W3C TAG의 초안, "제3자 쿠키는 반드시 웹에서 제거되어야 함"

 (w3ctag.github.io)
3P by GN⁺ 2일전 | ★ favorite | 댓글 1개
  • 타사(제3자, Third Party) 쿠키는 개인의 프라이버시를 심각하게 침해하는 기술로 간주되어, 웹 플랫폼에서 제거되어야 함
  • 프라이버시 중심의 웹 설계 원칙에 따라 여러 브라우저는 타사 쿠키 차단을 도입했으며, 모든 브라우저가 동참해야 함
  • 기존 쿠키 기반 로그인, 인증, 광고 추적 등의 유용한 기능은 새로운 목적지향 기술로 대체되어야 함
  • 대체 기술은 개별적으로, 그리고 전체 웹 생태계 내 상호작용까지 고려한 평가가 필수적임
  • 웹 표준은 프라이버시를 강화하면서도 특정 사업모델에 종속되지 않도록 중립성을 유지해야 함

Third Party Cookies Must Be Removed

  • 타사 쿠키는 웹 사용자의 정보를 교차 사이트 간 추적하며 프라이버시 침해 요소로 작용함
  • 이 문서는 타사 쿠키 제거의 당위성과 대체 기술의 필요성을 설명하는 W3C Technical Architecture Group(TAG)의 합의 문서임

1. Introduction

  • 웹 프라이버시는 핵심 설계 원칙이며, 다양한 문서와 도구를 통해 이를 보장하고자 함
  • 일부 브라우저는 이미 타사 쿠키를 차단하고 있으나, 모든 브라우저의 일관된 대응이 필요함
  • 제거는 간단하지 않으며, 기존 기능 유지를 위한 기술적 고려가 필요함

2. Why remove third party cookies?

  • 쿠키는 원래 사이트 방문자 인식 용도로 설계되었으나, 이후 추적, 광고, 사기 방지 등 다양한 용도로 확장됨
  • 타사 쿠키는 추적 네트워크의 핵심 기술이며, 사용자 모르게 데이터를 수집 및 공유함
  • 이러한 중앙집중화는 혁신 저해 및 책임 회피 문제를 야기할 수 있음
  • 프라이버시 침해는 표현의 자유, 공동체 건강, 사용자 통제력 약화와도 연관됨

3. Use cases previously met by third-party cookies

  • 로그인, 싱글 사인온, 교차사이트 자원 접근 권한 부여, 사기 탐지 등은 현재 타사 쿠키에 의존함
  • 광고 측정 및 타겟팅도 마찬가지이며, 대체 기술이 이 요구를 충족해야 함
  • 새로운 API는 조합될 경우 추적 가능성을 가지므로 신중한 설계와 감시가 필요함

4. Leaving the web better than we found it

  • 새로운 기술 제안은 프라이버시를 해치지 않음을 명확히 증명해야 함
  • 특히 프로파일링, 사용자 인식, 교차 문맥 데이터 공유와 관련된 제안은 독립적인 리뷰를 권장함
  • 브라우저와 사이트가 이러한 개선을 우회하거나 약화시키는 행위를 해서는 안 됨
  • 웹 생태계는 비즈니스 모델 중립적이어야 하며, 특정 수익 모델을 구조적으로 내장해서는 안 됨
  • 결론적으로, 기존 감시 기술을 유지하는 새로운 수단이 되지 않도록 신중한 대체 기술 도입이 필요함
GN⁺ 2일전  [-]
Hacker News 의견

  • 이 글은 매우 이상한 느낌을 주며, W3C 작업 과정의 일부인지 의문이 듦

    • 2장: 서드 파티 쿠키가 나빠졌다는 점을 지적함
    • 3장: 서드 파티 쿠키의 합법적인 사용 사례가 있으며, 새로운 기술들이 결합되어 사용자 추적에 사용될 수 있음을 경고함
    • 4장: 새로운 웹 플랫폼 기술이 서드 파티 쿠키 문제를 악화시킬 수 있으므로 이를 빨리 해결해야 한다고 주장함
    • W3C의 문화적 맥락을 잘 모르기 때문에 이 문서가 나중에 정리될 초안일 가능성이 있다고 추측함

  • "대체 기술"이 이미 작성 중이며, 이는 서드 파티 쿠키에 추가될 것임

    • Google의 연구에 따르면 서드 파티 쿠키 제거는 수익을 감소시키고, "프라이버시 보호" 추적은 수익을 증가시킴
    • 따라서 두 가지 방법을 모두 사용할 것임

  • 서드 파티 쿠키의 합법적인 사용 사례는 여러 도메인에 걸쳐 있는 단일 논리적 사이트에서 세션을 유지하는 경우임

    • 다른 사례가 있는지 궁금해함
    • 개인적으로는 서드 파티 컨텍스트에서 1차 쿠키도 사용되지 않기를 바람
    • 쿠키를 완전히 제거하고, 클라이언트 인증서를 사용하여 상태를 추적하는 방법을 선호함

  • 서드 파티 쿠키가 제거되면 추적자들은 웹사이트에 스크립트를 포함하도록 요청하여 쿠키를 "1차"로 만들 것임

    • 추적 방법이 아닌 추적 자체를 방지하는 보호 조치가 필요함

  • 쿠키 문제는 단지 겉치레에 불과하며, JavaScript를 활성화하면 쿠키가 없어도 추적이 가능함

    • 웹 사양이 JavaScript가 켜져 있어도 사용자를 추적할 수 없도록 만드는 데 더 많은 노력이 필요함
    • Brave, Firefox 같은 브라우저가 이에 대해 아무것도 하지 않음
    • 진정한 프라이버시를 위해 JavaScript를 비활성화한 브라우저를 사용해야 하는지 의문임

  • Google은 이 사양을 구현하지 않을 것임

    • 현재 법적으로 허용되지 않으며, 광고주들이 서드 파티 쿠키 없이는 경쟁할 수 없다고 주장함
    • Google은 프라이버시 샌드박스를 확장하고, 차단 계획을 철회함

  • 특정 목적의 솔루션이 필요한 사용 사례로는 연합 신원, 교차 사이트 리소스 접근 권한 부여, 사기 방지 등이 있음

    • 사기 방지에는 프라이버시를 보장하는 방법이 없다고 주장함
    • 사기를 사업 비용으로 받아들이거나 프라이버시를 포기해야 함

  • Google이 Chrome을 통제하는 한, 이 논의는 공허함

    • 규제 당국이 Google이 Chrome을 매각하도록 한다면, 새 소유자가 더 나은 결과를 낼 것이라고 기대하지 않음

  • 항상 서드 파티 쿠키를 차단해왔으며, 유일한 문제는 일부 웹 페이지의 임베디드 비디오가 재생되지 않는 것임

  • 서드 파티 쿠키를 대체할 방법 없이 제거하면 공격적인 지문 인식이 보편화될 것임

답변달기