Googleは7月、Chrome 76で、ウェブサイト訪問者がシークレットモードを使用しているかどうかをパブリッシャーが把握するために利用していた抜け穴を削除すると発表しました。同社は約束を果たしましたが、研究者たちは、サイト運営者がシークレットモードの訪問者を他の方法で簡単に検出できることを発見しました。Bleeping Computerは土曜日、ニューヨーク・タイムズがこれらの新たな抜け穴を利用しているパブリッシャーのリストに含まれていると報じました。
当然の疑問は、なぜパブリッシャーがユーザーがシークレットモードでサイトを訪問したかを気にするのかということです。この機能は、Chromeのオートコンプリート機能でユーザーの(ええと)お気に入りのアダルト動画プラットフォームが表示されないことを確認するためのものではないでしょうか?実はそうではありません。シークレットモードはCookieもブロックするため、ウェブサイト運営者が訪問者から収集できる情報の量が制限されます。パブリッシャーは、一般的な「ソフトペイウォール」による収益化戦略にこれらのCookieを頼りにしています。
こうしたソフトペイウォールは、一定期間内に一定数の記事を無料で読めるようにするものです(例えば、ブルームバーグは、毎月3本の記事を読むには購読が必要です)。一方、他のサイトでは「ハードペイウォール」を採用しており、何かを読みたい人は購読する必要があります。限られた数の無料記事を提供する出版社は、読者がより多くの記事に喜んでお金を払ってくれるほどの価値を示していることを期待しています。
これらのサイトは、ユーザーが読んだ記事の数を(ご想像のとおり)Cookieを使って追跡しています。つまり、シークレットモードのユーザーは好きなだけ無料記事を読むことができたのです。そこでパブリッシャーは、GoogleがChrome 76で非推奨としたFileSystem APIを使って、訪問者がプライバシー保護のブラウジングモードを使用していることを検出しました。そして、シークレットモードのユーザーには、記事を読むにはアカウントにログインする必要があることを通知するカスタムメッセージを表示できるようになりました。
Googleは、シークレットモードのプライバシーをより高めるためにこれらの抜け穴を塞いだと発表しました。しかし、Vikas Mishraという研究者は、ウェブサイト運営者がFileSystem APIではなくQuote Management APIを使うだけで、誰かがシークレットモードを使用しているかどうかを検知できることをすぐに発見しました。その後、元EdgeプロダクトマネージャーのEric Lawrence氏が8月9日にツイートし、ニューヨーク・タイムズがMishraのコードを使ってシークレットモードのユーザーが記事を読めないようにしていたと指摘しました。
シークレットモードを真にプライベートなものにしようとするGoogleの取り組みを、パブリッシャーが回避するのは、おそらくこれが最後ではないだろう(少なくとも、ブラウザ内のデータのみを保護することを考えると、可能な限りのプライバシーは確保されているだろう)。パブリッシャーは自社の製品を無料で提供する余裕はなく、たとえほとんどのシークレットモードユーザーが単にプライバシーを守りたいだけだとしても、ソフトペイウォールを突破できるシークレットモードはパブリッシャーにとって格好の標的となる。Googleがこうした動きを阻止できるのは限られている。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
