今更、サードパーティCookieってどんな仕組みなんだっけとふと思ったので調べた。
Cookieについての理解
サイトにリクエストを送った際に返ってくるデータ、「レスポンス」。
その中にボディ(ページ情報)とかと一緒に混じっているもの。
サーバーが通信した端末(PC,スマホ)を特定するためのもの。
そんなもの使わなくても通信した端末は特定できそうに思うけど、出来ない。(この特性をステートレスと言う)
つまり、このサイトと二度目以降通信する際に「前に通信した者です」という烙印を押された状態で通信をすることになる。
サーバー側は「おぉ、君か。前に入力してくれた情報をもう一回表示するよ」みたいな親切ができる。
Cookieは危険だ!という話をよく聞くが...
最初は上記の通りの認識で、「そんなに危険かな?」という理解だった。
その理解は合っていた。
上記のCookieは「ファーストパーティーCookie」と呼ばれる善のCookieだった。
危険だとよく言われるのは「サードパーティーCookie」と呼ばれるCookieだった。
サードパーティーCookie
例えばアクセスしたサイトA(映画サイト)に、サイトBの作った広告枠が埋め込まれていたとする。
すると、ブラウザはその広告を取得するためにサイトBにもリクエストを送る。
当然そこで返ってくるレスポンスの中には、サイトBのCookieが練りこまれている。
サイトA(ファーストパーティー)に用があるのに、無関係な第三者のサイトB(サードパーティー)からのCookieがブラウザに保存されてしまう。
なのでサードパーティーCookie。
真の恐怖はここから始まる。
アクセスしたサイトがばれる
今、サイトBのCookieを持っている。
ここでサイトC(美容ブログ)にアクセスする。
その中にはサイトBの広告枠が埋め込まれている。
ブラウザはサイトBにリクエストを送る。(ドメインは一緒で、広告の埋め込まれたサイトごとにパラメータが違うんだと思う)
サイトB「おっ…こいつはサイトA(映画サイト)からうちにアクセスしてるな。じゃあ広告の中身は映画だ!」
と、こんな感じでアクセスしたサイト履歴がばれていく。