検証
IE 6のプライバシ管理機能

11.Cookieのマニュアル管理(2):
Cookieの自動フィルタリングをやめ、強制的に指定の処理を行わせる

デジタルアドバンテージ
2001/10/27

 サイトごとではなく、IE 6が行うすべてのCookie処理を強制的に切り替えることもできる。これには、前出の[インターネット オプション]ダイアログの[プライバシー]タブにある[詳細設定]ボタンをクリックする。すると次のようなダイアログが表示される。

[プライバシー設定の詳細]ダイアログ
IE 6が行うすべてのCookie処理を強制的に指定したければ、ここでその処理内容を指定する。具体的に指定できる処理は、「受け入れる」「ブロックする」「ダイアログを表示する」の3種類で、これらをファーストパーティ/サードパーティごとに指定することが可能。
  すべてのCookie処理を強制的に指定するには、このチェックボックスをオンにする。すると以下のコントロールが選択可能になる。
  ファーストパーティのサイトが要求したCookieに対する処理を選択する。
  サードパーティのサイトが要求したCookieに対する処理を選択する。
  一時的なCookieを常に有効にするにはこれをオンにする。

 ダイアログから分かるとおり、強制指定の内容は、ファーストパーティ/サードパーティで別々に指定することができる。ただし、ファーストパーティだけは処理を強制指定し、サードパーティは自動処理に任せる(またはその逆)という使い方はできない。なお、このダイアログを使ってCookieの自動処理を上書きした場合、IE 6のプライバシー設定のレベル表示はなくなり、「カスタム」になる。

 ここで面白いのは、[ダイアログを表示する]という選択があることだ。これを選択して、WebサイトからCookieが要求されると、次のようなダイアログボックスが表示される。

プライバシの警告表示
上のダイアログで[ダイアログを表示する]を選択して、サイトからCookieが要求されると、このようなダイアログが表示されるようになる。ここでは、「今回の要求を許可」「今回の要求をブロック」「このサイトのCookieをすべて許可/ブロック(サイトごとのCookie処理リストにサイトを登録)」のいずれかを選択できる。
  このサイトについて、またはで選択したCookieの処理を、次回からは自動的に行わせる場合にオンにする。すると、当該サイトがサイトごとのCookie処理リストに登録される。
  今回要求されているCookieを許可する。
  今回要求されているCookieをブロックする。
  要求されているCookieの詳細情報を確認する。

 ここでは、「今回の要求を許可」「今回の要求をブロック」「このサイトのCookieをすべて許可/ブロック(サイトごとのCookie処理リストにサイトを登録)」のいずれかを選択できる。Cookieが要求するたびに、マニュアルでCookieの処理方法を選択できるようになるわけだ。

 Cookieの詳細な情報を見たければ、[詳細情報]ボタンをクリックする。するとダイアログボックスが拡張され、Cookieの情報やP3Pプライバシ・ポリシーの情報(存在する場合)の内容を確認できる。まずはP3Pコンパクト・ポリシーのないCookieの場合を見てみよう。

プライバシの警告で詳細情報を表示(P3Pポリシーなし)
Cookieの内容が表示される。これは@ITのトップページが要求するCookieの内容を表示したところ。
  Cookieの名前。
  このCookieを要求しているドメイン。
  Cookieの有効期限。
  Cookieとして保存することが指示されているデータ(@ITでは、アクセス元のIPアドレスを記録するため、モザイク処理を行った)。
  ファーストパーティのCookieか、サードパーティのCookieか。これが「いいえ」なら前者、「はい」なら後者。
  永続的なCookieか、一時的なCookieか。これが「いいえ」なら前者、「はい」なら後者。

 次はP3Pコンパクト・ポリシーがある場合を見てみよう。

プライバシの警告で詳細情報を表示(P3Pポリシーあり)
サイトがP3Pコンパクト・ポリシーを発行しているときには、その内容が[最適化ポリシー]の部分に表示される。これは@ITのトップページに含まれるバナー広告を配信する、DoubleClick社が要求するCookieの内容を表示したところ。
  サードパーティのCookieとして認識されていることが分かる。
  P3Pコンパクト・ポリシーの内容。

 商用サイトのほとんどがCookieを要求している現在、Cookieが要求されるたびにこのようなダイアログを表示して、その処理をマニュアルで選択するのは、通常の運用としては現実的ではない。この機能はあくまで、特定サイトのポリシーを確認したいときに、一時的に使うことになるだろう。

現実的な運用は?

