― MozillaZine.jp フォーラムは Mozilla 製品に関する情報交換の場です ―



All times are UTC + 9 hours

新しいトピックを投稿する トピックへ返信する  [ 9 件の記事 ] 
作成者 メッセージ
投稿記事Posted: 2021年11月11日(木) 17:09 
いつのまにかfile:で開いたローカルなHTMLドキュメントに「クロスサイトCookie」の警告アイコンが表示される場合があります。
経験したのは一度目の相手がreddit.com、二度目の相手がamazon.co.jpでした。
ドキュメント自体は幾つか外部サイトへのリンクを記述していますがredditやamazonへのものはありません。
ただredditはURL手打ちで訪れますし、知らずの内にamazonの広告を見る事はあるでしょうが明示的にFirefoxで何かを許可する操作をした覚えはありません。
このドキュメントでブラウザのコンソールに出力されているものはありません。
このドキュメント以外のローカルなドキュメントに警告アイコンが出たことはありません。

一度警告が出るとブックマークからでも「拡張子の関連付け」で開いてもURL手打ちで開いても出続けます。
[設定]の[Cookieとサイトデータ]の[データを管理]を見てもredditやamazonのドメインはありません。
また[データを消去]してドキュメントを開き直しても、Firefoxを再起動した後も警告は出続けます。
ちなみにもともと「Firefoxを閉じた時にCookieとサイトデータを削除する」は例外なしの設定で使っています。

二度共に[履歴]でFirefoxの終了時に消去するコンテンツに[データ]の[サイトの設定]と[ウェブサイトのオフライン作業用データ]を加えてFirefoxを再起動すると警告アイコンが出なくなりました。
これもちなみに[履歴の消去設定]の[履歴]の方はもともと全部チェック済状態で使っています。

一度目は「Cookieもサイトデータも無いローカルじゃ実害ないし」と見過ごしていましたが、今日二度目が現れたところで不具合かと思った次第です。

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2021年11月11日(木) 19:37 
オフライン

登録日時: 2021年9月24日(金) 14:03
記事: 212
警告とはこれの事でしょうか(画像)

私も詳しくはありませんが、
開いたページ①にcookieが付帯するのではなく、
開いたページ①を参照しているクロスサイトcookieが別に存在しているのかもしれません。
別のページ②がスクリプトかなんかで、①を参照するクロスサイトcookieを生成したケースを見たことがあります。


添付ファイル:
コメント: 警告とはこれの事でしょうか
スクリーンショット 2021-11-11 19-24-25.png
スクリーンショット 2021-11-11 19-24-25.png [ 2.29 KiB | 表示数: 5880 回 ]
通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2021年11月12日(金) 07:08 
そうです。そのアイコンがロケーションバーに表示され、
クリックすると「あなたがこのサイトにいる間、次のサイトからアクセスされる云々」と出ます。

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2021年11月12日(金) 07:54 
オフライン

登録日時: 2021年9月24日(金) 14:03
記事: 212
私の環境でtestしても、ローカルファイルで「二」は出ます。
クロスサイトにローカルファイルを覗かれているようで、ちと不気味ですが、
私の環境での経緯はわかっているので捨て置きです。

nockさんの環境にも
reddit.comやamazon.co.jpに
ローカルファイルをも参照させた何かがあったのかもしれません。
例えが私思い浮かびませんが。


添付ファイル:
コメント: 私の環境での経緯
スクリーンショット.png
スクリーンショット.png [ 68.85 KiB | 表示数: 5834 回 ]
通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2021年11月12日(金) 09:07 
オフライン

登録日時: 2017年4月14日(金) 18:19
記事: 454
「クロスサイトCookie」に関して(私見)

クロスサイト Cookies は、
たちが悪く厄介なものが多いので、
手っ取り早い対策としては
「拡張機能」をブラウザに追加することで合理的に制御できるはずです。

以下に、有効な拡張機能
① ClearURLs:URL からトラッキング要素を取り除く。
② Cookie AutoDelete:クッキーを制御する(不要な Cookie を自動的に削除し、必要な Cookie は残しておく)ことができます。
③ Cookie Quick Manager:クッキーを管理(表示、検索、作成、編集、削除、バックアップ、復元)するためのアドオンです。
④ LocalCDN:ローカルリソースにリダイレクトすることで、CDN(Content Delivery Network)を介したトラッキングから保護する。
⑤ uBlock Origin:アドバンスドモードでは、uBlock Origin を default-deny mode(拒否モード)で動作させることができます。このモードでは、ユーザーが許可しない限り、サードパーティのネットワークリクエストはデフォルトですべてブロックできます。
uBlock Origin: README.md | GitHub: gorhill/uBlock
uBlock Origin: Home(Wiki) | GitHub: gorhill/uBlock

私は実際に、
拡張機能 ①~⑤ の全てをブラウザに追加しています。

_________________
「家庭」ファーストに努め、(仮想現実世界から距離を置き)在宅では、デジタル・デトックスのアナログチックな「スローライフ」に改めました。私的なデジタルタイムは(調べ物や e-mail、資産管理を主用途に)、平日(火曜日~木曜日)での夜間(数十分ほど)に限定しました。着信(通知)があれば返信に努めますが、数日後になることをご了解ください。
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0

通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2021年11月12日(金) 09:33 
オフライン

登録日時: 2021年9月24日(金) 14:03
記事: 212
諸行無常さん的には、
強化型トラッキング防止機能「標準」+①②③④⑤
ですか?

