cookie処理の設定でファーストパーティ、サードパーティとは何？

IEのインターネットオプション→プライバシー→詳細設定でcookieをどうするか決めようとしてます。ファーストパーティ、サードパーティというのは何でしょうか？どう設定すればいいでしょうか？

最初はダイアログ表示にしてました。しかしあまりにも表示が多いので、基本的にはNGにしてGooのような質問時に必要なサイトだけOKに変更つもりです。要は必要最低限のみOKにしたいのです。

No.1 回答者： noname#22689 回答日時： 2006/10/08 03:18

利便性を取るか、安全性を取るか！

後者なら、「サードパーテー」は、ブロック
「ファーストパーテー」は、ダイアログ表示
「常にセッションクッキー」←此処は(ファイアーウオールとか)、不正進入対策やフィッシング対策、スパイウェアー対策がしっかり、カード出来て居れば、チェツクを入れて置いた方が使いかってが良い。
ついでに、IEなら「ポップアップをプロック」へチェツクを。
-------------
サードパーテー
↑
本命のホームページへ入った時、自分の求めて居ない、別のサイトが、勝手に
クッキーの書き込みを行う←ダイアログ表示にしてれば、どんな所が書き込み(クッキーへ)したがって居るのかが分かりますが、自分が欲していないURLなので確認して見るまでも無いです。

この回答へのお礼

ありがとうございます。
セッションクッキークッキーはどういうものなのでしょうか？一応ウイルス対策はしてます。

お礼日時：2006/10/08 08:38

No.2 ベストアンサー 回答者： ryu-fiz 回答日時： 2006/10/08 23:32

私個人は全て『ダイアログを表示する』で管理することを旨としている者です。

これが一番合理的だと信じて疑わないのですが…それがイヤなら別の方法を提示します。

ファーストパーティ、サードパーティとも『ブロックする』に設定してください。こうすることで、基本的に一切のCookieがブロックされます。

では、許可したいCookieはどう設定すればいいのか？
Cookieの許可が必要なページ上で、IEの『表示』→『プライバシーレポート』を選択するか、ウィンドウ右下の『一方通行』マークが出ている辺りをダブルクリックすると立ち上がる『プライバシーレポート』の画面上から、サイト上で要求されているCookieを個別に、ドメイン単位で可否設定出来ます。各項目を右クリックしてそこから可否選択をしてください。

ファーストパーティやサードパーティとはどういった意味を持つのかについて知りたければ、この『プライバシーレポート』の画面左下隅にある『プライバシーの詳細』をクリックしてください。『Cookieとは』という見出しでヘルプ画面が出ます。その各項目に詳細な説明がありますから読んでみてください。

一般的にファーストパーティのCookieは『善玉』で、サードパーティのCookieは『悪玉』という見方をされることが多いのですが、正直これは必ずしも正しくありません。

例えば、サイトの安全を保つためにサードパーティの受け入れを義務付けるケースは、特に有料のサービス、例えば動画配信や音楽ファイルの提供などのオンラインサービスを提供するサイトで見かけることがあります。こうしたサイトでサードパーティ製のCookieを受け入れることが即危険とは限りません。優良なサイトがこのようなCookieを設定していることも多いです。（もちろん悪質なサイトも存在している可能性がありますから、最終的にこうしたサイトの利用は自己判断です）

逆に、ファーストパーティ製のCookieについてもセキュリティ上の危険が懸念されるケースがあります。

最も多い事例としては、ごく一般的なサイトに設置された掲示板に設定されているCookieです。サイト利用者の利便性を考慮して、という名目で、Cookieを受け入れると、保存しておいた状態でサイトに再びアクセスして掲示板に書き込もうとした際に、入力フォーム上にあらかじめハンドルネームやメールアドレスなどが記入済みの状態で表示されることがあります。

実は…このような目的で利用されるCookieの内、かなりの割合のものは実体がテキストファイルであるそのCookieファイルに、全く暗号化されない状態でハンドルネームやメールアドレスがまるっぽ記入されていたりするのです。

もし万一、ユーザーのパソコンにトロイの木馬のようなものが侵入した場合、特定のフォルダに保存されているこうしたCookieのファイルにアクセスすることがあり、結果としてすんなりハンドルネームやメールアドレスが漏洩してしまう、というケースがあったりするのです。

また、Cookieというのはユーザーのパソコンに保存されたのと全く同じ内容のものが、利用先のサーバにも保存されています。もしそのサーバが第三者に攻撃されたとすれば、場合によっては暗号化されない形でサーバ内に残された情報から、やはりハンドルネームやメールアドレスが漏洩してしまうケースが想定されます。

つまり『ファーストパーティのCookieは悪意のないものが殆どだから、格別気にしないで全部受け入れてもいい』とは言えない、ということになります。

『最低限必要なCookieだけを選んで受け入れる』という質問者さんのお考えには、全くもって賛成です。この回答も参考にして、ご自分にあったCookieの受け入れスタイルが確立出来ると良いですね。

加えて申し上げるなら…実は、『必要があって受け入れるCookieについても、可能であれば速やかに削除しておいたほうが安全性が高い』という考え方もあります。

書き込み利用にCookieの受け入れが必須であるサイトの多くではCookieの内容を暗号化していますが、それでもその暗号を解読される可能性が全くないとは言えない、ということがあります。

例えば、ショッピングサイトで受け入れが必要なCookieを削除してしまうと、サイト利用上便利な情報が失われてしまう、というケースも少なくはないのですが…それでも可能な限り、Cookieは必要でないときは削除しておくほうが望ましい、とは言えると思います。

保存されたCookieを一括削除するフリーウェア、特定のCookieを指定しておいて、残り全てを一括削除出来るフリーウェアのCookieマネージャもいろいろありますが…さらに一歩進んで、安全性に考慮した状態で受け入れたCookieを保存しておくために工夫をこらしたCookieマネージャもフリーウェアであったりします。
http://www.geocities.co.jp/SiliconValley-Sunnyva …

この回答へのお礼

ありがとうございます。
御説明の通りに設定して運用を始めました。ファーストパーティのクッキーは相手サーバにも同じものがあるということは、通販でカード番号を前回と同じで入力しないで済むようになっている所がありますが、危険かも知れませんね。

お礼日時：2006/10/10 01:21