パスワードを忘れた? アカウント作成
15021706 story
プライバシ

GitHub、cookieバナーを廃止 36

ストーリー by headless
不要 部門より
GitHubは17日、ユーザーにcookie保存の合意を求めるバナー表示の廃止を発表した(GitHub Blogの記事Neowinの記事The Vergeの記事The Registerの記事)。

EUの法令ではWebサイトが機能上必要不可欠でないcookieを使用する場合、バナーを表示してユーザーが合意するかどうかを選択できるようにすることが義務付けられている。必要不可欠でないcookieの例としては、Web全体にわたるユーザーの行動を追跡して広告を表示するサードパーティーのサービスによるcookieなどが挙げられる。

cookieバナーはユーザーのプライバシー保護のために表示されるものだが、うっとうしく感じられることもある。GitHubではプライバシー保護とうっとうしさの排除を両立する方法を検討した結果、必要不可欠でないcookieを使用しないという結論に達したとのことだ。
  • by hakikuma (47737) on 2020年12月20日 14時03分 (#3945302)

    「プライバシー保護とうっとうしさの排除を両立する方法を検討した」と言っているがこれはちょっとウソだろう。
    だって「必要不可欠でないcookieは使用しない」というやり方は、やろうとすれば最初からできたはずでしょう。
    なのにこれまでそういうcookieを使用してきたのは、それが自分たちの利益になると考えていたからですよね?

    つまり正解としては「自分たちの利益を捨てて、ユーザーのうっとうしさを排除することでユーザーの離脱を防ぐとともに今後もユーザーを獲得できるようになるだろうという予測の元、ユーザーのプライバシー保護を取った」だと思う。

    ここに返信
    • by Anonymous Coward on 2020年12月20日 14時44分 (#3945337)

      EUが後からいきなりcookieに対してイチャモンつけてきたので
      法令など読んでる時間ももったいないし使ってようが使ってまいがバナーを表示したサイトは多いはず。
      何しろログインするというだけでcookie必要だった時代。
      IE様も鎮座しておられて大体の保管方法もない。http接続も多かった。
      毎回getリクエストでクエリ文字列にセッションID垂れ流せば法令は守れるが・・・。

      でも時代は代わりMFAなどログインのあり方やログイン専用トークンの管理方法・維持方法の変化、
      サーバレスで即座にクラウドdbなどへ保存・取得可能、IEは使わないでと言える様にもなった。
      傾向を推測するにはサーバーにデータがないと(学習データとして使えないから)価値が低くなってきた。
      「"cookieに"情報入れとく必要はなくなった様に思えるし、あのうざいの消す労力大した事ないんじゃね?」ってなっただけなのではないか。

      そういう事にcookieは使いませんって言ってるけど、そういう情報を集めませんって言ってるわけではない様に思う。

      > Developers should not have to sacrifice their privacy to collaborate on GitHub.

      とは言ってるけどね。
      そもそもコミットするにはメールアドレス必要になっちゃうんで(gitの仕様だけど)。

      • by Anonymous Coward

        ログイン機能のようにサービス上必要不可欠な個人データの利用はCookieやセッションID、トークン、Web Storageなどの実現技術を問わず元々GDPRの対象外だぞ?
        逆に必要不可欠でない個人データの利用は実現技術を問わず同意が必要になる。それをやらないってことは、そういう情報を集めませんってことだよ。

        • by Anonymous Coward
          > サービス上必要不可欠な個人データの利用は対象外だぞ?

          それはわかっているけれど、それだけに利用されているの境界線もわからないし、
          EUのこの間の追徴金などをみるとわかる様に「サービス上必要不可欠」を決めるのはサイト側ではないし、
          そこから派生利用されている場合やファーストパーティ以外のクッキーなど、
          事細かに全てクリアしているかを確認するコストが割りに合わないという意味。

          > 逆に必要不可欠でない個人データの利用は実現技術を問わず同意が必要になる。

          これはよくわからないが、今回のCookieに対するダイアログの話と関係あるの?
          ユーザー登録時にサービスの利用許諾はあるし、そこに同意しようが表示してたよね。
          さらにはログインしていなくても各サイトダイアログは出されていた(”個人”データの境界線がどこまでか)。

