Cookieを使わずにユーザーを追跡する仕組みが普及しつつある 25
ストーリー by hylom
よく考えるなぁ 部門より
よく考えるなぁ 部門より
あるAnonymous Coward 曰く、
Canvas機能を使った文字やグラフィックス描画の際の挙動の違いでWebブラウザの違いを識別する「Canvas Fingerprinting」という技術が開発され、すでにトップ10万のサイト中5.5%がこれを使ったユーザー追跡を利用しているという。
また、ユーザがCookieをこまめに削除しても、サイト側が同じデータをFlashのローカル共有オブジェクト(LSO、Flash Cookie)などに保存しておいて回復させれば、実質的にCookieを不滅化することができる。このEvercookieを実現する手段の一つである「Respawning by Flash cookie」sは、人気上位200サイトのうち10サイトで検出されたそうだ。
Cookieを無効にしていても、適切な対処をしない限り、閲覧者の行動はかなりの割合で漏洩している可能性があるようだ。
Canvas Fingerprintingは、Canvas機能を使ってJavaScriptで文字列や図形などをユーザーに見えないように描画し、それをToDataURLメソッドを使ってデータ化し、そのハッシュを「フィンガープリント(指紋)」として使うというもの。環境によって使われているフォントやデフォルトのフォントサイズなどが違うため、生成される画像やハッシュは異なるものとなり、追跡に利用できるという。
Evercookie (スコア:5, おもしろおかしい)
> Cookieを不滅化することができる。
新手のCookie Clickerかと
Re: (スコア:0)
せぞーん、めりけねくっぷるすかるど
RequestPolicy (スコア:5, 興味深い)
毎度この手の話が出てくると誰かが紹介していますが、FirefoxにRequestPolicyを入れておけばほとんどの第三者サイトを遮断できるので、Canvas FingerprintingもFlash Cookieも大半は遮断できますよ。
それに加えていくつかのアドオン(Flash Cookieを定期的に消すとか)を入れれば、ほぼ対策は取れるんじゃないですか。
Re: (スコア:0)
第三者サイトを使わないのには無力ですよね
Re: (スコア:0)
違う話になるのですが、Firefoxのカスタム版であるTorBrowserだとキャンバスへのアクセスを検知すると空っぽの画像を返すというプライバシー機能があるんですよね。
だからキャンバスだけを対策する方法はあるはずです。
Flashは基本的に無効で、どうしてもみたいコンテンツのみ許可しておけばいいんじゃないでしょうか。
参考記事 (スコア:3, 興味深い)
ブロックできないオンライントラッキングツールが人気サイトに浸透 [mynavi.jp]
普通いじらない (スコア:0)
>環境によって使われているフォントやデフォルトのフォントサイズなどが違うため
普通インストールしたそのままだと思うけど。
たまに拡大するときもあるけど、Ctrl + 0で戻すし。
各Windows versionごとMacが分かるだけのような
Re:普通いじらない (スコア:2, 興味深い)
自分はcookieとLSOをこまめに消しているのですが、
「教えてgoo」で「Q&A参照履歴」がちゃんと残っているのが不思議です。
もちろん、ログインとかしていません。
以前はdebianでiceweaselで閲覧していたのですが、最近chromiumで閲覧しても、何年か前の参照履歴が残っています。
あれって、どうやって識別してるんでしょうかね。
さらに、chromiumで表示される、google検索の候補一覧に、iceweaselでしか検索したことのない候補がでてきたり。
あんまり一般性のない、個人的な名詞での検索なんですが。
Re:普通いじらない (スコア:1)
今確認したらLocal Storageに保存してる様子だった。
これだとcookieやLSO消しても残ってることになるね。
iceweaselでしか検索してない候補がchromiumで出てくるのはIMEの履歴とかじゃないのかな。
でも何年か前の参照履歴が出てくるのは説明しにくいな。軽くホラーだ
Re: (スコア:0)
IPアドレスや無線のアクセスポイント名を使って、追跡しているとか……。
