【今さら聞けない】Facebookの「localhost」トラッキング問題、結局どうなったの？

1年ほど前に大きな議論を呼んだ件ですが、現状はどうなっているのでしょうか？詳細はこちらの議論スレッドを確認してみてください：https://news.ycombinator.com/item?id=44235467

もうやってないみたいだね。

https://localmess.github.io (https://localmess.github.io)

更新: 6月3日 7:45 CEST時点で、Meta/Facebook Pixelのスクリプトはlocalhostへのパケット送信やリクエストを行わなくなっている。_fbp cookieを送信していたコードはほぼ完全に削除された。Yandexも以下で説明する手法を停止した。

ChromeやFirefoxはlocal-network-accessを実装済み、あるいは順次展開中だよ。アプリがこういう動作をしようとするとユーザーに警告が出るようになっている。

連邦地方裁判所は月曜日、Metaが分析用Pixelを埋め込んだモバイルサイト上でAndroidユーザーの閲覧履歴を秘密裏に追跡し、それをユーザーの身元と結びつけていたという訴訟において、Metaが裁判に直面すべきとの判決を下した。

サンフランシスコの連邦地裁リタ・リン判事によるこの決定は、昨年6月にカリフォルニア州在住のDevin Rose氏が起こし、後に他のAndroidユーザーも加わった集団訴訟から発展したものだ。

Rose氏の主張によれば、Metaは2024年9月から2025年6月にかけて、ソフトウェア開発者がアプリのテストに使うAndroidのlocalhost機能が悪用され、ユーザーのモバイル閲覧履歴とFacebookやInstagramのプロフィールを紐付けられていたとのこと。

2026年5月12日

ソフトウェアエンジニアの組合があったらいいなって思うよ。労働条件を良くしたいというより、「その非倫理的な機能の実装は組合の規則に反するから会員資格を失うことになる」って断れるようになるためにね。

話はそれるけど、こういうデータ収集を汚染（ポイズニング）するのってどれくらい難しいんだろう？

タイムリーな質問だね。誰かが最近の命令書や第3次修正訴状を共有してくれるといいんだけど。

2025年の議論以降、Rose対Metaの訴訟はMetaに対する他のプライバシー関連の訴訟と統合されたんだ。

第1次修正訴状が提出されてGoogleが被告に加わり、被告側の却下申し立ては棄却された。

そして月曜日に第3次修正訴状が提出されたよ。

PDFは以下の通り。

第1次修正訴状

https://dn711508.ca.archive.org/0/items/gov.uscourts.cand.45... (https://dn711508.ca.archive.org/0/items/gov.uscourts.cand.450524/gov.uscourts.cand.450524.84.0.pdf)

Metaの却下申し立て

https://dn711508.ca.archive.org/0/items/gov.uscourts.cand.45... (https://dn711508.ca.archive.org/0/items/gov.uscourts.cand.450524/gov.uscourts.cand.450524.101.0.pdf)

Googleの却下申し立て

https://dn711508.ca.archive.org/0/items/gov.uscourts.cand.45... (https://dn711508.ca.archive.org/0/items/gov.uscourts.cand.450524/gov.uscourts.cand.450524.104.0.pdf)

原告の回答

https://dn711508.ca.archive.org/0/items/gov.uscourts.cand.45... (https://dn711508.ca.archive.org/0/items/gov.uscourts.cand.450524/gov.uscourts.cand.450524.107.0.pdf)

Metaの反論

https://dn711508.ca.archive.org/0/items/gov.uscourts.cand.45... (https://dn711508.ca.archive.org/0/items/gov.uscourts.cand.450524/gov.uscourts.cand.450524.110.0.pdf)

Googleの反論

https://dn711508.ca.archive.org/0/items/gov.uscourts.cand.45... (https://dn711508.ca.archive.org/0/items/gov.uscourts.cand.450524/gov.uscourts.cand.450524.113.0.pdf)

命令書

(要支払い)

https://pacer.login.uscourts.gov/csologin/login.jsf?pscCourt... (https://pacer.login.uscourts.gov/csologin/login.jsf?pscCourtId=CANDC&appurl=https://ecf.cand.uscourts.gov/doc1/035027110772?caseid%3D450524)

第2次修正訴状

(要支払い)

https://pacer.login.uscourts.gov/csologin/login.jsf?pscCourt... (https://pacer.login.uscourts.gov/csologin/login.jsf?pscCourtId=CANDC&appurl=https://ecf.cand.uscourts.gov/doc1/035027197826?caseid%3D450524)

最近、WebアプリからLANサービスにアクセスさせるための方法を調べてるんだ。例えば、WebDAVサーバーを使って、サーバー経由でストリーミングせずにアプリ内でローカルビデオを再生できるようにする、といったことだね。

mDNSを使ってservice.localのようにサービスを登録すれば、一種の探索機能は実現できる。ブラウザはhttp://service.localへの直接のナビゲーションやリダイレクトは許可してくれるけど、CORSを設定していてもMixed Content（混合コンテンツ）ルールによってfetchやXHRリクエストはブロックされちゃうんだ。それに、そもそも.localドメインには証明書を発行できないしね。

ChromeのLNA0みたいな新しい仕組みはかなり役立つよ。今のところはユーザーが許可さえすればfetch/XHRが通るようになるからね。ただしコンソールに警告がたくさん出てくるけど。

現状、このユースケースを完全にサポートする唯一の方法がWebRTCを使うことみたいで、ちょっと悲しいな。