GitHub、cookieバナーを廃止 36
ストーリー by headless
不要 部門より
不要 部門より
GitHubは17日、ユーザーにcookie保存の合意を求めるバナー表示の廃止を発表した(GitHub Blogの記事、 Neowinの記事、 The Vergeの記事、 The Registerの記事)。
EUの法令ではWebサイトが機能上必要不可欠でないcookieを使用する場合、バナーを表示してユーザーが合意するかどうかを選択できるようにすることが義務付けられている。必要不可欠でないcookieの例としては、Web全体にわたるユーザーの行動を追跡して広告を表示するサードパーティーのサービスによるcookieなどが挙げられる。
cookieバナーはユーザーのプライバシー保護のために表示されるものだが、うっとうしく感じられることもある。GitHubではプライバシー保護とうっとうしさの排除を両立する方法を検討した結果、必要不可欠でないcookieを使用しないという結論に達したとのことだ。
EUの法令ではWebサイトが機能上必要不可欠でないcookieを使用する場合、バナーを表示してユーザーが合意するかどうかを選択できるようにすることが義務付けられている。必要不可欠でないcookieの例としては、Web全体にわたるユーザーの行動を追跡して広告を表示するサードパーティーのサービスによるcookieなどが挙げられる。
cookieバナーはユーザーのプライバシー保護のために表示されるものだが、うっとうしく感じられることもある。GitHubではプライバシー保護とうっとうしさの排除を両立する方法を検討した結果、必要不可欠でないcookieを使用しないという結論に達したとのことだ。
なんか言い訳っぽい (スコア:2)
「プライバシー保護とうっとうしさの排除を両立する方法を検討した」と言っているがこれはちょっとウソだろう。
だって「必要不可欠でないcookieは使用しない」というやり方は、やろうとすれば最初からできたはずでしょう。
なのにこれまでそういうcookieを使用してきたのは、それが自分たちの利益になると考えていたからですよね?
つまり正解としては「自分たちの利益を捨てて、ユーザーのうっとうしさを排除することでユーザーの離脱を防ぐとともに今後もユーザーを獲得できるようになるだろうという予測の元、ユーザーのプライバシー保護を取った」だと思う。
Re:なんか言い訳っぽい (スコア:1)
EUが後からいきなりcookieに対してイチャモンつけてきたので
法令など読んでる時間ももったいないし使ってようが使ってまいがバナーを表示したサイトは多いはず。
何しろログインするというだけでcookie必要だった時代。
IE様も鎮座しておられて大体の保管方法もない。http接続も多かった。
毎回getリクエストでクエリ文字列にセッションID垂れ流せば法令は守れるが・・・。
でも時代は代わりMFAなどログインのあり方やログイン専用トークンの管理方法・維持方法の変化、
サーバレスで即座にクラウドdbなどへ保存・取得可能、IEは使わないでと言える様にもなった。
傾向を推測するにはサーバーにデータがないと(学習データとして使えないから)価値が低くなってきた。
「"cookieに"情報入れとく必要はなくなった様に思えるし、あのうざいの消す労力大した事ないんじゃね?」ってなっただけなのではないか。
そういう事にcookieは使いませんって言ってるけど、そういう情報を集めませんって言ってるわけではない様に思う。
> Developers should not have to sacrifice their privacy to collaborate on GitHub.
とは言ってるけどね。
そもそもコミットするにはメールアドレス必要になっちゃうんで(gitの仕様だけど)。
Re: (スコア:0)
ログイン機能のようにサービス上必要不可欠な個人データの利用はCookieやセッションID、トークン、Web Storageなどの実現技術を問わず元々GDPRの対象外だぞ?
逆に必要不可欠でない個人データの利用は実現技術を問わず同意が必要になる。それをやらないってことは、そういう情報を集めませんってことだよ。
Re: (スコア:0)
それはわかっているけれど、それだけに利用されているの境界線もわからないし、
EUのこの間の追徴金などをみるとわかる様に「サービス上必要不可欠」を決めるのはサイト側ではないし、
そこから派生利用されている場合やファーストパーティ以外のクッキーなど、
事細かに全てクリアしているかを確認するコストが割りに合わないという意味。
> 逆に必要不可欠でない個人データの利用は実現技術を問わず同意が必要になる。
これはよくわからないが、今回のCookieに対するダイアログの話と関係あるの?
