「IEチームがGoogleによるSafariのユーザー・プライバシー設定迂回を聞いたとき、我々は素朴に自問した。GoogleはInternet Explorerユーザーのプライバシー選択も回避しているのではないだろうか、と。」と、Internet Explorer担当副社長Dean Hachamovitchは、ブログの記事に書いている。「そして答えがイエスであることを発見した。Googleは似たような方法を用いて、IEのデフォルトのプライバシー保護を回避し、IEユーザーのクッキーを追跡していたのだ。」
レドモンドはAppleのように、Googleがユーザー情報を収集しようとする問題を抱えていないという事実に、むしろ喜んでいた。しかし現在、GoogleがMicrosoftブラウザのサポートするPlatform for Privacy Preferences(P3P)システムにより保証された保護を回避することで、同社のユーザーにも影響を与えていると主張している。
P3Pは、リクエスターのプライバシーポリシーを記述するため、3つまたは4つの文字コード・チャンクを使用する。たとえば、Hachamovitchは「TAI」を使用したが、これは「情報はサイトのコンテンツやデザインを調整もしくは修正するために使用されることはあっても、それははサイトへの一度の訪問においてのみであり、その後いかなるカスタマイズでも使用されることがない」ということを表している。
しかし、同コードが識別されなければ、Internet Explorerはいずれにせよそれを受け入れ、リクエスターにサードパーティ・クッキーの目的でユーザーへのフルアクセスを可能にする。以下のメッセージを見ると、MicrosoftはGoogleがこれを「同テクノロジーに沿う形で」行っていなかったと示唆している:
「P3P: CP=「これはP3Pポリシーではない! http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info をご覧頂きたい。」
Microsoftは同社ブラウザーのプライバシー設定を「P3P仕様のニュアンス」を利用して迂回することができると説明したが、昨年The Registerで、また2010年に学術論文で指摘されたように、これはブラウザーのユーザーによるプライバシー要請を回避するために、広く使用されてきた戦術だ。Microsoftは減少しつつある未だP3Pを使用している企業の一つであり、今回の告白は支持率の減少を招くだろう。
同ニュースは、GoogleがSafariでプライバシー保護を迂回している方法に関して、先週起きた超党派的な調査の要請への刺激ともなるだろう。この件に関し、Googleからの回答はまだ無いが、このチョコレート工場では大統領誕生記念日のお祝いどころではないのは間違いない。
アップデート
Googleでコミュニケーション&ポリシー部門担当副社長を務めるRachel WhetstoneがThe Registerに対し、「Microsoftは2002年から(「P3P」として知られる)「自己宣言」プロトコルを使用して、Webサイトに機械可読な形式でプライバシー・プラクティスを表示するよう、Webサイトに求めています」とメールで回答した。
「最新のWeb機能を提供する際、Microsoftの要請に応じるのが実際的ではないことは、Microsoftを含め皆がよく知っていることです。我々は他の多くのサイトと同様、我々のアプローチについて公にしています。」
※本記事は全文を掲載しました
© The Register.
(翻訳:中野恵美子)
略歴:翻訳者・ライター
![Log4Shell のような経験はもう二度としない ~ SSVC が搭載された FutureVuls を活用し、現実的な脆弱性管理を実現 [株式会社マイナビ]](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/43935.jpg)
