gistfile1.txt

https://bugzilla.mozilla.org/show_bug.cgi?id=844622#c6

CORSのwithCredentials付いてるときはどうする、という話題

ジョナサンメイヤー:
「new policyと同様に、既にcookieを持ってるなら緩和する、これでいいんじゃないの」
「もう一つはwithCredentials付けてる時にはcookieの新規セットを緩和するようにする案。
これは良くないアプローチだし、そもそも必要かどうかわからないが。サードパーティCookieをセットする抜け穴になるだろう。
Safariのフォーム送信のように。Safariではいくつかのウェブサイトがそれを濫用した。」

Brendan Eich:
Does not CORS require reciprocity? I can't make a.com and b.com cooperate via CORS unless I have admin control of both.
Do advertising consumers (sites using ads) really have the budget for anything like CORS? Never mind the ad nets themselves, who are dumb as a box of rocks in my experience.

サイトAとサイトBの両方の管理権限を持っていないとCORSは使えないんじゃないっけ。
広告を掲載するサイトはCORSに対応する予算を持っていますか？ 広告ネットワーク自身は気にかける必要ない、私の経験上、あいつらは相当な馬鹿なので。

----
解説
広告配信コードは既にjsであちこちに埋め込まれてるわけなので、withCredentialsでcookieセットできるようにすれば抜け道になりますね。
広告掲載サイト側の対応は必要なく、抜け道作れば広告ネットワーク側の対応だけで新規cookieセットできるようになる。

マジでモジラの未来が心配