私には
強化型トラッキング防止機能「厳格」でカバーされていないことが
①②③④⑤のどれだかわかりません。
お時間とお気が向いた時に、その辺を専用トピックで解説していただけたら、うれしいなー。

このトピックは質問者さんからの「ローカルコンテンツ」でも?
の謎を追っています。


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2021年11月17日(水) 23:01 
今し方、また"amazon.co.jp"で再現しました。
Firefoxを再起動しても状況は残ったままでしたが[設定>プライバシーとセキュリティ>履歴>Firefoxの終了時に履歴を消去する>設定...]で
Off状態だった[サイトの設定]をチェックして再起動することで消えました。
[ウェブサイトのオフライン作業用データ]は当初の報告以降はずっと非チェック状態です。
また、amazon.co.jp自体のサイトを開いたことは一切ありません。(そもそもamazon使ってないので検索プラグインから除去しています)

※[Cookieとサイトデータ]では[Firefoxを閉じたときにCookieとサイトデータを削除する]はチェックが入っている状態で且つ[例外を管理...]には何も登録していないのですが、
これと上の履歴の設定の棲み分けってなんなんでしょう。

報告以来、普段の使い方で使い続けており発症の直前で思い当たることがあると言えば件のローカルコンテンツ自体を開発者ツールを使いデバッグしながら編集したこと、
ローカルコンテンツのブックマークを編集したこと位です。
自分の環境では普段使いの内で再現することが判りましたので、更に手順が絞れましたらここに報告させて頂きます。

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2022年3月11日(金) 10:39 
あれ以降も度々と事象が発生しています。
Firefox自体は通知される都度バージョンアップしていますが、
感覚としてはバージョンアップした(直後ではない)後に1回発生し
その後は次のバージョンアップまで発生しないといった所です。(あくまで個人の感想です)

発生したとき、表示しているローカルコンテンツのコンソールに次の警告が表示される事に気付きました。
警告はメッセージだけで[詳細]や発生元ソースの表示はありません。

「“null” の生成元 “https://www.reddit.com” へのストレージアクセスが自動的に許可されました。」

開発ツールでストレージを確認しましたがローカルコンテンツにはCookie含め一切のデータはありません。
この警告はロケーションバーのアイコンから許可を取り消すと出なくなります。

以上ご報告

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:98.0) Gecko/20100101 Firefox/98.0


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2022年3月14日(月) 21:51 
警告メッセージを頼りに検索して次のドキュメントを見ながら試したところ、理由が判明しました。

https://developer.mozilla.org/en-US/doc ... nteraction

問題のローカルコンテンツには target="<hoge>" を指定して新規タブでページを開くアンカーがあるのですが、
これで開いたタブを再利用する形で "reddit.com" を開き(ロケーション手打ちでもブックマークでも同じです)
さらにreddit内のトピックをクリックしてポップアップが表示されると同時に、元のローカルへのストレージへアクセスが自動で許可されます。
上のリンクの解説からは、この挙動自体は現在のFirefoxで意図した振る舞いという事だと読み取りました。
(リンクを辿って開いたページじゃなくてもそうなの?という釈然としないものはありますが...)

結局のところ、最近の rel="noreferrer" 問題は聞いていたのに「このコンテンツには外部サイトへのリンク無いし影響ないよ」
と思い込んで放置していたのが一番の要因でした。結果的に rel="noreferrer" を記述したことで再現手順で事象は発生しなくなりました。

長い事お騒がせしました。以上の通りトピックをClose致します。

_________________
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:98.0) Gecko/20100101 Firefox/98.0


通報する
ページトップ
  
引用付きで返信する  
期間内表示:  ソート  
新しいトピックを投稿する トピックへ返信する  [ 9 件の記事 ] 

All times are UTC + 9 hours


オンラインデータ

このフォーラムを閲覧中のユーザー: Google [Bot] & ゲスト[49人]


トピック投稿:  可
返信投稿:  可
記事編集: 不可
記事削除: 不可
ファイル添付: 不可

検索:
ページ移動:  
Powered by MozillaZine.jp® Forum Software © phpBB Group , Almsamim WYSIWYG
Japanese translation principally by ocean