検証
IE 6のプライバシ管理機能

9.Cookieフィルタリングの実験

デジタルアドバンテージ
2001/10/27

 それでは、ドキュメントでの説明が正しいのかどうか、実際にP3Pコンパクト・ポリシーを発行するWebサーバをセットアップして、IE 6のフィルタリング機能がどのように働くのかを調査してみよう。

 今回の実験では、Windows 2000 Server上のIIS(Internet Information Server)をWebサーバとして使用し、次のようなP3Pコンパクト・ポリシーをHTTPヘッダとしてブラウザに返すように指定した。

テストの種類 P3Pコンパクト・ポリシー
ポリシーなし
Unsatisfactory CP="PHY CUR OTR"
オプトアウト CP="PHY CUR OTRo"
受け入れ可能 CP="UNI CUR OUR"

 PHY(住所や電話番号などの個人情報を収集する)とOTR(別組織に情報を提供する)によって、コンパクト・ポリシーはUnsatisfactoryになる(「Unsatisfactory」テスト)。これに対し「オプトアウト」テストでは、OTRオプションにオプトアウト属性をつけ、受け入れ可能にした。UNI(ユーザーを一時的に識別するID)とCUR(既知の状態に対するWebでのサービス提供のために情報を使用する)、OUR(サイトの運営者が情報を使用する)はいずれもUnsatisfactoryにならないポリシーなので、「受け入れ可能」テストは、オプトイン/オプトアウト属性なしでも受け入れ可能になる。これらのテストを、有効期限をつけたCookie(永続的なCookie)と、有効期限をつけないCookie(一時的なCookie)の2種類のCookieでテストした。またブラウザからは、それらのCookieをファーストパーティ、サードパーティの双方としてアクセスする。

 ちなみにIISでは、サーバのプロパティ・ダイアログの[HTTPヘッダー]タブでブラウザに返すHTTPヘッダを指定できる。

IIS 5.0におけるHTTPヘッダの設定
IISでは、Webサーバのプロパティ・ダイアログの[HTTPヘッダー]タブでカスタム・ヘッダ値を指定できるようになっている。P3Pコンパクト・ポリシーはここで指定できる。
  任意のHTTPヘッダを指定するにはこのタブを選択する。
  ヘッダの名前を指定する。P3Pコンパクト・ポリシーでは、「P3P」と指定する。
  コンパクト・ポリシーの内容をここに指定する。

 テスト結果を以下にまとめる。

テストの種類 1pty+perm 1pty+temp 3pty+perm 3pty+temp
[高]
ポリシーなし
×
×
×
×
Unsatisfactory
×
×
×
×
オプトアウト
×
×
×
×
受け入れ可能
[中 - 高]
ポリシーなし
L
×
×
Unsatisfactory
×
×
×
オプトアウト
×
×
受け入れ可能
[中]
ポリシーなし
L
×
×
Unsatisfactory
D
×
×
オプトアウト
受け入れ可能
[低]
ポリシーなし
L
D
○(D)
Unsatisfactory
D
○(D)
オプトアウト
受け入れ可能
Cookieフィルタリング・テストの結果
記号の意味
1pty:ファーストパーティ/3pty:サードパーティ
perm:永続的なCookie/temp:一時的なCookie
×:拒否(Cookieは作成されない)/:受け入れ(Cookieは作成される)/L:リーシュ(Cookieは作成されるが、同じCookieがサードパーティのサイトから要求されても送らない)/D:ダウングレード(Cookieは作成されるが、ハードディスクには保存されない)

 当たり前と言えば当たり前だが、結果はドキュメトどおりになった。ちなみにレベル[低]のサードパーティでのアクセスの結果が、永続的なCookieと一時的なCookieで異なっているように見えるが、これは永続的なCookieがダウングレードして一時的なCookieになるからで、ドキュメントの説明どおりである(表中で色がついた「○(D)」の部分)。

デフォルトレベルの[中]で何が起こるのか?

 IE 6のデフォルトでは、Cookieフィルタリングの設定は[中]になっている。多くのユーザーは、このデフォルト設定のままでIE 6を使うと思われるが、その場合に何が起こるのか、Webブラウザ・ユーザーと、Webサーバ管理者双方の立場で考えてみよう。

 レベル[中]では、ファーストパーティのCookieは、リーシュやダウングレードは行われるものの、すべてのCookieは受け入れられる。コンパクト・ポリシーがない場合でもリーシュとして処理されるので、従来どおり永続的なCookieとして受け入れられる。リーシュなので、このCookieを同じサイトがサードパーティとして要求したときには送信されないが、そのようなケースはあまりないだろう。

 ファーストパーティであっても、Unsatisfactory Cookieはダウングレードされるので、今までであれば、一度アクセスすることで永続的なCookieが作成され、次回のアクセスからはこのCookieを頼りにパーソナライズなどが行えたサイトでも、IEのセッションが異なると(IEをいったん終了して、後でまた起動すると)、毎回新規アクセスとして扱われるなどの弊害があるかもしれない。しかしまだP3Pコンパクト・ポリシーに対応したサイトは少ないし、ダウングレードとはいえCookieは受け入れられるので、大きな障害はないだろう。

 一方、サードパーティとしてCookieを要求するサイト側には大きな影響がある。このようなサイトは、Unsatisfactory CookieにならないようなP3Pコンパクト・ポリシーをHTTPヘッダとして返すようにしないと、永続的なCookieにせよ一時的なCookieにせよ、Cookieが使えなくなる。Windows XPにも搭載されることから、IE 6ユーザーは今後大きく増加するはずだ。こうしたサードパーティのサイトで、Cookieに依存して個人情報を収集・管理している場合には、P3Pポリシーに対応しないと、正しい情報収集や管理ができなくなってしまう。今回の実験でも分かるとおり、コンパクト・ポリシーを返すこと自体は難しくないので、こうしたサイトの管理者は早急な対応を検討すべきだろう。


 INDEX
  [検証]IE 6のプライバシ管理機能
    1.HTTPとCookie
    2.より高機能なプライバシ管理を可能にするP3P
    3.Cookieフィルタリングの基礎
    4.IE 6のプライバシ・レポート機能
    5.Cookieフィルタリングの種類
    6.Cookieフィルタリングのレベル設定
    7.既存のCookieの削除
    8.Cookieフィルタリング・レベルの詳細
  9.Cookieフィルタリングの実験
    10.Cookieのマニュアル管理(1)
    11.Cookieのマニュアル管理(2)
 
 検証


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH