HTTP cookie

HTTP Cookieとは

HTTP Cookie（クッキー）は、ウェブサイトがユーザーのブラウザに保存する小さなテキストデータです。これは、ウェブサーバーがユーザーを識別したり、セッションを管理したりするために利用されます。RFC 6265などで定義され、ウェブブラウザとウェブサーバー間での状態管理を可能にします。

HTTP Cookieの概要

HTTPのステートレス性

HTTPは元来、ファイル転送を目的としたプロトコルであるため、同じURLへのアクセスは常に同じ情報を提供することを前提としています。そのため、ユーザーの過去の行動や状態を記憶する機能がありません。このステートレスな性質は、動的なコンテンツ生成やユーザーごとのカスタマイズには不向きでした。

Cookieの導入

ウェブサイトの普及に伴い、ユーザーの状態に応じて異なるコンテンツを提供したいというニーズが高まりました。そこで、1994年にネットスケープコミュニケーションズ社によってCookieが導入されました。Cookieを使用することで、ウェブサーバーはユーザーの識別子をブラウザに送信し、ブラウザは以降の通信でその識別子をサーバーに送り返すことで、ユーザーを特定し、適切なコンテンツを提供できるようになりました。

Cookieの仕組み

1. ウェブサーバーは、ユーザーを区別するための識別子をHTTPヘッダに含めてブラウザに送信します。
2. ブラウザは、次にそのサーバーと通信する際に、受け取った識別子をHTTPヘッダに含めて送信します。
3. サーバーは、識別子に基づいてコンテンツをカスタマイズし、ブラウザに送信します。
4. 必要に応じて、新しい識別子をHTTPヘッダに含めて送信します。

このプロセスにより、HTTPのようなステートレスなプロトコル上で、ステートフルなサービスを実現することが可能になります。

Cookieの仕様と標準化

標準化の経緯

Cookieは、1997年のRFC 2109で初めて標準化され、その後RFC 2965（2000年）、RFC 6265（2011年）で更新されました。しかし、初期の仕様とRFCで定義された仕様の間には互換性のない部分があり、実際には初期の仕様にセキュリティ属性などを追加したものが使われています。RFC 6265は、これらの問題を解消するために制定されました。

Cookieの主な用途

カートやログイン状態の管理

Cookieの最も一般的な用途は、ショッピングサイトでのカート情報やログイン状態の管理です。これにより、ユーザーは複数のページを移動しても、カートの内容やログイン状態を維持できます。

ユーザーの追跡

また、ウェブサイト運営者や広告配信業者は、Cookieを使ってユーザーの詳細なアクセス履歴を取得することができます。これは、ユーザーの興味や関心に基づいた広告配信や、ウェブサイトの改善に役立てられます。

Cookieの例

ページ表示回数のカウント

Cookieを使って、ウェブページの表示回数をカウントする例を挙げます。ユーザーが最初にページにアクセスした際に、サーバーは「1回目」というクッキーをブラウザに送信します。次にユーザーが同じページにアクセスすると、ブラウザは「1回目」のクッキーをサーバーに送信し、サーバーは「2回目」のクッキーと表示データを送信します。

ログイン情報の保持

MediaWikiのようなソフトウェアでは、ログイン情報をCookieで実現しています。ユーザーがログインすると、サーバーはユーザー名やパスワードの情報をCookieとしてブラウザに送信します。以降のアクセスでは、ブラウザがCookie情報をサーバーに送信し、サーバーはそれに基づいてユーザーを識別します。ログアウト時には、Cookie情報が削除されます。

Cookieの操作

クライアント側スクリプト

JavaScriptなどのクライアント側スクリプトは、HTML DOMを通じてCookieを操作することができます。しかし、Cookieには有効範囲が設定されており、その範囲内のCookieのみがアクセス可能です。

ブラウザの設定

ウェブブラウザでは、Cookieの送受信を制御したり、Cookieの内容を確認したり、削除したりする機能が提供されています。ユーザーは、これらの設定を自由に変更することができます。

Cookieの適用範囲と有効期限

適用範囲

Cookieを設定する際には、どのURLに対してCookie情報を送り返すかを指定することができます。デフォルトでは、Cookieを設定したサーバーに対するすべてのリクエストが対象となります。

有効期限

Cookieの有効期限は、通常ブラウザを閉じるまでですが、指定した期限までは保持することができます。ただし、無期限に設定することはできません。技術的な制約から、2038年以降の日時を設定することは推奨されていません。

Cookieのセキュリティとプライバシーの問題

セッションハイジャック

Cookieを使ったセッション管理では、セッションIDが第三者に漏洩すると、なりすましが可能になる「セッションハイジャック」のリスクがあります。TLS（SSL）を使用しても、Cookieの有効範囲によっては、SSLを利用しないリクエストにCookieが付加される可能性があるため、注意が必要です。

トラッキングクッキー

Cookieは、ユーザーのアクセス履歴を追跡するために使われることがあります。特に、広告業者は、複数のウェブサイトを横断してユーザーの行動を追跡するためにCookieを使用することがあります。このようなCookieは、トラッキングクッキーまたはサードパーティー・クッキーと呼ばれ、プライバシーの侵害につながる可能性があります。一部のセキュリティソフトには、このようなCookieを検出・除去する機能が備わっています。

その他の追跡技術

Cookie以外にも、IPアドレス、ユーザーエージェント、ウェブビーコン、HTTPリファラなどの情報を使ってユーザーを追跡することが可能です。また、Adobe FlashのLocal Shared ObjectやHTML5の機能も同様に利用されることがあります。これらの技術は「ゾンビクッキー」や「スーパー・クッキー」と呼ばれ、ユーザーが気づきにくく、Cookieを削除しても復元される可能性があります。

法規制

2022年4月1日に施行された個人情報保護法により、Cookieの利用には規制がかけられるようになりました。これは、リクナビの運営会社がCookieで得た情報を外部に販売していた問題を受けてのものです。

まとめ

HTTP Cookieは、ウェブサイトの利便性を高めるための重要な技術ですが、セキュリティやプライバシーに関する注意も必要です。ユーザーは、ブラウザの設定やセキュリティソフトを利用して、Cookieを適切に管理することが大切です。

もう一度検索