Re: (スコア:0)
localStorage/sessionStorageとか。別ブラウザでも出る場合は、単純にIPアドレスってこともあるかも。
検索候補やインタレスト広告では、よくアクセスするサイトの傾向とかで名寄せ(?)っぽい処理をしているような気がしてます。これらの場合は名寄せの精度は低くてもサービス提供側には実害ないですし。でも自宅でしかアクセスしてないサイトに関連した広告が職場でどかんと出てきてびびったりします(!アダルト)。
Re: (スコア:0)
乱数とかも使って作成すれば端末単位で識別できそう。
Re: (スコア:0)
フォントだけじゃないでしょうが (スコア:0)
フォント以外の情報も利用しているでしょうよ
Re:フォントだけじゃないでしょうが (スコア:1)
フォントかなぁ
Re:フォントだけじゃないでしょうが (スコア:1)
webgl経由でのGPUやドライバのレンダリング差異を検出するようです。
https://cseweb.ucsd.edu/~hovav/dist/canvas.pdf [ucsd.edu]
この手のHWの差異をjavascriptで検出してIDにするのは目からうろこでした。
同じように、演算能力でCPUの違いを計ったり、GPUのレンダリング速度を使ったりできそうですね。
キーリピート速度、マウスの速度なども利用できないかな。計れないか。
Re: (スコア:0)
http://www.browserleaks.com/canvas#comments [browserleaks.com]
// text with lowercase/uppercase/punctuation symbols
var txt = "BrowserLeaks,com 1.0";
ctx.textBaseline = "top";
// the most common type
ctx.font = "14px 'Arial'";
ctx.textBaseline = "alphabetic";
ctx.fillStyle = "#f60";
ctx.fillRect(125,1,62,20);
// some tricks for color mixing
ctx.fillStyle = "#069";
ctx.fillText(txt, 2, 15);
ctx.fillStyle = "rgba(102, 204, 0, 0.7)";
ctx.fillText(txt, 4, 17);
// more explanation? see the Further Reading below...
とりあえずここはフォントと色とベー
Re: (スコア:0)
実は標準フォントには端末識別のための微妙な誤差が仕込まれていたり
なにがどうあってもJavaScriptを普及させたいGoogleさん (スコア:0)
にとっては朗報だな。こんなにも多機能で
Re:なにがどうあってもJavaScriptを普及させたいGoogleさん (スコア:2)
JavaScriptあんまり関係ない
叩くとしたらCanvasとWebGLを叩こう
Re: (スコア:0)
JavaScriptは十二分に普及してる。
Re: (スコア:0)
なにがどうあってもJavaScriptを普及させたくないほうにこそ朗報だろうが
ようやくJavaScriptを叩けるネタが手に入ったんだから
広告屋は詐欺師同然。 (スコア:0)
広告主は広告屋を訴えた方が良い。
あれだけ追跡追跡言って実行してるのに、俺にぴったりの広告が出てこない。
少なくとも、素人ポルノを漁っているときにオンラインカジノや出会い系の広告はマッチしてないと思う。
なんでこんなに必死なの? (スコア:0)
なんでネットだと匿名にこだわるのかわからない。もちろん匿名のサービスがあってもいいけど、匿名では使えないサービスもあるべき。
だから、個人情報を特定できなくてもいいから、同じユーザーであることを保証する技術はあってしかるべきだと思う。
全ての端末はデフォルトでユーザーユニーク情報を送る。ユーザーは送ることを拒否もできるけど、サービス側もそういうユーザーを排除できる仕組みを確立するべき。
Re:なんでこんなに必死なの? (スコア:2)
つまり、/.Jでは、AC投稿を
全面禁止するか、
有料化すべき
だという主張ですね。(Y/はい)
自分のIDを必死に隠しながらのこの主張は、おもおか狙いですね。
# モデしたいときにモデ権なし。