製品レビュー
Internet Explorer 6 Public Previewファーストインプレッション

6.IE 6におけるCookieフィルタの基礎知識

デジタルアドバンテージ
2001/04/06

 すでに述べたとおり、IE6 PPのCookieフィルタ機能では、まだプライバシ基本設定のインポート機能は実装されていない。またドキュメントによれば、[プライバシ基本設定]の部分に[Advanced(詳細)]というボタンが配置され、ここからさらに、たとえば特定のサイトのCookieだけ受理/拒否するなど詳細なCookieフィルタリング設定が行えるようになると説明されている(こちらもIE6 PPでは未実装)。

 基本的にIE 6におけるCookieのフィルタリングでは、アクセスしているWebサイトがコンパクト・ポリシーを持っているかどうか、ポリシーを持っているならそれが自分の望む条件に合致しているかどうかで、Cookieの受理/拒否を切り替える。そしてさらに細かくは、そのサイトがファースト・パーティなのかサード・パーティなのかによって処理を切り替えるし、Cookieの有効範囲や有効期限などを条件によって変化させることができる。

■ファースト・パーティ/サード・パーティ
  例えば、分かりやすい例として、今ご覧のアットマーク・アイティのトップページを例にとろう(アットマーク・アイティのトップページ)。このアットマーク・アイティも、ユニークな読者がどのくらいいるかなどの読者ログ管理のためにCookieを発行している。さらにアットマーク・アイティのトップページに表示されるバナー広告の一部は、ダブルクリックの広告配信サービスを利用している(ダブルクリック社のWebページ)。つまりWebページとしては1ページに見えるのだが、実際には、アットマーク・アイティのWebサーバと、ダブルクリックのWebサーバの双方からコンテンツが表示されているわけだ。そしてこのダブルクリックも、アットマーク・アイティとは別にCookieを発行している。したがってアットマーク・アイティのトップページを表示しようとすると、アットマーク・アイティとダブルクリックが1つずつCookieを発行しようとする。

 このときIE 6のCookieフィルタリングでは、ユーザーが直接URLなどを指定して表示したサイト(この例ではアットマーク・アイティのサイト)はファースト・パーティ(first-party)、ファースト・パーティのコンテンツの内部に暗黙にコンテンツを含めているサイト(この例ではダブルクリックのサイト)をサード・パーティ(third-party)として区別することができる。

■コンパクト・ポリシーの評価
  サイトがコンパクト・ポリシーを提供している場合、IE 6は、その内容によって、それが安全なCookieか、unsatisfactory Cookieかを判別する。unsatisfactoryは「不満足な/不十分な」という意味だ。最終的には、日本語の訳語が当てられることになると思われるが、現時点では不明なので、ここではあえて英語のまま使うことにする。

■downgrade/leash
 IE 6のCookieの取り扱い方法には、特に制限することなく使用を許可する受理(accept)と、使用の拒否(deny)以外に、downgradeとleashという2つがある。downgradeとleashには、それぞれ「降格」、「束縛/統制」という意味があるが、これらも正確な訳語は不明なので英語のまま表記することにする。

 通常Cookieの値は、IEのセッション(IEを起動してから終了するまでの間)が完了しても有効になっており、次回のセッションでは前回のCookieの値がそのまま利用される。これを「パーシステント(永続的)」なCookieというが、downgradeのCookieでは、IEのセッションが終了すると(もしくはCookieの期限が切れると)Cookieが削除される(つまり「パーシステントなCookie」から「セッション内でのみ有効なCookie」に降格される)。したがってdowngrade Cookieを受け付けても、IE 6を終了するとそのCookieは削除される。

 一方のleashのCookieは、それがファースト・パーティのコンテンツとして要求されたときだけサイトに送られるものである。たとえば先の例では、アットマーク・アイティをファースト・パーティとしていたが、アットマーク・アイティが発行したCookieがleashとして評価されると、それがファースト・パーティとして要求されている分にはCookieを送付するが、仮にアットマーク・アイティがサード・パーティのサイトになるような形式でCookieが要求されたときには、Cookieの送付が抑制される。

IE 6のプライバシ基本設定とCookieフィルタ

 予備知識を踏まえたうえで、IE 6のプライバシ基本設定に応じて、Cookieがどのように評価/処理されるかを一覧表にまとめよう。ただし前述したとおり、IE 6 PPでは、このうち[Medium High]と[Medium Low]の2つは実装されていない。またこちらもIE 6 PPでは未実装であるが、最終バージョンでは、以下の標準設定のほかに、個別の条件をユーザーが指定できるカスタマイズ機能も追加される模様である。

ポリシーの状態 ファースト・パーティのコンテンツ サード・パーティのコンテンツ
プライバシ基本設定:[高]
コンパクト・ポリシーの有無にかかわらず、すべてのCookieを拒否する
プライバシ基本設定:[Medium High]
コンパクト・ポリシーなし leash 拒否
unsatisfactory Cookie 拒否 拒否
安全なCookie 受理 受理
プライバシ基本設定:[中]
コンパクト・ポリシーなし leash 拒否
unsatisfactory Cookie downgrade 拒否
安全なCookie 受理 受理
プライバシ基本設定:[Medium Low]
コンパクト・ポリシーなし leash downgrade
unsatisfactory Cookie 受理 downgrade
安全なCookie 受理 受理
プライバシ基本設定:[低]
コンパクト・ポリシーの有無にかかわらず、すべてのCookieを受理する
プライバシ基本設定のレベルとCookieフィルタ

Cookieフィルタリングの挙動

 残念ながら、P3Pコンパクト・ポリシーを提供する手頃なサイトが見つからなかったため組織的なテストはできなかったが、今回は前出のアットマーク・アイティのトップページで簡単なテストを行った。この実験を基に、ユーザーから見たCookieフィルタリングの挙動について説明しよう。

