ウェブサイトまたはサードパーティがサードパーティ Cookie を使用しているかどうかを確認する サービスによって異なります
サードパーティ Cookie の使用状況を把握する
クロスサイトで送信される Cookie コンテキスト(iframe やサブリソース リクエストなど)は、 簡単に保護できます。サードパーティ Cookie サードパーティが提供するもののほか 画像サーバーやマイクロサイトなど、トップレベルのページとは異なるドメインを持つ独自のサイトまたはサービスからのものであることもあります。
サードパーティ Cookie のユースケースには、次のようなものがあります。
- 他のサイトから共有された埋め込みコンテンツ(動画、地図、コードサンプル、ソーシャル投稿など)。
- 支払い、カレンダー、予約、予約などの外部サービス用のウィジェット。
- ソーシャル ボタンや不正防止サービスなどのウィジェット。
- リクエストと一緒に送信される Cookie に依存するリモート
<img>
リソースまたは<script>
リソース(一般的に、ピクセルのトラッキングやコンテンツのパーソナライズに使用されます)。
2019 年に各ブラウザで Cookie の動作が変更され、Cookie はデフォルトでファーストパーティ アクセスのみに制限されました。
現在、クロスサイト コンテキストで使用されている Cookie は、SameSite=None
で設定する必要があります。
属性です。
Set-Cookie: cookie-name=value; SameSite=None; Secure
つまり、サードパーティ Cookie は SameSite=None
属性で識別できます。
サードパーティ Cookie の使用状況を監査する
SameSite
Cookie 属性を None
に設定したインスタンスはコード内で検索してください。2020 年頃に Cookie に SameSite=None
を追加した場合、その変更は出発点として適しています。
SameSite=None
とマークされた Cookie がクロスサイト コンテキストで使用されていないと思われる場合、他の場所でクロスサイト コンテキストで使用されている可能性があるため、意図的なものかどうかを確認してください。そうしないと、SameSite=None
が誤って設定されている可能性があるため、不要な SameSite=None
の使用を削除する必要があります。
パーティション化された Cookie(Partitioned
属性で設定されたもの)は、この属性をサポートするブラウザでサードパーティ Cookie が制限されていても、引き続き配信されます。
Chrome DevTools
Chrome DevTools の [Network] パネルには、リクエストで設定され、送信された Cookie が表示されます。[Application] パネルの [Storage] の下に [Cookies] という見出しがあります。ページの読み込みの一環としてアクセスした各サイトに保存されている Cookie を参照できます。SameSite
列を基準に並べ替えると、None
個の Cookie をすべてグループ化できます。
Chrome 118 以降では、DevTools の [問題] タブに、「クロスサイトのコンテキストで送信された Cookie は、今後の Chrome バージョンではブロックされます」という互換性を破る変更の問題が表示されます。この問題には、現在のページで影響を受けた可能性のある Cookie が表示されます。
プライバシー サンドボックス分析ツール
また、Privacy Sandbox Analysis Tool(PSAT)も開発しました。これは DevTools の拡張機能で、ブラウジング セッション中の Cookie 使用の分析を容易にします。これにより、Cookie とプライバシー サンドボックス機能のデバッグ経路と、プライバシー サンドボックス イニシアチブについて詳しく学ぶためのアクセス ポイントが提供されます。
この拡張機能は、サードパーティ Cookie の使用や新しいプライバシー保護の代替手段の採用に関連するシナリオの分析とデバッグを行う特殊な機能で DevTools を補完します。
この拡張機能は Chrome ウェブストアからダウンロードするか、PSAT リポジトリと Wiki からアクセスできます。
サードパーティのサービス プロバイダに確認する
サードパーティによって設定された Cookie を特定した場合は、そのプロバイダがクロスサイト Cookie の設定から移行しない予定かどうかを確認する必要があります。使用しているライブラリのバージョンをアップグレードしたり、サービスの構成オプションを変更したりする必要があるかもしれません。必要な変更をサードパーティが自ら処理している場合は、何もしないこともあります。
ファーストパーティの Cookie を改善する
Cookie がサードパーティのサイトで使用されていない場合(たとえば、サイトでのセッションを管理するために Cookie を設定し、クロスサイト iframe で使用されない場合)は、明示的に Cookie を SameSite=Lax
または SameSite=Strict
としてマークする必要があります。ファーストパーティの Cookie に使用できる適切なデフォルト値もいくつかあります。詳しくは、ファーストパーティ Cookie のレシピをご覧ください。