          > そういう情報を集めませんってことだよ。

          どこかで明言されているなら教えてほしい。そうならもっとBlogでも明言すると思うのだけど。
    • by Anonymous Coward

      むしろcookieなんか使わなくても同等以上の結果が得られるから廃止できたと考えたんだが。

      • by hakikuma (47737) on 2020年12月20日 19時27分 (#3945472)

        いや違う。
        M$の支配下に入って資本力・営業力が強化され、コンプライアンスが厳格になったのが大きい。
        独立して運営するのはやはり体力が必要で、それを補うための仕掛けとしてのcookieだったと考えられる。

        • by Anonymous Coward

          息をするように邪悪なM$ガー

        • by Anonymous Coward

          Githubは大容量の違法アップロードデータを何度繰り返してもアカウント凍結にならない、ただのファイル共有サイトになりつつありますよ
          下手したらYoutube(3ストライク)やTwitter(5ストライク)よりもひどいかも

      • by Anonymous Coward

        アカウント登録して、サインインしていないようなROMには用がないのです。ROMならページ毎の総アクセス数だけあれば用が足りる。

    • by Anonymous Coward

      なんとなく使ってたけどまあ無くてもいいか、ぐらいだろう
      人間そんなに賢くないので、「利益になると考えてたから」ってのはだいたい妄想

      • by Anonymous Coward

        使いもしないGoogle アナリティクスとかね。

    • by Anonymous Coward

      > 「プライバシー保護とうっとうしさの排除を両立する方法を検討した」

      「不要なcookieの排除は、最初から出来た事」「しなかったのは利益を考えての事」だからといって
      なぜこれがウソ呼ばわりされなきゃならないのか、よく分からない・・

    • by Anonymous Coward

      cookieといえば広告を表示するためだけにあると思ってる素人らしい妄想。

    • by Anonymous Coward

      「〜を検討した」とあるんだから検討したんだろう。そこにウソはないと思うけどね。

  • by Anonymous Coward on 2020年12月20日 13時44分 (#3945293)

    広告ブロックでクッキーやGDPRのバナーの要素ごと消えてるから表示されてるのすら知らなかった

    ここに返信
  • by Anonymous Coward on 2020年12月20日 14時02分 (#3945301)

    だがどこも追従しないだろうな。
    ユーザーに諦めさせる為の確認表示だし。

    ここに返信
    • by Anonymous Coward

      「Cookie保存するぞ。異論は認めない」

      • by Anonymous Coward

        その表示を無視して進めれば普通にアクセスできるサイトもある。
        各ページに異論は認めない表示が出ることにはなるが。

        そういうところは同意する・しないに関係なく使えるので
        認めなくても無問題。

        • by Anonymous Coward on 2020年12月20日 16時10分 (#3945384)

          その警告、きちんと読んでますか?
          同意ボタンを押すかサイトの閲覧を続けた場合(次のページにアクセスした場合)、同意したとみなすと書かれているサイトが大半ですよ。
          つまりは、同意押そうが押すまいが、初回アクセス時に確認用Cookieをsetして、それがあれば(2回目以降のアクセスで)追跡用トラッキングcookieなどをsetするサイトが多いです。
          同意ボタンを押すと確認画面が表示されなくなるフラグが立つだけで、それ以外の動作には影響無し。

          • > 同意ボタンを押すかサイトの閲覧を続けた場合(次のページにアクセスした場合)、同意したとみなすと書かれているサイトが大半ですよ。

            実際そうなんだけど、「サイトの閲覧を続けた場合同意したとみなす」のはGDPRでは同意とは認められない可能性が高いね。

            • by Anonymous Coward

              まじか?トラッキングを仕込むは知らんが、同意と見なすは業界的なベストプラクティスじゃないのか?
              これが駄目だと例えば、同意ボタン押すまでログインボタンはログイン拒否しなきゃならんとかが業界標準になるんじゃないのか

              • by Anonymous Coward

                それは必要不可欠なんでしょ

              • by Anonymous Coward

                > まじか?トラッキングを仕込むは知らんが、同意と見なすは業界的なベストプラクティスじゃないのか?