 まず、デフォルトの状態(プライバシ基本設定[中]の状態)で、アットマーク・アイティのトップページ(http://www.atmarkit.co.jp/)を表示してみる。テストした時点では、アットマーク・アイティは、P3Pコンパクト・ポリシーを提供していないので、上表の「コンパクト・ポリシーなし」として評価される。したがってファースト・パーティであるアットマーク・アイティが発行するCookieは「leash」として、サード・パーティであるダブルクリックが発行するCookieは「拒否」として処理されるはずだ。

 ページを表示すると、IE 6のステータス・バーに小さなアイコンが表示される。

Cookieフィルタリングが機能したことを表すステータス・アイコン
IE 6でCookieのフィルタリングが機能すると、この小さなアイコン(恐らくは目のイメージにビックリマークが付いたアイコン)が表示される。
  Cookieフィルタリングが機能したことを示すアイコン。

 これは、現在のページを表示するにあたり、IE 6のCookieフィルタリングが機能したことを示すものである。このとき、どのようなフィルタリングが機能したのかを知りたければ、このアイコンをダブルクリックする。

プライバシ基本設定[中]でアットマーク・アイティのトップページを表示したところ
プライバシ基本設定[中]でアットマーク・アイティのトップページを表示し、Cookieフィルタの状況を確認すべくステータス・バーのアイコンをダブルクリックすると、このようにフィルタリングの内容が表示される。このテストでは、サード・パーティであるダブルクリックのCookieが拒否されている。
  バナー広告を表示しているダブルクリックが発行するCookieを拒否したことを表す報告。コンパクト・ポリシーが提供されないサイトに対しては、[ポリシー]の部分に[ポリシーなし]と表記される。

 このようにプライバシ基本設定が[中]である場合は、バナー広告を表示するサード・パーティ・サイトのダブルクリックのCookieだけが拒否される。実際、この状態でCookieファイルが保存されるTemporary Internet Filesフォルダを確認すると、アットマーク・アイティ向けのCookieファイルだけが保存されており、ダブルクリックのCookieファイルは保存されていない。

 この場合でも、アットマーク・アイティのCookieは受理ではなくleashなので、これがサード・パーティになるときには、Cookieの送信が抑制されるはずだ。アットマーク・アイティではなく、手元のWebサーバで同じような状況を作り出し、テストしたところでは、確かにleashのCookieがサード・パーティとして要求されたときには、IE 6はCookieを送信しないことが確認できた。

 それでは今度は、プライバシ基本設定を最も厳しい[高]にして、再度アットマーク・アイティのトップページを表示してみよう。ただし今の実験ですでにCookieファイルが保存されているので、あらかじめこれを削除しておく。上の表から分かるとおり、今度はアットマーク・アイティのCookieも、ダブルクリックのCookieもいずれも拒否されるはずだ。フィルタリングの詳細を確認すると、予想どおりの結果になった。またこの場合には、Temporary Internet Filesフォルダには、いずれのCookieファイルも作成されていなかった。

プライバシ基本設定[高]でアットマーク・アイティのトップページを表示したところ
今度は、アットマーク・アイティおよびダブルクリックの双方のCookieが拒否された。Temporary Internet FilesフォルダにはいずれのCookieファイルも作成されていなかった。
  今度は、ダブルクリックだけでなく、アットマーク・アイティが発行するCookieも拒否されていることが確認できる。

プライバシ管理機能が有効に機能するかどうかは、P3Pポリシーの普及次第

 以上、主にユーザーと管理者の視点から、IE 6 PPで新しく追加された機能を中心に見てきた。興味深いプライバシ管理機能であるが、これが狙いどおりに機能するためには、Webサイト側がP3P対応のポリシーを正しく記述してくれなければ意味がない。RSAC(Recreational Software Advisory Council)の規制機能(Webページに暴力やセックスなどの表現が伴う場合に、その旨をヘッダに記述しておき、ブラウザ側で表示などを規制する機能)のように、有名無実になってしまわないことを願いたい。

 これ以外にもIEには、Webサイト開発者向けの高機能ブラウザとして、Webベースのソリューションを開発するプログラマ向けのプラットフォームとして、スタンドアロン・アプリケーションのプログラマ向けのコンポーネントとしての横顔もあるが、これらについては追ってご紹介することにしたい。

 なお最後になったが、IE 6 PPをインストールすると、エクスプローラのツリー・ビュー(ディレクトリ階層をツリー表示するペイン)において、あるフォルダ以下にフォルダが含まれているかどうかにかかわらず、すべてのフォルダ・アイコンに対し、それ以下にフォルダが含まれていることを示す「+」マークが表示されてしまうというバグがあるようだ。もちろん、最終版では修正されるだろうが。End of Article

(技術協力:井口 圭一)

  関連リンク
  Internet Explorer 6 Public Previewのホームページ(マイクロソフト)
  Internet Explorer 6 Public Previewのハイライト(米Microsoft)
  Internet Explorer 6 Public Previewのプライバシ機能(米Microsoft)
  ダブルクリック社のページ
  アットマーク・アイティのページ
     
 

 INDEX
  [製品レビュー]Internet Explorer 6 Public Preview ファーストインプレッション
    1.IE 6 PPの入手とインストール
    2.UIの改良はわずか。興味深いのはプライバシ管理機能の追加
    3.Webページ上の画像処理を簡略化するイメージ・ツール・バー
    4.エラーの報告と、関連情報の提供を自動化する「エラー情報の収集機能」
    5.Cookieファイルの削除用ボタンを標準で用意
        コラム:P3Pとは何か?
  6.IE 6におけるCookieフィルタの基礎知識
 
製品レビュー


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH