Monoidブログ

プライバシー、アナリティクス、オープンウェブ — 開発者向けに執筆。

RSS フィード
6 分で読了Engineering & Performance

Timing-Allow-Origin: Resource Timing API でアナリティクスが見ているもの

Timing-Allow-Origin ヘッダーは、ページがクロスオリジンのタイミング情報をどれだけ読み取れるかを制御します。プライバシーファーストなパフォーマンス計測にとって、これが何を意味するのかを解説します。

続きを読む
7 分で読了Engineering & Performance

Speculation RulesとPrerendering:先読みされたページについてアナリティクスが誤解していること

ChromeのSpeculation Rules APIは、ユーザーがクリックする前にページをレンダリングできます。それがいかにして単純なアナリティクスを歪めるのか、そしてクッキーレスでエッジベースの計測がどのように正直であり続けるのかを解説します。

続きを読む
4 分で読了Engineering & Performance

あなたのアナリティクススクリプトは、おそらく Back/Forward Cache を無効化している

back/forward cache は戻るボタンによるナビゲーションをほぼ瞬時にするが、たった 1 つの unload リスナーがページ全体でそれを無効化する。原因はたいてい計測スクリプトであり、CrUX は今やその損害を計測できる。

続きを読む
4 分で読了Law & Regulation

GDPRのデータ越境移転は、アーキテクチャで丸ごと消せる唯一のコンプライアンスリスクだ

EU・米国データプライバシーフレームワークは最初の司法審査を乗り切ったが、いまCJEUに上訴中だ。そもそもEUのデータを米国へ移転しないアナリティクスなら、どちらに転んでも失うものはない。

続きを読む
5 分で読了Law & Regulation

EDPBの2026年の取り締まり対象はあなたのプライバシー通知だ

EDPBの2026年共同執行アクションは、GDPR第12〜14条に基づく透明性を監査する。そこを最短で切り抜ける方法は、通知が自ずと書き上がるほど収集を絞り込むことだ。

続きを読む
5 分で読了Engineering & Performance

アナリティクススクリプトは Content-Security-Policy の穴になっている

厳格な CSP は XSS を防ぐ。だがサードパーティのアナリティクスタグがその穴を再び開ける。ホスト許可リストや SRI の欠如がポリシーを台無しにする理由と、ファーストパーティトラッカーが解決する点を解説する。

続きを読む
5 分で読了Engineering & Performance

HTTP レイヤーでのデフォルト・プライバシー:トラッキング面を縮小するヘッダー

Permissions-Policy と Referrer-Policy という 2 つのレスポンスヘッダーが、ページが広告テックや第三者にどれだけ漏らすかを決める。一度設定すれば、監視面はデフォルトで閉じる。

続きを読む
4 分で読了Engineering & Performance

INP は重いアナリティクスを罰する:なぜあなたのトラッカーはメインスレッドにいるのか

Interaction to Next Paint は最も多くのサイトが不合格になる Core Web Vital であり、フィールドデータは行動トラッキングスクリプトが主要因の一つであることを示している。解決策はメインスレッドに送る処理を減らすことだ。

続きを読む
4 分で読了Law & Regulation

Digital Omnibus はファーストパーティ分析を同意の対象外にしようとしている

EU の 2025 年 11 月の Digital Omnibus は、ファーストパーティかつ内部利用のオーディエンス測定を同意不要とする例外を提案している。それは Cookie レス分析がすでに動かしているモデルそのものだ。

続きを読む