暗号化メディア拡張

requestMediaKeySystemAccess() は、文字列 encrypted-media により識別されるポリシー制御 機能である。 その既定の 許可リストは 'self' である [PERMISSIONS-POLICY]。

WebIDL[Exposed=Window]
partial interface Navigator {
  [SecureContext] Promise<MediaKeySystemAccess> requestMediaKeySystemAccess (
      DOMString keySystem,
      sequence<MediaKeySystemConfiguration> supportedConfigurations);
};

WebIDLenum MediaKeysRequirement {
  "required",
  "optional",
  "not-allowed"
};

MediaKeysRequirement 列挙型は次のように定義される:

WebIDLdictionary MediaKeySystemConfiguration {
  DOMString                               label = "";
  sequence<DOMString>                     initDataTypes = [];
  sequence<MediaKeySystemMediaCapability> audioCapabilities = [];
  sequence<MediaKeySystemMediaCapability> videoCapabilities = [];
  MediaKeysRequirement                    distinctiveIdentifier = "optional";
  MediaKeysRequirement                    persistentState = "optional";
  sequence<DOMString>                     sessionTypes;
};

辞書 MediaKeySystemConfiguration は 次のメンバーを含む。

label 型は DOMString、既定値は ""

MediaKeySystemConfiguration に 保持される任意のラベルであり、これは MediaKeySystemAccess の getConfiguration() メソッドから返されるものである。

initDataTypes 型は sequence<DOMString>、 既定値は []

サポートされる初期化データタイプ 名の一覧。このオブジェクトの初期化データタイプ 機能は、一覧が空であるか、（アルゴリズムにより決定されるように）すべての他のメンバーと共に サポートされる1つ以上の値を含む場合にサポートされるとみなされる。 シーケンス内の値は空文字列であってはならない（MUST）。

audioCapabilities 型は sequence<MediaKeySystemMediaCapability>、 既定値は []

サポートされる音声タイプと機能の組の一覧。このオブジェクトの音声機能は、 一覧が空であるか、（アルゴリズムにより決定されるように）すべての他のメンバーと共に サポートされる1つ以上の値を含む場合にサポートされるとみなされる。値の間に 競合がある場合、より前の値が選択される。空の一覧は、 音声機能がサポートされないことを示す。この場合、 videoCapabilities 要素は空であってはならない。

videoCapabilities 型は sequence<MediaKeySystemMediaCapability>、 既定値は []

サポートされる動画タイプと機能の組の一覧。このオブジェクトの動画機能は、 一覧が空であるか、（アルゴリズムにより決定されるように）すべての他のメンバーと共に サポートされる1つ以上の値を含む場合にサポートされるとみなされる。値の間に 競合がある場合、より前の値が選択される。空の一覧は、 動画機能がサポートされないことを示す。この場合、 audioCapabilities 要素は空であってはならない。

distinctiveIdentifier 型は MediaKeysRequirement、 既定値は "optional"

特徴的な識別子 の使用が必要かどうか。

このメンバーが "not-allowed" である場合、 実装は、この構成から作成された任意のオブジェクトに関連付けられた任意の操作について、 特徴的な 識別子または特徴的な永続識別子を使用してはならない（MUST NOT）。

persistentState 型は MediaKeysRequirement、既定値は "optional"

状態を永続化する能力が必要かどうか。これにはセッションデータおよびその他の 種類の状態が含まれる。

このメンバーが "not-allowed" である場合、 CDM は、このオブジェクトの Document のアプリケーションまたは オリジンに関連する いかなる状態も永続化してはならない（MUST NOT）。

注

このメンバーの目的上、永続状態には、キーシステム 実装により制御される永続的な一意識別子 （特徴的な 識別子）は含まれない。 distinctiveIdentifier はこの要件を独立して反映する。

永続状態がサポートされない場合、作成できるのは "temporary" セッションのみである。

注

"temporary" セッションでは、 状態を保存する必要性および能力は キーシステム実装固有であり、使用される機能により変わる可能性がある。

注

非 "temporary" セッションの 作成を意図するアプリケーションは、 requestMediaKeySystemAccess() を呼び出すとき、このメンバーを "required" に 設定すべきである。

sessionTypes 型は sequence<DOMString>

サポートされなければならない MediaKeySessionType の一覧。 すべての値が サポートされなければならない。

辞書が requestMediaKeySystemAccess() に渡されるとき、このメンバーが存在しない [Infra] 場合、 辞書はこのメンバーが [ "temporary" ] に設定されているかのように扱われる。

実装はこの辞書にメンバーを追加すべきではない（SHOULD NOT）。 メンバーが追加される場合、 それらは MediaKeysRequirement 型でなければならず （MUST）、かつ、最も広い アプリケーションとクライアントの組み合わせをサポートするために、既定値を "optional" にすることが 推奨される（RECOMMENDED）。

この辞書は、状態またはデータを CDM に渡すために使用してはならない（MUST NOT）。

WebIDLdictionary MediaKeySystemMediaCapability {
  DOMString contentType = "";
  DOMString? encryptionScheme = null;
  DOMString robustness = "";
};

このオブジェクトにより表される機能がサポートされるとみなされるためには、 contentType は 空文字列であってはならず（MUST NOT）、かつ、すべてのコーデックを含むその値全体が、 robustness と共に サポートされなければならない（MUST）。

keySystem 型は DOMString, readonly

使用されているキーシステムを識別する。

getConfiguration()

requestMediaKeySystemAccess() アルゴリズムにより選択された、サポートされる構成オプションの組み合わせを返す。

返されるオブジェクトは、このオブジェクトで解決されたpromiseを返した requestMediaKeySystemAccess() 呼び出しに渡された、最初に満たされた MediaKeySystemConfiguration 構成の非厳密な部分集合（および暗黙の既定値）である。 その単一の構成で指定されていない機能の値（暗黙の既定値を除く）は含まれず、 したがってキーシステム実装の すべての機能を反映しない場合がある。構成内のすべての値は任意の組み合わせで使用できる。 型が MediaKeysRequirement であるメンバーは、 その機能がいずれかの組み合わせで必要かどうかを反映する。 それらは値 "optional" を持たない。

このメソッドが呼び出されたとき、ユーザーエージェントは次の手順を実行しなければならない （MUST）。

1. このオブジェクトの configuration 値を返す。

   注記

   これにより、このメソッドが呼び出されるたびに、 configuration から新しいオブジェクトが作成され、初期化される。

   注記

   encryptionScheme がアプリケーションによって与えられていなかった場合でも、 累積された configuration は、特定の値を指定せずに ポリフィルがそのフィールドに対するユーザーエージェントのサポートを 検出できるように、値が null である encryptionScheme フィールドを依然として含まなければならない。

createMediaKeys()

keySystem 用の新しい MediaKeys オブジェクトを作成する。

このメソッドが呼び出されたとき、ユーザーエージェントは次の手順を実行しなければならない （MUST）。

1. promise を新しいpromiseとする。

2. 次の手順を並列に実行する。

   1. configuration を、このオブジェクトの configuration 値の値とする。

   2. configuration の distinctiveIdentifier メンバーの値が "required" である場合、use distinctive identifier を true とし、 それ以外の場合は false とする。

