Googleが、近くリリースされるChromeのバージョン80から、新しいCookieの取り扱いを開始するというニュースが大きく報道されているようです。一部の誤解を招くような解説のされ方が混乱を助長しているようにも思います。
Googleの発表の詳細については、Google自身の公式ブログの記事「新しい Cookie 設定 SameSite=None; Secure の準備を始めましょう」の内容をお読みいただくとして、本稿では詳しく解説せず、concrete5で運営しているサイトにどのような影響があるのかを解説します。
基本的には対応不要
「Cookieの取り扱いが厳しくなる」「対応が必要」のように言われていますが、基本的に何も対応の必要はありません。
そもそも、今回の仕様変更はサードパーティーのCookieに関するものです。concrete5のCookieはファーストパーティーになりますので、影響は一切受けません。
サードパーティーとは、Cookieの発行元がブラウザのアドレスバーで見えているURLのドメインと一致していない、外部のサイトによるものを言います。例えば、当サイトにFacebookのLikeボタンが設置されています。このボタンは facebook.com から配信されており、Cookieを使っていますが、発行元がいまご覧になっている concrete5.co.jp ドメインではないので、サードパーティCookieになります。
ちなみに、Chromeの開発ツールを使えば、対応が必要なCookieが存在するかを確認することも可能です。
サードパーティーCookieのために、concrete5で設定変更する必要がある?
開発ツールで上記のメッセージが出ていると不安になりますが、対応が必要なのはそれぞれのCookieの発行元になります。concrete5サイト側でできることはありません。
どんな時に対応が必要になる?
「基本的に対応が不要」ということは、対応が必要な場合もあるの?と疑問に感じるかと思いますが、レアケースですが存在します。例えば、concrete5サイトのコンテンツをiframeやAjaxで他のサイトに埋め込んで表示している場合です。なおかつ、もともとconcrete5サイトでログインしていれば、埋め込まれているconcrete5サイトでもログイン状態が維持されてほしい、という場合です。この場合は、ブラウザで見えているドメインとconcrete5のドメインが異なりますので、concrete5の発行するCookieはサードパーティーということになります。
しかし、concrete5のデフォルト設定では、concrete5はそもそも他サイトにiframeで埋め込まれることを許可していません。したがって、今回のCookieの仕様変更がなくとも、下図のようにもともと利用できていなかったはずです。これは X-Frame-Options ヘッダの設定によるもので、設定ファイルからオンオフを指定できます。
そもそも「他のサイトに埋め込まれる」ということ自体が、広告やSNSの埋め込み、YouTubeの動画プレイヤーなど特殊な用途になりますので、一般的な用途とは言えません。むしろ、あなたのサイトが意図せず他のサイトに埋め込まれてしまうことは、その外部のサイトの一部のように誤認させ、様々なリスクがあります。
ウェブサイトがどこか外部のサイトに埋め込まれること自体がセキュリティ上望ましくないのは間違いなく、規制されていくのはむしろ好ましい流れかと思います。広告業界では大きな騒ぎになっているようですが、concrete5で広告配信システムを構築しているのでない限り、心配しなくて良いのでご安心ください。
Photo by Oleg Magni from Pexels