 以上、IE 6で追加されたプライバシ管理機能、具体的には、P3Pコンパクト・ポリシーに基づくCookieの自動フィルタリング機能について解説してきた。謎めいたプライバシ設定の全貌についてご理解いただけたと思う。

 多くのサイトがP3Pコンパクト・ポリシーに対応し、かつ第三者機関によるポリシーの認定などが進めば、今回ご紹介したIE 6のプライバシ管理機能と組み合わせることで、今まではほとんど野放しだったCookieを使った個人情報の収集・利用に一線が引かれるだろう。しかし現実は、P3Pコンパクト・ポリシーに対応するサイトはまだまだ少ないし、仮にポリシーが提供されたとしても、それが本当に守られていると安心できる環境にはない。本稿冒頭で述べたとおり、IE 6で追加されたプライバシ管理機能は、安全なプライバシ管理に向けた第一歩でしかない。

 サイトごとにCookie処理を指定することなどもできるが、現実には、IEが持つセキュリティ・ゾーンの機能と組み合わせるのが最も確実で手軽な方法だろう。具体的には、よく使うサイトは「信頼済みサイト」に登録しておき、Cookieは制限なく使えるようにしておく。そして素性の分からない「インターネット」ゾーンのサイトでは、Cookieの自動フィルタリングを行う。この際、デフォルトレベルの[中]では、ファーストパーティのCookieが、一部は制限されるものの、すべて受け入れられてしまうので、レベルは[中 - 高]または[高]にしておく(ゾーンの使い方については「Windows TIPS:IEのセキュリティ設定を変更してセキュリティ機能を強化する」を参照)。

 いずれにせよ、Cookieのフィルタリングにより、一部のサイトではCookieが使えなくなる。注意が必要なのは、Cookieが使えなくなったことによる弊害は、すぐにそれとは分からない形で発生する場合があることだ。例えば筆者は、上記設定でIE 6を使っているが、とある米国の出版社サイトでのユーザー認証が何回やってもうまくいなかくて困っていた(この出版社では、雑誌の定期購読者のみ、記事のバックナンバをWebで参照できるようにしている)。具体的には、ユーザー名とパスワードを指定して先に進もうとしても、ログオンできず、特にエラー・メッセージも表示されずに、またユーザー名/パスワードの入力画面に戻ってしまうという障害である。ユーザー名やパスワードは何度も確認したし、また何度試しても症状が変わらないので、「ログオンできなくて困っている」とユーザー・サポートにメールを送った。担当者からの返事は、「確認するからユーザー名を教えてほしい。ところで、Cookieは有効になっていますよね?」。サイトを「信頼済みサイト」に追加し忘れて、Cookieの自動フィルタリングが有効になっていたのだ。すぐにお詫びのメールを送った(赤面)。

 この一件の原因は、筆者の一方的な不注意にある。しかしCookieの自動フィルタリングやゾーンによる処理の切り替えはIEの内部で行われるので非常に分かりにくい(ステータス・バーにちょっとした情報は表示されるが)。これらの機能を使ってWebブラウジングを一部制限している場合、何らかのトラブルに出会ったら、まずはこれらの制限処理が影響していないか、疑ったほうがよいだろう。End of Article

 

 INDEX
  [検証]IE 6のプライバシ管理機能
    1.HTTPとCookie
    2.より高機能なプライバシ管理を可能にするP3P
    3.Cookieフィルタリングの基礎
    4.IE 6のプライバシ・レポート機能
    5.Cookieフィルタリングの種類
    6.Cookieフィルタリングのレベル設定
    7.既存のCookieの削除
    8.Cookieフィルタリング・レベルの詳細
    9.Cookieフィルタリングの実験
    10.Cookieのマニュアル管理(1)
  11.Cookieのマニュアル管理(2)
 
 検証


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間