   3. configuration の persistentState メンバーの値が "required" である場合、persistent state allowed を true とし、 それ以外の場合は false とする。

   4. 必要であれば、このオブジェクトの cdm implementation 値により表される キーシステム実装を読み込み、初期化する。

   5. instance を、このオブジェクトの cdm implementation 値により表されるキーシステム実装の新しいインスタンスとする。

   6. configuration を用いて、キーシステム機能を有効化、無効化、かつ/または選択するように instance を初期化する。

   7. use distinctive identifier が false である場合、 instance が特徴的な 識別子および特徴的な永続識別子を使用することを防止する。

   8. persistent state allowed が false である場合、 instance が、このオブジェクトの Document のアプリケーションまたは オリジンに関連する いかなる状態も永続化することを防止する。

   9. 前述の手順のいずれかが失敗した場合、適切なエラー 名を名前に持つ新しい DOMException で promise を拒否する。

   10. media keys を新しい MediaKeys オブジェクトとし、 次のように初期化する。

       1. use distinctive identifier 値を use distinctive identifier とする。

       2. persistent state allowed 値を persistent state allowed とする。

       3. supported session types 値を、 configuration の sessionTypes メンバーの値とする。

       4. cdm implementation 値をこのオブジェクトの cdm implementation 値とする。

       5. cdm instance 値を instance とする。

   11. promise を media keys で解決する。

3. promise を返す。

createSession()

新しい MediaKeySession オブジェクトを返す。

注

sessionType パラメーターは、返されるオブジェクトの動作に影響する。

このメソッドが呼び出されたとき、ユーザーエージェントは次の手順を実行しなければならない （MUST）。

1. このオブジェクトの supported session types 値が sessionType を含まない場合、throw [WEBIDL] で NotSupportedError を投げる。

   注

   永続セッションタイプか? アルゴリズムが true を返す sessionType 値は、 このオブジェクトの persistent state allowed 値が false である場合、失敗する。

2. 実装が現在の状態で MediaKeySession 操作を サポートしない場合、throw [WEBIDL] で InvalidStateError を投げる。

   注

   一部の実装は、この MediaKeys オブジェクトが setMediaKeys() を用いてメディア要素に関連付けられるまで、 MediaKeySession アルゴリズムを 実行できない。この手順により、アプリケーションはそのような操作を試みる前に、 この一般的でない動作を検出できる。

3. session を新しい MediaKeySession オブジェクトとし、 次のように初期化する。

   1. sessionId 属性を空文字列とする。

   2. expiration 属性を NaN とする。

   3. closed 属性を 新しいpromiseとする。

   4. key status を新しい空の MediaKeyStatusMap オブジェクトとし、次のように初期化する。

      1. size 属性を 0 とする。

   5. session type 値を sessionType とする。

   6. uninitialized 値を true とする。

   7. callable 値を false とする。

   8. closing or closed 値を false とする。

   9. use distinctive identifier 値を、このオブジェクトの use distinctive identifier 値とする。

   10. cdm implementation 値を、このオブジェクトの cdm implementation とする。

   11. cdm instance 値を、このオブジェクトの cdm instance とする。

4. session を返す。

getStatusForPolicy()

与えられた MediaKeysPolicy に対する MediaKeyStatus を返す。

WebIDLdictionary MediaKeysPolicy {
    DOMString minHdcpVersion;
};

MediaKeysPolicy 辞書は、任意のプロパティのみで構成されるオブジェクトである。 各プロパティはポリシー要件を表す。すべての要件に基づいて CDM が復号済みメディアデータの提示を許可する場合、 ポリシーは満たされているという。

HDCPポリシーは minHdcpVersion により表される。 システムが指定されたHDCPバージョン以上を有効化できる場合、そのポリシーは "usable" の MediaKeyStatus になる。 [EME-HDCP-VERSION-REGISTRY] は、 minHdcpVersion 値から HDCP仕様への対応付けを提供する。

注

HDCPステータスの判定は、CDM が再生中にそのような制限を強制する方法と同じ方法で行われるべきである。 これにより、アプリケーション開発者は、再生を開始するために取得するコンテンツを 最適化できるよう、妥当なヒントを得ることができる。

このメソッドが呼び出されたとき、ユーザーエージェントは次の手順を実行しなければならない （MUST）。

1. policy に存在する 辞書メンバーがない場合、 新しく作成された TypeError で拒否された promiseを返す。

2. promise を新しいpromiseとする。

3. 次の手順を実行するためにタスクを キューに入れる。

   1. policy の各辞書 メンバーについて、次の手順を実行する。

      1. キーが有効な MediaKeysPolicy メンバーでない、または値の型が正しくない場合、promise を TypeError で拒否し、これらの手順を中止する。

   2. policy の各辞書 メンバーについて、次の手順を実行する。

      1. CDM が、その 辞書 メンバーに対する MediaKeyStatus を判定できない場合、promise を NotSupportedError で拒否し、これらの手順を中止する。

   3. policy の各辞書 メンバーについて、次の手順を実行する。

      1. CDM が、その 辞書 メンバーについて復号済みメディアデータの提示をブロックする場合、 promise を "output-restricted" で解決し、これらの手順を中止する。

   4. promise を "usable" で解決する。

4. promise を返す。

setServerCertificate()

ライセンスサーバーへのメッセージの暗号化に使用されるサーバー証明書を提供する。

そのような証明書を使用するキーシステムでは、アプリケーションはサーバー証明書を 明示的に設定するために setServerCertificate() を呼び出すべきである（SHOULD）。 そうしない場合、ライセンス交換が失敗することがある。

注

一部のキーシステムは、"message" イベントをキューに入れるアルゴリズムを介して サーバーから証明書を要求することもサポートする。しかし、 これはそのような証明書を使用するすべてのキー システムでサポートされているわけではない。

サーバー証明書の内容はキーシステム固有である。 実行可能コードを含んではならない（MUST NOT）。

このメソッドが呼び出されたとき、ユーザーエージェントは次の手順を実行しなければならない （MUST）。

1. このオブジェクトの cdm implementation 値により表される キーシステム実装がサーバー証明書をサポートしない場合、 false で解決されたpromiseを返す。

2. serverCertificate が空配列である場合、新しく作成された TypeError で拒否された promiseを返す。

3. certificate を、 serverCertificate パラメーターの内容のコピーとする。

4. promise を新しいpromiseとする。

5. 次の手順を並列に実行する。

   1. sanitized certificate を、certificate の検証済みかつ/または サニタイズ済みバージョンとする。

      注

      ユーザーエージェントは、証明書を CDM に渡す前に 徹底的に検証すべきである。これには、値が妥当な制限内にあることの確認、 無関係なデータまたはフィールドの除去、事前解析、サニタイズ、および/または 完全にサニタイズされたバージョンの生成が含まれることがある。 ユーザーエージェントは、フィールドの長さと値が妥当であることを確認すべきである。 不明なフィールドは拒否または削除されるべきである。

