Mozilla Hacksの2023年10月12日付記事「Built for Privacy: Partnering to Deploy Oblivious HTTP and Prio in Firefox」を紹介します。
この記事のテーマは、Firefoxを改善するための計測と、ユーザーの閲覧プライバシーをどう両立するかです。ブラウザを速く、壊れにくくするには実ユーザー環境のデータが役立ちます。一方で、どのサイトで何が遅くなったかをそのまま集めれば、閲覧履歴に近い情報になってしまいます。
OHTTPとDAP/Prioで何を分けるのか
記事では、MozillaがFastlyとDivvi Upと協力し、FirefoxにOblivious HTTPとPrioベースのDistributed Aggregation Protocolを導入していくことが説明されています。
Oblivious HTTPは、暗号化されたHTTPメッセージを中継者経由で転送することで、送信元と内容の結びつきを分離する仕組みです。Firefoxの文脈では、FastlyがOHTTPリレーを運用することで、Mozilla側がリクエストの発信元を直接知りにくくする構成になります。Fastly側の発表「Firefox and Fastly take another step toward a privacy upgrade for the internet」でも、この役割が説明されています。
一方、Distributed Aggregation Protocolは、個々の測定値をそのまま1箇所へ送るのではなく、複数の集計者に分割して扱うためのプロトコルです。Divvi Upの「Divvi Up is providing privacy-preserving metrics for Firefox」では、Firefoxの計測値を2つの理解不能な断片に分け、片方をDivvi Up、もう片方をMozilla側の集計者へ送る構成が紹介されています。
なぜFirefoxに必要なのか
Mozillaはすでにページロード時間などの汎用的な性能メトリクスを扱っていますが、特定サイトに結びつく形で収集すると閲覧履歴の露出につながります。記事では、あるサイトが一晩で急に遅くなったような場合、その原因を知ることはFirefox改善に有用だが、従来の素朴な収集方法ではプライバシー上の問題があると説明されています。
ここでOHTTPとDAP/Prioが効いてきます。OHTTPは送信元と宛先の関係を分け、DAP/Prioは個々の値ではなく集計値を得るためにデータを分散します。どちらも「誰か1者が全体像を持たない」ことを設計の中心に置いています。
参照リンクから見える位置づけ
記事の背景にあるMozilla’s Vision of the Webでは、Web上の活動は標準でプライベートであるべきだという方向性が示されています。同時に、ブラウザやWebを良くするための計測が必要になる場面もあります。この2つを対立させるのではなく、技術設計で両立させようとするのが今回の取り組みです。
また、ISRGはLet’s EncryptやDivvi Upを運営する非営利組織です。記事では、FastlyとISRG/Divvi Upのような独立した信頼できる組織と組むことが重要だと説明されています。プロトコルだけでなく、運用主体の分離もプライバシー保証の一部になっているわけです。
気づき
この話で特に重要だと感じたのは、「プライバシーを守る」と「何も測らない」は同じではないという点です。何も測らなければ改善は難しく、全部集めればユーザーの信頼を失います。OHTTPやDAP/Prioは、その間にある第三の道として、改善に必要な集計結果だけを得るための構造を作っています。
Webサービスやアプリでも、単にログを削るか集めるかの二択ではなく、誰が何を見られる設計なのか、どこで分割するのかを考える余地があります。Firefoxの取り組みは、プライバシーを理念ではなくアーキテクチャとして実装する例として参考になります。
参照元: Built for Privacy: Partnering to Deploy Oblivious HTTP and Prio in Firefox
コメントを残す