ユーザー登録時にサービスの利用許諾はあるし、そこに同意しようが表示してたよね。
さらにはログインしていなくても各サイトダイアログは出されていた(”個人”データの境界線がどこまでか)。
> そういう情報を集めませんってことだよ。
どこかで明言されているなら教えてほしい。そうならもっとBlogでも明言すると思うのだけど。
Re: (スコア:0)
むしろcookieなんか使わなくても同等以上の結果が得られるから廃止できたと考えたんだが。
Re:なんか言い訳っぽい (スコア:2)
いや違う。
M$の支配下に入って資本力・営業力が強化され、コンプライアンスが厳格になったのが大きい。
独立して運営するのはやはり体力が必要で、それを補うための仕掛けとしてのcookieだったと考えられる。
Re: (スコア:0)
息をするように邪悪なM$ガー
Re: (スコア:0)
Githubは大容量の違法アップロードデータを何度繰り返してもアカウント凍結にならない、ただのファイル共有サイトになりつつありますよ
下手したらYoutube(3ストライク)やTwitter(5ストライク)よりもひどいかも
Re: (スコア:0)
アカウント登録して、サインインしていないようなROMには用がないのです。ROMならページ毎の総アクセス数だけあれば用が足りる。
Re: (スコア:0)
なんとなく使ってたけどまあ無くてもいいか、ぐらいだろう
人間そんなに賢くないので、「利益になると考えてたから」ってのはだいたい妄想
Re: (スコア:0)
使いもしないGoogle アナリティクスとかね。
Re: (スコア:0)
> 「プライバシー保護とうっとうしさの排除を両立する方法を検討した」
「不要なcookieの排除は、最初から出来た事」「しなかったのは利益を考えての事」だからといって
なぜこれがウソ呼ばわりされなきゃならないのか、よく分からない・・
Re: (スコア:0)
cookieといえば広告を表示するためだけにあると思ってる素人らしい妄想。
Re: (スコア:0)
「〜を検討した」とあるんだから検討したんだろう。そこにウソはないと思うけどね。
そもそも (スコア:0)
広告ブロックでクッキーやGDPRのバナーの要素ごと消えてるから表示されてるのすら知らなかった
この判断は素晴らしい (スコア:0)
だがどこも追従しないだろうな。
ユーザーに諦めさせる為の確認表示だし。
Re: (スコア:0)
「Cookie保存するぞ。異論は認めない」
Re: (スコア:0)
その表示を無視して進めれば普通にアクセスできるサイトもある。
各ページに異論は認めない表示が出ることにはなるが。
そういうところは同意する・しないに関係なく使えるので
認めなくても無問題。
次ページ見たら同意したことになるのが大半ですが (スコア:1)
その警告、きちんと読んでますか?
同意ボタンを押すかサイトの閲覧を続けた場合(次のページにアクセスした場合)、同意したとみなすと書かれているサイトが大半ですよ。
つまりは、同意押そうが押すまいが、初回アクセス時に確認用Cookieをsetして、それがあれば(2回目以降のアクセスで)追跡用トラッキングcookieなどをsetするサイトが多いです。
同意ボタンを押すと確認画面が表示されなくなるフラグが立つだけで、それ以外の動作には影響無し。
Re:次ページ見たら同意したことになるのが大半ですが (スコア:1)
> 同意ボタンを押すかサイトの閲覧を続けた場合(次のページにアクセスした場合)、同意したとみなすと書かれているサイトが大半ですよ。
実際そうなんだけど、「サイトの閲覧を続けた場合同意したとみなす」のはGDPRでは同意とは認められない可能性が高いね。
Re: (スコア:0)
まじか?トラッキングを仕込むは知らんが、同意と見なすは業界的なベストプラクティスじゃないのか?
これが駄目だと例えば、同意ボタン押すまでログインボタンはログイン拒否しなきゃならんとかが業界標準になるんじゃないのか
Re: (スコア:0)
それは必要不可欠なんでしょ
Re: (スコア:0)
> まじか?トラッキングを仕込むは知らんが、同意と見なすは業界的なベストプラクティスじゃないのか?