   2. このオブジェクトの cdm instance を使用して sanitized certificate を処理する。

   3. 前述の手順が失敗した場合、適切なエラー 名を名前に持つ新しい DOMException で promise を拒否する。

   4. promise を true で解決する。

6. promise を返す。

このセクションは、ストレージおよび永続性に関する一般的な要件を記述する。

MediaKeys オブジェクトの persistent state allowed 値が false である場合、そのオブジェクトの cdm instance は、このオブジェクトまたは これが作成する任意のセッションに対する操作の結果として、状態を永続化したり、 以前に永続化された状態にアクセスしたりしてはならない（SHALL NOT）。

MediaKeys オブジェクトの persistent state allowed 値が true である場合、そのオブジェクトの cdm instance は、このオブジェクトまたは これが作成する任意のセッションに対する操作の結果として、状態を永続化したり、 以前に永続化された状態にアクセスしたりしてもよい（MAY）。

永続化されたデータは、常に、このオブジェクトの Document の オリジンのみが アクセスできるように保存されなければならない（MUST）。 さらに、そのデータは現在の 閲覧プロファイルからのみアクセス可能でなければならない （MUST）。他の閲覧プロファイル、ユーザーエージェント、および アプリケーションは、保存されたデータにアクセスできてはならない（MUST NOT）。 ユーザーデバイスに保存される情報を参照。

永続ストレージをサポートする際の追加の考慮事項については、10. セキュリティおよび11. プライバシーを参照。

sessionId 型は DOMString, readonly

このオブジェクト、および関連付けられたキーまたはライセンスの セッションID。

expiration 型は unrestricted double, readonly

セッション内のすべてのキーについての有効期限時刻、またはそのような 時刻が存在しない場合、あるいはライセンスが明示的に期限切れにならない場合は NaN。これは CDM によって決定される。 この値は、セッションの存続期間中に変更される可能性がある。たとえば、ある操作が ウィンドウの開始をトリガーする場合などである。

closed 型は Promise<MediaKeySessionClosedReason>, readonly

セッション閉鎖アルゴリズムの実行の結果として オブジェクトが閉じられるときに通知する。 このpromiseは履行されるだけであり、拒否されることはない。

keyStatuses 型は MediaKeyStatusMap, readonly

セッションに既知であるキー IDから、関連付けられたキーの現在のステータスへの読み取り専用マップへの参照。 各エントリーは一意なキーIDを持たなければならない（MUST）。

注

マップのエントリーとその値は、イベントループが回るたびに更新されることがある。 マップは決して不整合または部分的に更新された状態であってはならない （MUST NOT）が、アクセスの間にイベントループが回った場合、 そのアクセスの間で変化することがある。キーIDは、 load() または update() 呼び出しの結果として 追加されることがある。 キーIDは、既存のキーに関する知識を削除する（または既存のキー集合を新しい集合に置き換える） update() 呼び出しの結果として 削除されることがある。キー IDは、有効期限切れなどにより使用不能になったという理由で削除されてはならない （MUST NOT）。 代わりに、そのようなキーには、"expired" などの 適切なステータスが与えられなければならない（MUST）。

注記

一部の古いプラットフォームには、キー ID を公開しない キーシステム実装が含まれる場合があり、 適合するユーザーエージェント実装を提供することが不可能になる。そのような場合、 相互運用性を最大化するために、空でないリストが適切であるときは常に （たとえば、このオブジェクトによって表されるキーセッションが キーを含むことができる場合）、 マップには、1 バイトのキー ID 0 と、このオブジェクトの集約された状態に 最も適した MediaKeyStatus を含む 単一のペアが設定される。

onkeystatuseschange 型は EventHandler

keystatuseschange イベントの イベントハンドラー。

onmessage 型は EventHandler

message イベントの イベントハンドラー。

generateRequest()

initData に基づいてライセンス要求を生成する。アルゴリズムが成功し、 promiseが解決される場合、型 "license-request" または "individualization-request" のmessageが常にキューに入れられる。

このメソッドが呼び出されたとき、ユーザーエージェントは次の手順を実行しなければならない （MUST）。

1. このオブジェクトの closing or closed 値が true である場合、 InvalidStateError で拒否されたpromiseを返す。

2. このオブジェクトの uninitialized 値が false である場合、 InvalidStateError で拒否されたpromiseを返す。

3. このオブジェクトの uninitialized 値を false とする。

4. initDataType が空文字列である場合、新しく作成された TypeError で拒否されたpromiseを返す。

5. initData が空配列である場合、新しく作成された TypeError で拒否されたpromiseを返す。

6. このオブジェクトの cdm implementation 値により表される キーシステム実装が、initDataType を 初期化データ タイプとしてサポートしない場合、 NotSupportedError で拒否されたpromiseを返す。文字列比較は大文字小文字を区別する。

7. init data を initData パラメーターの内容のコピーとする。

8. session type を、このオブジェクトの session type とする。

9. promise を新しいpromiseとする。

10. 次の手順を並列に実行する。

    1. init data が initDataType に対して有効でない場合、 新しく作成された TypeError で promise を拒否する。

    2. sanitized init data を、 init data の検証済みでサニタイズ済みのバージョンとする。

       ユーザーエージェントは、初期化 データを CDM に渡す前に、 徹底的に検証しなければならない（MUST）。 これには、フィールドの長さおよび値が妥当であることの確認、値が妥当な 制限内にあることの確認、および無関係な、サポートされない、または未知の データまたはフィールドの除去が含まれる。ユーザーエージェントが 初期化データを事前解析、 サニタイズ、かつ/または完全にサニタイズされたバージョンを生成することが 推奨される（RECOMMENDED）。initDataType により 指定される初期化 データ形式が複数のエントリーをサポートする場合、 ユーザーエージェントは、CDM に不要なエントリーを 削除すべきである（SHOULD）。 ユーザーエージェントは、初期化 データ内のエントリーを並べ替えてはならない（MUST NOT）。

    3. 前述の手順が失敗した場合、新しく作成された TypeError で promise を拒否する。

    4. sanitized init data が空である場合、 NotSupportedError で promise を拒否する。

    5. session id を空文字列とする。

    6. message を null とする。

    7. message type を null とする。

    8. cdm を、このオブジェクトの cdm instance 値により表される CDM インスタンスとする。

    9. cdm を使用して次の手順を実行する。

       1. sanitized init data が cdm により サポートされない場合、NotSupportedError で promise を拒否する。

       2. session type の値について、次の一覧の手順に従う。

          "temporary"

          requested license type を、一時的で永続化不能な ライセンスとする。

          注

          返されるライセンスは、永続化可能であってはならず、またはそれに 関連する情報の永続化を要求してはならない。

          "persistent-license"

          requested license type を永続化可能なライセンスとする。

       3. session id を一意なセッションID 文字列とする。

          session type に対して永続セッション タイプか?アルゴリズムを実行した結果が true である場合、 そのIDは、このオブジェクトの Document のオリジン 内で、Document間および閲覧セッション間を含め、時間を通じて 一意でなければならない（MUST）。

