieを個人情報保護に使っている」という理屈でしょうねぇ。
      追跡すんなって話で意味不明ですが。

      信用できないサイトも多いんでCookieもデフォルトオフにしてますね。
      オンオフのUIは大昔と比べてかなり良くなったから特に問題はない。
      ただ設定の移行はまず無理なんでブラウザにロックインされてしまった。
      あとスマホではさすがに無理。

    • by Anonymous Coward

      うちにアクセスするとよターゲッティング広告の内容が見に覚えのないものになりますよ、とか?

  • by Anonymous Coward on 2019年08月15日 16時00分 (#3669555)

    サイトの規約のテンプレがあって、だれかが作ったおかしなテンプレをみんな使いまわしてるので、
    みんなおかしなことになってるんですね

    ここに返信
    • by Anonymous Coward on 2019年08月15日 16時06分 (#3669557)

      利用規約なんか堂々とコピペするサイトあるしな、おかけであるサイトには仕込んであったうちの製品名ごと載ってるというwwww

      • by Anonymous Coward on 2019年08月15日 18時02分 (#3669628)

        ずいぶん昔のある電機(AV機器系)メーカーの中の人です。

        製品ユーザー登録制度を開始するにあたり、個人情報保護法も制定前でしたが、当時として最大限ユーザーに誠実な内容をと考え、法務部が真面目にいろいろ調べてくれて規約を作りました。

        1年ほど後、他社が同様の制度を開始。

        その規約が当社の丸ごとコピーでした。

        ビジネス上の直接の損害が生じる訳でもなく面倒なので放置することにしましたが。。

        当社も他社も皆様よくご存じの我が国の大手であります。

        • by Anonymous Coward on 2019年08月15日 18時23分 (#3669638)

          補足です。

          当時の素直な心情として、頑張って(当時として)最善の内容かとの自負はありましたしメーカーによって内容がバラバラでもそれはそれでよいことではないと考え、腹は立ちませんでした。

          ただ本当に一言一句コピーだったので文章表現ぐらいは少し変えてよ、あるいは法務部同士で「よい規約だから足並み合わせさせて」ぐらいの仁義は切ってよ、とは思ったものです。

        • 契約書案について『「思想又は感情を創作的に表現したもの」であるとはいえない』として著作物性を否定した裁判例 [netlaw.co.jp]からみれば、利用規約についても「思想又は感情を創作的に表現」してないとしてコピペが許されることになりそうですね。

          元の話に戻って、「個人情報」で「保護」ときたら、続く言葉は「利便性」ではなく、「(利)活用」です。そこをあえて「利便性」に変えているのは、「私は個人情報を保護するよ、また個人に関する情報であるCookieを使用(活用)するけど、Cookieの使用(活用)は君の利便性のためでもあるんだよ」ということを色々省いた結果が「個人情報保護と利便性の観点からCookieを使用」という文言になったのではないかな。でもそうなら長くなってもきちんと書くべきだよね。

    • by Anonymous Coward

      Cookieがないと余計な手間がかかることがままあったので
      その頃の名残のテンプレなんじゃないかな

      Cookieは無効にしないほうが
      セキュアなこともアルとかないとか
      ここでもその頃の議論があった気がしなくもない

      HTTPSが当たり前な時代では暗号化済みなら問題なくね?だろうけども

  • by Anonymous Coward on 2019年08月15日 17時02分 (#3669593)

    手段と用途を分離して考えられないだけでしょ?

    ここに返信
  • by Anonymous Coward on 2019年08月15日 17時36分 (#3669612)

    …ただ、SESSION_ID的な物の意味を、門外漢の利用者に説明するのが難しいから、ものすごく雑に省略して Cookieを…とか言ってるのでは?

    勿論言うまでもないけど、Cookieを利用してセッションIDの投げ受けをしているシステムの場合ね。
    例えばサーバ側がJavaのAPサーバ(TomcatやWildflyで、javax.servlet.* なシステム)で、かつその辺の構造をデフォルトで作っているような場合って事だけど。

    ここに返信
    • by Anonymous Coward

      追記だけど、それで、セッション以下に現在のログインユーザに関する諸々をぶら下げているから、大丈夫的な事を言いたかったが、こういった説明を何も知らない人にするのしんどいので、とりあえず表面的に目立つ所の「Cookieを利用してます」と言う言い方で断ってるのかな、と思いました。

      なお、実際にそれが「本当に保護になるのか」ってのはまた別の話。ただ、その観点で利用してるってのはそうなんだと思う。少なくとも。

      • by Anonymous Coward

        一般人からしたら、クッキーって何、おいしいの?怖そうだから同意やめとこってなるな

        • by Anonymous Coward

          クッキー?美味しそう、食べようってなる

        • by Anonymous Coward

          ちょっと前はクリックしまくったなあ

          # 婆ちゃんはヒロイン

        • by Anonymous Coward

          クッキー と クラッカー どっちを選ぶ?みたいな・・

    • by Anonymous Coward

      クッキー使えないとクエリパラメータでセッションIDやりとりしたり?
      httpsでセキュアクッキーならHTTPヘッダもある程度は守れるしね。

      jwtとかの一時保存先にCookieつかってるっていうのも今はあるかもしれないけどあれは改ざん防止だからちがうか。

  • by Anonymous Coward on 2019年08月15日 21時11分 (#3669733)

    とりあえず一旦はサードパーティー分までCookie許可しておいて。
    しかしタブ閉じた瞬間にCookieだけでなくキャッシュまで全部削除するようにアドオンで設定してある。
    というよりむしろこれができなくなったのでFirefox Quantumに移行せずPalemoonに逃げた。

    ここに返信
    • by Anonymous Coward

      ちょっとオフトピ気味ですが、WaterfoxではなくPalemoonを選んだ理由が興味深いです。

    • by Anonymous Coward

      QuantumでもCookie自動削除のアドオンはあります
      私はCookie AutoDeleteを使っています

  • by Anonymous Coward on 2019年08月16日 1時49分 (#3669843)

    Cookie無効だとURLに &PHPSESSIONID=ランダムな英数字 みたいなのを入れてトラッキングするサイトって結構ありますよ。
    そういう場合、Refererやソーシャルブックマーク、URLのシェアなどによって第三者にセッションIDが漏れてしまい、個人情報が漏洩しやすくなります。
    個人情報保護のためにCookieを使うというのは正しいです。

    ここに返信
typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...