いや、100歩譲ってもバッドノウハウだろ。そんなん勧奨してる業界ガイドライン見たことねーぞ。
日本人向けサイトでなら「見なし同意」でも今のところ違法ではないってだけ。EU圏向けなら完全にアウト。
EUデータ保護当局が指針を発表、Cookieウォールの同意はNG、スク [techcrunch.com]
Re: (スコア:0)
クッキーの値がJSON(とかカンマ区切りとか独自のデータ構造とか)になっていて、
全部一つのキーにぶっこんでるサイトはありそう
Re: (スコア:0)
効率よく広告収入を得たいとこは自前cookie等にクリック情報収めて
配信元に直接ヒント渡すだけじゃん?
urlに情報入れるかUIDで紐付けしてサーバーどうしでやりとりすんのかしらんけど
JavaScript 必須にすれば Web Storage (localStorage) で代替可 (スコア:0)
ファーストパーティークッキー (1st Party Cookie) ですら、Cookie警告出せなんていう GDPR は狂ってます。
無駄な警告だらけになると本当に重要な警告にもユーザが簡単に同意してしまうようになるので(ブラウザが出すセキュリティ警告など)かえってセキュリティとプライバシーを悪化させてしまうだけなのに。
Cookie警告を避ける簡単な方法は、ファーストパーティークッキーなら Web Storage (localStorage) で代替するだけです。
Safari, Chrome, Firefox, Edgeは勿論IE11も対応してます。
デメリットとしてはJavaScript無効にしている人が排除されること、CookieのようにHttpOnly属性でセキュリティを高めることができないのでこれでセッション管理すればXSS脆弱性でセッションが乗っ取られるリスクがあることですが、これを考えなければCookieを代替可です。
つまりは、EUの余計な規制のせいで、実質的なプライバシーリスクは減らないのに、セキュリティが低下して、JavaScriptを無効にしている人が排除される結果になったということです。
Re:JavaScript 必須にすれば Web Storage (localStorage) で代 (スコア:1)
CNAME Cloakingとかやらかす奴らが出てきたから1stにも警告だせってのはある意味正しかった
Re: (スコア:0)
CNAME Cloaking は、要するに 1st party のサブドメインを広告業者に明け渡すということですよね。
CNAME を使っているかどうかは重要ではないのに、仰々しく変な名前を付けるマーケティングですね。
Re: (スコア:0)
どうしても論点が多数になるので厳しいな、この話題
GDPR -> 総合的には(現実と照しての意味で)つらいのはわかる
ファーストパーティークッキー (1st Party Cookie) ですら、Cookie警告出せ -> そもそもとしてブラウザでアプリしなきゃいけないのがちょっとイケてないのもあるし、自己の制御としてわかる、ログインしてその機能を使うだけならないほうがいいが、ログインしてなくても買い物できるEC系とかだと、拒否して(閲覧の追跡だけでもいろいろできるので)利用したいというのもあるだろうし
そもそもファーストパーティがそしらぬ善良のフリしつつ、クッキーから得たデータを売らないという保証が絶対じゃないので自衛はしたいからね(ってもブラウザとかで遮断しなきゃ断わらずにやるだろうけどさ)
もちろん多すぎてダメになるになってるから、最終的にはマズいことはわかるけど
Re: (スコア:0)
おい、デタラメを吹聴するのはやめろ。
単にCookieをWeb Storageで代替しても同意は必要だぞ。
お前さんGDPRをCookie規制法か何かと勘違いしてるだろ。
タイムマシンが欲しい (スコア:0)
通知の表示をリクエストしています
クッキーの使用に同意したものとします
Googleアカウントでログインしますか?
メールマガジンに登録しませんか?
便利な機能が増えた反面、昔の好きなコンテンツに誰にも邪魔されずにアクセスできた時代に戻って欲しい時もある
Re: (スコア:0)
それ相当のブラウザを使うとか(こっちだと探すのが無駄というか本末転倒な感じするけど)で、
いくらかは解決できるかもしれない。
Re: (スコア:0)
とりあえずublock originとGhosteryいれときなよ
だいぶマシになるから
クッキー全面禁止 (スコア:0)
バナー義務付けなんてやめて、クッキー全面禁止にすればいいのに。
Re: (スコア:0)
getパラメーターにセッショントークン付けて引き回す時代にゃ戻りたくねーです
#全部POST遷移にしてトークンを表に見せない手もあるけど、それこそasp時代かよ