       4. sanitized init data に基づいて requested license type のライセンス要求を生成できる場合:

          1. message を、initDataType ごとに 解釈される sanitized init data に基づいて 生成された requested license type の ライセンス要求とする。

             cdm は、sanitized init data を介して 提供されていない、メディア データを含む、ストリーム固有のデータを一切使用してはならない （MUST NOT）。

             cdm は、この時点で、セッションIDを含む セッションデータを保存すべきではない（SHOULD NOT）。 セッション ストレージと永続性を参照。

          2. message type を "license-request" とする。

          それ以外の場合:

          1. message を、sanitized init data に基づいて requested license type のライセンス要求を生成できるようになる前に 処理する必要がある要求とする。

             後続の update() 呼び出しにおいて、CDM は、initDataType ごとに解釈される sanitized init data に基づいて requested license type のライセンス要求を生成しなければならない （MUST）。

          2. message type を message の型を反映する "license-request" または "individualization-request" とする。

    10. 次の手順を実行するためにタスクを キューに入れる。

        1. 前述の手順のいずれかがリソース不足により失敗した場合、 QuotaExceededError で promise を拒否する。

        2. 前述の手順のいずれかがその他の理由で失敗した場合、名前が適切な エラー名である新しい DOMException で promise を拒否する。

        3. sessionId 属性を session id に設定する。

        4. このオブジェクトの callable 値を true に設定する。

        5. promise を undefined で解決する。

        6. session に対して "message" イベントをキューに入れる アルゴリズムを実行し、 message type および message を提供する。

11. promise を返す。

load()

指定されたセッションのために保存されたデータをこのオブジェクトに読み込む。

このメソッドが呼び出されたとき、ユーザーエージェントは次の手順を実行しなければならない （MUST）。

1. このオブジェクトの closing or closed 値が true である場合、 InvalidStateError で拒否されたpromiseを返す。

2. このオブジェクトの uninitialized 値が false である場合、 InvalidStateError で拒否されたpromiseを返す。

3. このオブジェクトの uninitialized 値を false とする。

4. sessionId が空文字列である場合、新しく作成された TypeError で拒否されたpromiseを返す。

5. このオブジェクトの session type に対して 永続セッションタイプか? アルゴリズムを実行した結果が false である場合、新しく作成された TypeError で拒否されたpromiseを返す。

6. origin を、このオブジェクトの Document の オリジン とする。

7. promise を新しいpromiseとする。

8. 次の手順を並列に実行する。

   1. sanitized session ID を、sessionId の検証済みかつ/または サニタイズ済みバージョンとする。

      注

      ユーザーエージェントは、sessionId値を CDM に渡す前に 徹底的に検証すべきである。少なくとも、長さおよび値が妥当であること （例えば、数十文字を超えず、英数字であること）の確認を含むべきである。

   2. 前述の手順が失敗した場合、または sanitized session ID が空である場合、 新しく作成された TypeError で promise を拒否する。

   3. このオブジェクトの Document 内に、 閉じられていない MediaKeySession オブジェクトで、その sessionId 属性が sanitized session ID であるものが存在する場合、 QuotaExceededError で promise を拒否する。

      注

      言い換えれば、この閲覧コンテキスト内に、この sanitized session ID に対する閉じられていないセッションが、 型に関係なくすでに存在する場合、セッションを作成しない。

   4. expiration time を NaN とする。

   5. message を null とする。

   6. message type を null とする。

   7. cdm を、このオブジェクトの cdm instance 値により表される CDM インスタンスとする。

   8. cdm を使用して次の手順を実行する。

      1. origin 内に sanitized session ID のために 保存されたデータがない場合、promise を false で 解決し、このアルゴリズムの並列手順を中止する。

      2. 保存されたセッションの session type が、現在の MediaKeySession の session type と同じでない場合、新しく作成された TypeError で promise を拒否する。

      3. session data を、origin 内の sanitized session ID のために保存されたデータとする。これは、他の オリジンからのデータ、またはオリジンに関連付けられていないデータを 含んではならない（MUST NOT）。

      4. 任意の Document 内に、 閉じられていない MediaKeySession オブジェクトで、session data を表すものが存在する場合、 QuotaExceededError で promise を拒否する。

         注

         言い換えれば、任意の閲覧コンテキスト内に、この sanitized session ID に対する閉じられていない永続 セッションがすでに存在する場合、セッションを作成しない。

      5. session data を読み込む。

      6. session data が、そのセッションに対する有効期限 時刻を示す場合、expiration time をその有効期限時刻とする。

      7. メッセージを送信する必要がある場合、次の手順を実行する。

         1. message を session data に基づいて 生成されたメッセージとする。

         2. message type を、そのメッセージに適切な MediaKeyMessageType とする。

   9. 次の手順を実行するためにタスクを キューに入れる。

      1. 前述の手順のいずれかが失敗した場合、適切な エラー名で promise を拒否する。

      2. sessionId 属性を sanitized session ID に設定する。

      3. このオブジェクトの callable 値を true に設定する。

      4. 読み込まれたセッションにいずれかのキーに関する情報（既知のキー）が含まれる場合、 session に対してキー ステータスを更新するアルゴリズムを実行し、各キーの キーID を、適切な MediaKeyStatus と共に提供する。

         キーのステータスを確実に判断するために追加処理が必要な場合は、 "status-pending" を使用する。 1つ以上のキーについて追加処理が完了したら、実際のステータスを用いて キー ステータスを更新するアルゴリズムを再度実行する。

      5. expiration time を提供して、session に対して 有効期限を更新するアルゴリズムを 実行する。

      6. promise を true で解決する。

      7. message が null でない場合、session に対して "message" イベントをキューに入れる アルゴリズムを実行し、message type および message を提供する。

9. promise を返す。

update()

ライセンスを含むメッセージをCDM に提供する。

response パラメーターは、CDM に提供されるメッセージを含む。 内容はキーシステム固有である。実行可能コードを含んではならない （MUST NOT）。

このメソッドが呼び出されたとき、ユーザーエージェントは次の手順を実行しなければならない （MUST）。

1. このオブジェクトの closing or closed 値が true である場合、 InvalidStateError で拒否されたpromiseを返す。

2. このオブジェクトの callable 値が false である場合、 InvalidStateError で拒否されたpromiseを返す。

3. response が空配列である場合、新しく作成された TypeError で拒否されたpromiseを返す。

4. response copy を response パラメーターの内容のコピーとする。

5. promise を新しいpromiseとする。

6. 次の手順を並列に実行する。

   1. sanitized response を、response copy の検証済みかつ/または サニタイズ済みバージョンとする。

      注

      ユーザーエージェントは、応答を CDM に渡す前に徹底的に検証すべきである。 これには、値が妥当な制限内にあることの確認、無関係なデータまたは フィールドの除去、事前解析、サニタイズ、および/または完全に サニタイズされたバージョンの生成が含まれることがある。ユーザーエージェントは、 フィールドの長さおよび値が妥当であることを確認すべきである。 不明なフィールドは拒否または削除されるべきである。

   2. 前述の手順が失敗した場合、または sanitized response が空である場合、 新しく作成された TypeError で promise を拒否する。

   3. message を null とする。

   4. message type を null とする。

   5. session closed を false とする。

   6. cdm を、このオブジェクトの cdm instance 値により表される CDM インスタンスとする。

   7. cdm を使用して次の手順を実行する。

      1. sanitized response の形式が何らかの点で無効である場合、 新しく作成された TypeError で promise を拒否する。

      2. sanitized response を処理し、次の一覧から最初に一致する条件の 規定に従う。

         sanitized response がライセンスまたはキーを含む場合

         注

         これには、初期ライセンス、更新されたライセンス、およびライセンス 更新メッセージが含まれる。

         sanitized response を処理し、次の一覧から最初に一致する条件の 規定に従う。

         sessionType が "temporary" であり、sanitized response が、含まれる ライセンス、キー、または類似のセッションデータを含むセッション データを保存すべきであると指定していない場合

         セッションデータを一切保存せずに sanitized response を処理する。

         sessionType が "persistent-license" であり、sanitized response が永続化可能なライセンスを含む場合

         sanitized response を処理し、sanitized response に含まれるライセンス/キーおよび関連する セッションデータを保存する。そのようなデータは、このオブジェクトの Document の オリジン のみがアクセスできるように保存されなければならない（MUST）。

         それ以外の場合

         新しく作成された TypeError で promise を拒否する。

         セッションストレージと 永続性も参照。

         各セッションのキーを含む状態情報は、たとえ重複するキーIDを 含んでいても、1つのセッションを閉じることが他のセッションにおける 観測可能な状態に影響しないような方法で保存されなければならない （MUST）。

         注

         sanitized response がキーおよび/または関連データを 含む場合、cdm はキーIDでインデックス付けされたキーおよび 関連データを（メモリ内に）保存する可能性が高い。

         注

         セッション内の置換アルゴリズムはキー システム依存である。

         注

         CDM 実装が、標準かつ妥当に高い MediaKeySession オブジェクトあたりの最小キー数、標準の置換アルゴリズム、および 標準かつ妥当に高い MediaKeySession オブジェクト数をサポートすることが推奨される（RECOMMENDED）。 これにより、妥当な数のキーローテーションアルゴリズムを ユーザーエージェント間で実装できるようになり、異なるキーを使用する 同じ要素内のさまざまなストリーム（例: 適応ストリーム、さまざまな 音声および動画トラック）を含むユースケースで再生中断の可能性を 減らすことができる。

         sanitized response がライセンス 破棄の記録の確認応答を含み、 sessionType が "persistent-license" である場合

         次の手順を実行する。

         1. キーセッションを閉じ、 このオブジェクトに関連付けられた保存済みセッションデータ すべてを消去する。これには sessionId およびライセンス 破棄の記録が含まれる。

            注

            後続の load() を、このオブジェクトの sessionId の値で呼び出すと、そのセッションIDについて保存されたデータが 存在しないため失敗する。

         2. session closed を true に設定する。

         それ以外の場合

         セッションデータを一切保存せずに sanitized response を処理する。

         注

         例えば、sanitized response は別の message イベントを生成するために使用される情報を含むことがある。この場合、 内容を sessionType に照らして検証する必要はない。

      3. メッセージを送信する必要がある場合、次の手順を実行する。

         1. message をそのメッセージとする。

         2. message type を、そのメッセージに適切な MediaKeyMessageType とする。

   8. 次の手順を実行するためにタスクを キューに入れる。

      1. session closed が true である場合:

         このオブジェクトに対して、理由 "release-acknowledged" でセッション閉鎖 アルゴリズムを実行する。

         それ以外の場合:

         次の手順を実行する。

         1. このオブジェクトについて CDM に既知であるキーの集合が 変化した、またはいずれかのキーのステータスが変化した場合、 session に対してキー ステータスを更新するアルゴリズムを実行し、各 既知のキーのキーID を、適切な MediaKeyStatus と共に提供する。

            キーのステータスを確実に判断するために追加処理が必要な場合は、 "status-pending" を使用する。 1つ以上のキーについて追加処理が完了したら、実際の ステータスを用いてキー ステータスを更新するアルゴリズムを再度実行する。

         2. セッションの有効期限時刻が 変化した場合、新しい有効期限時刻を提供して、 session に対して 有効期限を 更新するアルゴリズムを実行する。

         3. 前述の手順のいずれかが失敗した場合、名前が適切な エラー名である新しい DOMException で promise を拒否する。

         4. message が null でない場合、session に対して"message" イベントをキューに入れるアルゴリズムを実行し、 message type および message を提供する。

      2. promise を undefined で解決する。

7. promise を返す。

close()

アプリケーションがセッションをもはや必要としておらず、CDM が セッションに関連付けられたリソースを解放して閉じるべきであることを示す。 永続化されたデータは解放または消去されるべきではない。

注

返されるpromiseは要求が処理されたときに解決され、 closed 属性のpromiseは、 セッションが閉じられたときに "closed-by-application" で解決される。

このメソッドが呼び出されたとき、ユーザーエージェントは次の手順を実行しなければならない （MUST）。

1. このオブジェクトの closing or closed 値が true である場合、 undefined で解決されたpromiseを返す。

2. このオブジェクトの callable 値が false である場合、 InvalidStateError で拒否されたpromiseを返す。

3. promise を新しいpromiseとする。

4. このオブジェクトの closing or closed 値を true に設定する。

5. 次の手順を並列に実行する。

   1. cdm を、このオブジェクトの cdm instance 値により表される CDM インスタンスとする。

   2. cdm を使用して、このオブジェクトに関連付けられた キーセッションを閉じる。

      注

      キーセッションを閉じると、明示的に保存されていないライセンスおよび キーは破棄される。

   3. 次の手順を実行するためにタスクを キューに入れる。

      1. promise を undefined で解決する。

      2. このオブジェクトに対して、理由 "closed-by-application" でセッション 閉鎖アルゴリズムを実行する。

6. promise を返す。

remove()

セッションに関連付けられたすべてのライセンスおよびキーを削除する。永続セッションタイプでは、リリースメッセージの確認応答が update() により処理されると、 各セッションタイプについて定義されるように、その他のセッションデータが消去される。

このメソッドが呼び出されたとき、ユーザーエージェントは次の手順を実行しなければならない （MUST）。

1. このオブジェクトの closing or closed 値が true である場合、 InvalidStateError で拒否されたpromiseを返す。

2. このオブジェクトの callable 値が false である場合、 InvalidStateError で拒否されたpromiseを返す。

3. promise を新しいpromiseとする。

4. 次の手順を並列に実行する。

   1. cdm を、このオブジェクトの cdm instance 値により表される CDM インスタンスとする。

   2. message を null とする。

   3. message type を null とする。

   4. cdm を使用して次の手順を実行する。

      1. セッションにいずれかのライセンスおよび/またはキーが関連付けられている場合:

         1. セッションに関連付けられたライセンスおよび/またはキーを破棄する。

            注

            これは、それらがメモリ内、永続ストア内、またはその両方にあるかに かかわらず、ライセンスおよび/またはキーの破棄を意味する。

         2. このオブジェクトの session type の値について、次の一覧の手順に従う。

            "temporary"

            次の手順を続行する。

            "persistent-license"

            1. record of license destruction を、 このオブジェクトにより表されるライセンスの ライセンス 破棄の記録とする。

            2. record of license destruction を保存する。

            3. message を、 record of license destruction を 含む、または反映するメッセージとする。

   5. 次の手順を実行するためにタスクを キューに入れる。

      1. セッション内のすべてのキーIDを、それぞれに対する "released" MediaKeyStatus 値と共に提供して、session に対して キー ステータスを更新する アルゴリズムを実行する。

      2. NaN を提供して、session に対して 有効期限を更新するアルゴリズムを 実行する。

      3. 前述の手順のいずれかが失敗した場合、名前が適切な エラー名である新しい DOMException で promise を拒否する。

      4. message type を "license-release" とする。

      5. promise を undefined で解決する。

      6. message が null でない場合、session に対して "message" イベントをキューに入れるアルゴリズムを実行し、 message type および message を提供する。

5. promise を返す。

MediaKeyStatusMap オブジェクトは、 キーIDから関連付けられたキーの現在の ステータスへの読み取り専用マップである。

キーのステータスは、そのキーが現在使用されているかどうか、およびメディアデータから独立している。

WebIDL[Exposed=Window, SecureContext] interface MediaKeyStatusMap {
  iterable<BufferSource,MediaKeyStatus>;
  readonly attribute unsigned long size;
  boolean has (BufferSource keyId);
  (MediaKeyStatus or undefined) get (BufferSource keyId);
};

WebIDLenum MediaKeyStatus {
  "usable",
  "expired",
  "released",
  "output-restricted",
  "output-downscaled",
  "usable-in-future",
  "status-pending",
  "internal-error"
};

MediaKeyStatus 列挙型は次のように定義される:

MediaKeyMessageEvent オブジェクトは、message イベントに使用される。

WebIDLenum MediaKeyMessageType {
  "license-request",
  "license-renewal",
  "license-release",
  "individualization-request"
};

MediaKeyMessageType は次のように定義される:

WebIDL[Exposed=Window, SecureContext]
interface MediaKeyMessageEvent : Event {
  constructor(DOMString type, MediaKeyMessageEventInit eventInitDict);
  readonly attribute MediaKeyMessageType messageType;
  readonly attribute ArrayBuffer         message;
};

WebIDLdictionary MediaKeyMessageEventInit : EventInit {
  required MediaKeyMessageType messageType;
  required ArrayBuffer         message;
};

メソッドは、返されたpromiseを単純例外 [WEBIDL] または DOMException で拒否することにより エラーを報告する。アルゴリズムでは、[WEBIDL] の次の 単純 例外および DOMException 名が使用される。 アルゴリズムで指定された原因は各名前と並べて示されるが、これらの名前は他の理由にも 使用してよい（MAY）。

この節は、アルゴリズムを補完するセッションストレージおよび永続性の概要を提供する。

次の要件は、ストレージおよび永続性の要件に加えて適用される。

このオブジェクトの session type に対して 永続的セッション型か? アルゴリズムを実行した結果が false である場合、ユーザーエージェントおよび CDM は、いかなる時点においても、 セッションに関連する記録またはデータを永続化してはならない。 これには、ライセンス、キー、ライセンス 破棄の記録、および セッション ID が含まれる。

この節の残りは、永続的セッション型か? アルゴリズムが true を返すセッション型に適用される。

CDM は、 update() が最初に呼び出されるまで、 セッション ID を含むセッションデータを保存すべきではない。 具体的には、CDM は、generateRequest() アルゴリズムの間にセッションデータを保存すべきではない。これにより、 アプリケーションがそのセッションを認識し、最終的にそれを削除する必要があることを 確実に把握できる。

セッションに関連付けられたデータはすべて、セッションが消去されるときに消去されなければ ならない。たとえば、update() において、 ライセンス破棄の記録 の確認応答を処理する場合などである。永続 データを参照。

CDM は、所与のセッションのデータが、任意の Document 内で閉じられていない 1 つの MediaKeySession オブジェクト内にのみ存在することを 確実にしなければならない。 つまり、sessionId パラメーターによって指定されるセッションを表す MediaKeySession がすでに存在する場合、 それが generateRequest() によって作成したオブジェクトがまだアクティブであるためであれ、または load() によって別の オブジェクトに読み込まれているためであれ、 load() は失敗しなければ ならない。セッションは、それをこれまで表したすべてのオブジェクトが 閉じられている場合にのみ、再び読み込まれても よい。

永続的セッション型か? アルゴリズムが true を返す型を使用してセッションを作成するアプリケーションは、後で remove() を使用して まず削除プロセスを開始し、その後、メッセージ交換を伴う場合があるその削除プロセスが 正常に完了することを確実にすることによって、保存されたデータを削除すべき である。CDM も適宜セッションを削除してもよいが、アプリケーションはこれに依存すべきでは ない。

永続的ストレージをサポートする場合の追加の考慮事項については、10. セキュリティおよび11. プライバシーを参照。

mediaKeys 型は MediaKeys, readonly, nullable

このメディア要素について、暗号化されたメディアデータを 復号するときに使用される MediaKeys。

onencrypted 型は EventHandler

encrypted イベントのイベントハンドラー。すべての HTMLMediaElement により、コンテンツ属性およびIDL属性の両方としてサポートされなければならない （MUST）。

onwaitingforkey 型は EventHandler

waitingforkey イベントの イベントハンドラー。すべての HTMLMediaElement により、コンテンツ属性およびIDL属性の両方としてサポートされなければならない（MUST）。

setMediaKeys()

再生中にメディアデータを復号するときに使用する MediaKeys を提供する。

注

再生中に関連付けられた MediaKeys オブジェクトを消去または 置換することのサポートは、実装品質の問題である。多くの場合、それは悪いユーザー体験、 または拒否されたpromiseをもたらす。

このメソッドが呼び出されたとき、ユーザーエージェントは次の手順を実行しなければならない （MUST）:

1. このオブジェクトの attaching media keys 値が true である場合、 InvalidStateError で拒否されたpromiseを返す。

2. mediaKeys と mediaKeys 属性が 同じオブジェクトである場合、undefined で解決されたpromiseを返す。

3. このオブジェクトの attaching media keys 値を true とする。

4. promise を新しいpromiseとする。

5. 次の手順を並列に実行する。

   1. 次の条件すべてが成立する場合:

      • mediaKeys が null でなく、

      • mediaKeys により表される CDM インスタンスが、 すでに別のメディア要素で使用中であり、

      • ユーザーエージェントがそれをこの要素で使用できない

      その場合、このオブジェクトの attaching media keys 値を false とし、 promise を QuotaExceededError で拒否する。

   2. mediaKeys 属性が null でない場合、次の手順を実行する:

      1. ユーザーエージェントまたは CDM が 関連付けの削除をサポートしない場合、このオブジェクトの attaching media keys 値を false とし、promise を NotSupportedError で拒否する。

      2. 関連付けを現在削除できない場合、このオブジェクトの attaching media keys 値を false とし、 promise を InvalidStateError で拒否する。

         注

         例えば、一部の実装では再生中の削除を許可しない場合がある。

      3. mediaKeys 属性により表される CDM インスタンスを メディア データの復号に使用することを停止し、メディア要素との関連付けを削除する。

      4. 前の手順が失敗した場合、このオブジェクトの attaching media keys 値を false とし、promise を適切な エラー名で拒否する。

   3. mediaKeys が null でない場合、次の手順を実行する:

      1. mediaKeys により表される CDM インスタンスを、 メディア データの復号用にメディア要素と関連付ける。

      2. 前の手順が失敗した場合、次の手順を実行する:

         1. mediaKeys 属性を null に設定する。

         2. このオブジェクトの attaching media keys 値を false とする。

         3. 名前が適切な エラー名である新しい DOMException で promise を拒否する。

      3. メディア要素に対して タスクを キューに入れることで、 必要なら 再生を再開しようとする アルゴリズムを実行する。

   4. mediaKeys 属性を mediaKeys に設定する。

   5. このオブジェクトの attaching media keys 値を false とする。

   6. promise を undefined で解決する。

6. promise を返す。

MediaEncryptedEvent オブジェクトは、encrypted イベントに使用される。

WebIDL[Exposed=Window]
interface MediaEncryptedEvent : Event {
    constructor(DOMString type, optional MediaEncryptedEventInit eventInitDict = {});
    readonly        attribute DOMString    initDataType;
    readonly        attribute ArrayBuffer? initData;
};

WebIDLdictionary MediaEncryptedEventInit : EventInit {
  DOMString    initDataType = "";
  ArrayBuffer? initData = null;
};

ユーザーエージェントの実装者は、CDM が、 この仕様の機能を使用した保護メディアの再生に合理的に必要とされない情報、 ストレージ、またはシステム機能にアクセスしないことを保証しなければならない。 具体的には、CDM は以下を行ってはならない:

• この仕様によって明示的に許可されるようにユーザーエージェントを介する場合を除き、 ローカルまたはリモートのネットワークリソースにアクセスすること。

• この仕様の機能を使用した保護メディアの再生に合理的に必要とされる場合を除き、 ストレージ（たとえば、ディスクまたはメモリ）にアクセスすること。

• CDM 状態および永続データ以外のユーザーデータにアクセスすること。

• この仕様の機能を使用した保護メディアの再生に合理的に必要とされる場合を除き、 ハードウェアコンポーネントまたはデバイスにアクセスすること。

ユーザーエージェントの実装者は、上記の要件を満たすためにさまざまな技法を使用してよい。 たとえば、自身の CDM も実装する ユーザーエージェントの実装者は、上記をそのコンポーネントの設計要件として含めてもよい。 第三者の CDM を利用するユーザーエージェントの実装者は、それが禁止された情報およびコンポーネントに アクセスできない制約された環境（たとえば「サンドボックス」）内で実行されることを保証してもよい。

CDM への、および CDM からのすべてのメッセージおよび通信、たとえば ライセンスサーバーとの間のものは、ユーザーエージェントを通過しなければならない。CDM は、直接の 帯域外ネットワークリクエストを行ってはならない。直接個別化で 記述されるもの以外のすべてのメッセージおよび通信は、この仕様で定義される API を介して アプリケーションを通過しなければならない。具体的には、アプリケーション固有、 オリジン固有、 またはコンテンツ固有の情報を含む通信、あるいは アプリケーションによって指定された URL またはそのオリジンに基づく URL に送信される通信はすべて、 API を通過しなければならない。 これには、すべてのライセンス交換メッセージが含まれる。

永続データには、CDM によって、または CDM の代わりにユーザーエージェントによって保存され、 MediaKeys オブジェクトの破棄後に存在するすべてのデータが含まれる。 具体的には、CDM によって、または CDM の代わりにユーザーエージェントによって保存される、 任意の識別子（特徴的な識別子を含む）、 ライセンス、キー、キー ID、またはライセンス破棄の記録が含まれる。

アプリケーションに公開される、または CDM による使用などを通じて アプリケーションが推測可能な値は、識別子として設計されているかどうかにかかわらず、 クライアントまたはユーザーを識別するために使用される可能性がある。このセクションは、 そのような懸念を回避、または少なくとも軽減するための要件を定義する。 識別子については追加の要件がある。

実装による識別子、特に特徴的な 識別子または特徴的な永続識別子の使用は、プライバシー上の懸念をもたらす。 このセクションは、そのような懸念を回避、または少なくとも軽減するための要件を定義する。 アプリケーションに公開される値の要件も、 アプリケーションに公開される識別子に適用される。

識別子、特に特徴的な識別子は、 個別化またはプロビジョニングと呼ばれるプロセスを通じて生成または取得される場合がある。 結果として得られる識別子は、アプリケーションによって関連付け不可能でなければ ならず、それらの使用は、単一の プロファイルからの単一のオリジンにのみ公開されなければならない。このプロセスは、 識別子が消去された後などに、複数回実行されても よい。

このプロセスは、ユーザーエージェントによって直接、またはアプリケーションを通じて実行されなければ ならない。2 種類の個別化についての仕組み、 フロー、および制約は、次の節で説明されるように異なる。どの方法が使用されるかは、 CDM の実装、および この仕様の要件、特に以下の要件の適用に依存する。

実装は、各 MediaKeySession オブジェクト内で複数のキーを サポートしなければならない（MUST）。

実装は、再生中のキー間のシームレスな切り替えをサポートしなければならない （MUST）。これには、同じ MediaKeySession 内のキーと、 別個の MediaKeySession オブジェクト内のキーの両方が 含まれる。

このセクションは、この仕様の実装によりサポートされるコンテンツ（メディア リソース）の特性を定義する。

"org.w3.clearkey" キーシステムは、ソースを復号するために 平文のクリア（暗号化されていない）キーを使用する。追加のクライアント側コンテンツ保護は 必要ない。このキーシステムを以下で説明する。

{
  "kids": [
    "LwVHf8JLtPrv2GUXFW2v_A",
    "0DdtU9od-Bh5L3xbv0Xf_A"
  ],
  "type": "temporary"
}

{
  "keys": [{
    "kty": "oct",
    "k": "tQ0bJVWb6b0KPL6KtZIy_A",
    "kid": "LwVHf8JLtPrv2GUXFW2v_A"
  }],
  "type": "temporary"
}

{
  "kids": [ "LwVHf8JLtPrv2GUXFW2v_A", "0DdtU9od-Bh5L3xbv0Xf_A" ]
}

{
  "kids": [
    "LwVHf8JLtPrv2GUXFW2v_A",
    "0DdtU9od-Bh5L3xbv0Xf_A"
  ]
}

ユーザーエージェントおよびキーシステム実装は、メディア データ、初期化データ、 update() に渡されるデータ、 ライセンス、キーデータ、およびアプリケーションにより提供されるその他すべてのデータを、 信頼できないコンテンツおよび潜在的な攻撃ベクトルとして扱わなければならない （MUST）。それらは、関連する脅威を軽減するために適切な保護策を 使用し、そのようなデータを安全に解析、復号などするよう注意しなければならない （MUST）。ユーザーエージェントは、データを CDM に渡す前に検証すべきである （SHOULD）。

実装は、アプリケーションに、プログラム制御フローに影響するアクティブコンテンツまたは パッシブコンテンツを返してはならない（MUST NOT）。

ユーザーエージェントは、ユーザーに安全にウェブを閲覧する方法を提供する責任を負う。この 責任は、第三者からの機能を含め、ユーザーエージェントによって使用されるあらゆる機能に適用される。 ユーザーエージェントの実装者は、キーシステムの実装者から十分な 情報を取得し、キーシステムとの統合による セキュリティ上の影響を適切に評価できるようにしなければならない。 ユーザーエージェントの実装者は、CDM 実装が、ユーザーエージェントが ユーザーにセキュリティを提供するために十分な制御を提供および/またはサポートすることを 保証しなければならない。ユーザーエージェントの実装者は、CDM 実装が、セキュリティ脆弱性が発生した場合に迅速かつ先回りして更新でき、かつ更新されることを 保証しなければならない。

完全にサンドボックス化されていない、および/またはプラットフォーム機能を使用する CDM 実装を悪用すると、攻撃者が OS またはプラットフォーム機能にアクセスしたり、 権限昇格（たとえば、system または root として実行すること）を行ったり、および/または ドライバー、カーネル、ファームウェア、ハードウェアなどにアクセスしたりできる可能性がある。 そのような機能、ソフトウェア、およびハードウェアは、敵対的なソフトウェアまたは ウェブベースの攻撃に対して堅牢に書かれていない場合があり、特にユーザーエージェントと 比較して、セキュリティ修正で更新されない場合がある。CDM 実装におけるセキュリティ脆弱性の修正について、 更新がない、頻度が低い、または遅いことは、リスクを増大させる。そのような CDM 実装およびそれらを公開する UA は、すべてのデータの解析を含め、 セキュリティのあらゆる領域において特に注意しなければならない。

ユーザーエージェントが、十分にサンドボックス化またはその他の方法で保護できない キーシステム実装をサポートすることを選択する場合、 ユーザーエージェントは、それを読み込むまたは呼び出す前に、ユーザーが十分に情報を提供され、および/または明示的に同意することを保証する べきである。

EMEおよびキーシステムにより 開示される情報に関する懸念は、2つのカテゴリに分類される: (a) 非特定情報であるが、 それでもユーザーエージェントまたはデバイスのフィンガープリンティング可能性に寄与し得る情報に関する懸念、 および (b) ユーザー追跡に直接使用され得るユーザー固有情報。

悪意あるアプリケーションは、サポートされるキーシステムの一覧および関連情報を検出または列挙することにより、 ユーザーまたはユーザーエージェントをフィンガープリントできる可能性がある。 適切なオリジン保護が提供されない場合、これには訪問済みサイトやそれらのサイトについて保存された 情報の検出が含まれ得る。特に、キーシステムは、オリジン間で キーその他のデータを共有してはならない（MUST）。

この仕様のいくつかの機能は、フィンガープリンティングにわずかに寄与し得る能力情報を公開する:

• encryptionScheme メンバーは、 MediaKeySystemMediaCapability のメンバーであり、キーシステムがどの暗号化方式を サポートするかを明らかにする。この情報は大部分が キーシステム自体により 決定されるため、アプリケーションによるキーシステムの選択からすでに示唆されるものを ほとんど超えない。

• getStatusForPolicy() は、指定されたHDCPポリシーを適用できるかどうかを明らかにする。これは現在接続されている ディスプレイチェーンの能力を反映し、ユーザーがディスプレイを再構成した場合、 セッション中に変化することがある。

ユーザーエージェントは、ユーザーの匿名性を保持すること、および/または閲覧活動の記録が クライアント上に永続化されないことを確保することを意図した動作モード（例: プライベートブラウジング）を サポートしてもよい。前のセクションで議論したプライバシー上の懸念は、そのようなモードを使用する ユーザーにとって特に重大な懸念となることがある。

そのようなモードをサポートするユーザーエージェント実装者は、これらのモードで キーシステムへのアクセスを無効化すべきかを慎重に検討すべきである （SHOULD）。例えば、そのようなモードは、 persistentState または distinctiveIdentifier をサポートまたは使用する MediaKeySystemAccess オブジェクトの作成を禁止してもよい （MAY）。これは CDM 実装の一部として、またはアプリケーションがそれらを "required" と示したためである。 実装がそのような作成を禁止しない場合、それらは、その使用を許可する前に、そのようなモードに 期待されるプライバシー特性への影響および潜在的な結果をユーザーに知らせるべきである （SHOULD）。

この仕様で定義されるAPIはセキュアオリジンでのみサポートされ、前のセクションで議論された情報を 保護する。識別子は、識別子を暗号化するで指定されるように 追加で暗号化される。

アプリケーションは、それらが使用するサーバーを含め、CDM からのデータまたはメッセージを伴う、 または含むすべての通信について、セキュアトランスポートを使用すべきである （SHOULD）。これには、message イベントから渡される すべてのデータ、および update() へのすべてのデータを 含むが、これらに限定されない。

すべてのユーザーエージェントは、ユーザーエージェントまたはアプリケーションがセキュアオリジンおよび トランスポートを強制したい場合に、安全でないコンテンツまたはトランスポートへの露出を避けるため、 混合コンテンツ [MIXED-CONTENT] を適切に扱わなければならない （MUST）。