                いや、100歩譲ってもバッドノウハウだろ。そんなん勧奨してる業界ガイドライン見たことねーぞ。
                日本人向けサイトでなら「見なし同意」でも今のところ違法ではないってだけ。EU圏向けなら完全にアウト。
                EUデータ保護当局が指針を発表、Cookieウォールの同意はNG、スク [techcrunch.com]

              • by Anonymous Coward

                クッキーの値がJSON(とかカンマ区切りとか独自のデータ構造とか)になっていて、
                全部一つのキーにぶっこんでるサイトはありそう

    • by Anonymous Coward

      効率よく広告収入を得たいとこは自前cookie等にクリック情報収めて
      配信元に直接ヒント渡すだけじゃん?
      urlに情報入れるかUIDで紐付けしてサーバーどうしでやりとりすんのかしらんけど

  • by Anonymous Coward on 2020年12月20日 16時02分 (#3945379)

    ファーストパーティークッキー (1st Party Cookie) ですら、Cookie警告出せなんていう GDPR は狂ってます。

    無駄な警告だらけになると本当に重要な警告にもユーザが簡単に同意してしまうようになるので(ブラウザが出すセキュリティ警告など)かえってセキュリティとプライバシーを悪化させてしまうだけなのに。

    Cookie警告を避ける簡単な方法は、ファーストパーティークッキーなら Web Storage (localStorage) で代替するだけです。
    Safari, Chrome, Firefox, Edgeは勿論IE11も対応してます。
    デメリットとしてはJavaScript無効にしている人が排除されること、CookieのようにHttpOnly属性でセキュリティを高めることができないのでこれでセッション管理すればXSS脆弱性でセッションが乗っ取られるリスクがあることですが、これを考えなければCookieを代替可です。

    つまりは、EUの余計な規制のせいで、実質的なプライバシーリスクは減らないのに、セキュリティが低下して、JavaScriptを無効にしている人が排除される結果になったということです。

    ここに返信
    • by Anonymous Coward on 2020年12月20日 18時09分 (#3945423)

      CNAME Cloakingとかやらかす奴らが出てきたから1stにも警告だせってのはある意味正しかった

      • by Anonymous Coward

        CNAME Cloaking は、要するに 1st party のサブドメインを広告業者に明け渡すということですよね。
        CNAME を使っているかどうかは重要ではないのに、仰々しく変な名前を付けるマーケティングですね。

    • by Anonymous Coward

      どうしても論点が多数になるので厳しいな、この話題

      GDPR -> 総合的には(現実と照しての意味で)つらいのはわかる

      ファーストパーティークッキー (1st Party Cookie) ですら、Cookie警告出せ -> そもそもとしてブラウザでアプリしなきゃいけないのがちょっとイケてないのもあるし、自己の制御としてわかる、ログインしてその機能を使うだけならないほうがいいが、ログインしてなくても買い物できるEC系とかだと、拒否して(閲覧の追跡だけでもいろいろできるので)利用したいというのもあるだろうし
      そもそもファーストパーティがそしらぬ善良のフリしつつ、クッキーから得たデータを売らないという保証が絶対じゃないので自衛はしたいからね(ってもブラウザとかで遮断しなきゃ断わらずにやるだろうけどさ)

      もちろん多すぎてダメになるになってるから、最終的にはマズいことはわかるけど

    • by Anonymous Coward

      おい、デタラメを吹聴するのはやめろ。
      単にCookieをWeb Storageで代替しても同意は必要だぞ。
      お前さんGDPRをCookie規制法か何かと勘違いしてるだろ。

  • by Anonymous Coward on 2020年12月20日 17時29分 (#3945401)

    通知の表示をリクエストしています
    クッキーの使用に同意したものとします
    Googleアカウントでログインしますか?
    メールマガジンに登録しませんか?

    便利な機能が増えた反面、昔の好きなコンテンツに誰にも邪魔されずにアクセスできた時代に戻って欲しい時もある

    ここに返信
    • by Anonymous Coward
      全部解決できるとは言わないけど、普段シークレットモードを使うとか、
      それ相当のブラウザを使うとか(こっちだと探すのが無駄というか本末転倒な感じするけど)で、
      いくらかは解決できるかもしれない。
    • by Anonymous Coward

      とりあえずublock originとGhosteryいれときなよ
      だいぶマシになるから

  • by Anonymous Coward on 2020年12月21日 13時06分 (#3945724)

    バナー義務付けなんてやめて、クッキー全面禁止にすればいいのに。

    ここに返信
    • by Anonymous Coward

      getパラメーターにセッショントークン付けて引き回す時代にゃ戻りたくねーです
      #全部POST遷移にしてトークンを表に見せない手もあるけど、それこそasp時代かよ

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...