夜になるとさらに多くのもの:HTTP ETags、Web Storage、「history stealing」

Flash Cookieとブラウザーフィンガープリントに関する記事では、商用インターネット企業、特にサードパーティの分析と広告ドメインが、HTTP Cookieの危険性に対する一般の認識を回避するために、ますます巧妙で洗練された方法を使用していることを確認しました。ウェブ全体の動きを追跡します.

Flash Cookie(いわゆるゾンビCookieを含む)と、ますますブラウザのフィンガープリントが、これを行うために使用される最も一般的な方法ですが、他にもあります。この記事では、これらのいくつかを見て、それらがどのように失敗するかを議論します.

HTML5 Webストレージ

HTML5の機能(Flashの非常に有名な代替)は、Webストレージ(DOM(Document Object Model)ストレージとも呼ばれます)です。 Cookieよりも不気味で強力なWebストレージは、Webブラウザーにデータを保存するCookieに類似した方法ですが、はるかに永続的で、はるかに大きなストレージ容量を持ち、通常は監視、読み取り、または選択できないWebブラウザから削除されました.

4 kBのデータを含む通常のHTTP Cookieとは異なり、ウェブストレージでは、Chrome、Firefox、Operaではオリジンあたり5 MB、Internet Explorerでは10 MBを使用できます。 WebサイトはWebストレージをはるかに高いレベルで制御し、Cookieとは異なり、Webストレージは一定の期間が経過しても自動的に期限切れになりません(つまり、デフォルトでは永続的です).

Ashkan SoltaniとUC Berkeleyの研究者チームが2011年にWeb追跡の調査を実施したところ、調査対象の上位100のWebサイトのうち、17がtwitter.com、tmz.com、squidoo.com、nytimesなどのWebストレージを使用していることがわかりました.com、hulu.com、foxnews.com、およびcnn.com。これらのほとんどは、Meebo、KISSanalytics、Pollydaddyなどのサードパーティの分析サービスに接続されています.

どうやって止めるの?

Webストレージは非常に簡単にオフにできますが、多くのサイト(CNNなど)は適切に機能しません。.

Firefoxの場合:

  • Firefoxを起動し、アドレスバーにabout:configと入力します
  • [注意してください、約束します!]をクリックします。
  • dom.storage.enabledに達するまで下にスクロールするか、「dom.storage.enabled」を検索バーにコピーして貼り付けます
  • 「dom.storage.enabled」をダブルクリックすると、デフォルト値の「true」から「false」に変更されます

Firefoxユーザーは、BetterPrivacyアドオンを設定してWebストレージを定期的に自動的に削除するか、クリックを使用することもできます&クリーンアドオン.

Internet Explorerの場合:

  • Internet Explorerを起動し、[ツール]メニューを開きます
  • [インターネットオプション]を選択します
  • [詳細設定]タブをクリックします
  • 「セキュリティ」に達するまで下にスクロールします
  • [DOMストレージを有効にする]チェックボックスをオフにします
  • [OK]をクリックします

Chromeの場合:

Chromeユーザーはクリックを使用できます&クリーンな拡張機能、または多目的のGoogle NotScripts拡張機能ですが、これには高度な設定が必要です.

SafariおよびOperaの場合:

これらのブラウザはWebストレージを使用しますが、私たちが知る限り、それをオフにする方法はありません.

ブラウザ拡張機能を使用すると、ブラウザの指紋が一意になる可能性が高くなることに注意してください.

HTTP ETag

ETag(または「タグレスCookie」と呼ばれることもあるエンティティタグ)は、HTTPの一部であり、URLで特定のリソースを識別し、加えられた変更を追跡することを目的とするWorld Wide Webのプロトコルです。.

これらのリソースを比較する方法により、サーバーは単に各ブラウザーに一意のETagを提供し、再接続するとデータベースでETagを検索できるため、指紋として使用できます。.

追跡メカニズムとして「野生の」ETagsの最初の使用が発見されたのは、Ashkan Soltaniと彼のチームであり、メディアストリーミングWebサイトHuluは、Web分析会社KISSmetricsがホストするサービスを使用してHTTPおよびHTML5を再生成したことがわかりました「値、特にETagをミラー化するキャッシュ」を使用するCookie

レポートでは、「消費者がHTTP、Flash、およびHTML5 Cookieをブロックする場合でも独自の追跡値を生成するため、ETagの追跡と再生成は特に問題があり、プライベートブラウジングモードでも、ETagsはブラウザーセッション中にユーザーを追跡できる」 」

さらに悪いことに、「私たちが観察したETagの再生成により、hulu.comでファーストパーティのCookieが設定されました。これは、kissmetrics.comサービスに登録している他のサイトがドメイン間でこれらの識別子を同期できることを意味します。

どうすればそれらを止めることができますか?

残念ながら、この種のキャッシュトラッキングは事実上検出できないため、信頼性の高い防止は非常に困難です。アクセスする各Webサイト間でキャッシュをクリアすると、キャッシュを完全にオフにする必要があります。残念ながら、これらの方法は困難であり、ブラウジングエクスペリエンスに悪影響を及ぼします.

FirefoxアドオンのシークレットエージェントはETagによる追跡を防止しますが、ブラウザの指紋を増加させる可能性があります(または、その動作方法により、そうでない場合があります).

歴史を盗む

今、私たちは本当に怖くなってきます。履歴の盗み取り(履歴スヌーピングとも呼ばれます)は、Webの設計方法を悪用し、アクセスしたWebサイトが過去の閲覧履歴を発見できるようにします.

10年ほど前から知られている最も単純な方法は、クリックするとWebリンクの色が変わる(従来は青から紫に)という事実に依存しています。 Webサイトに接続すると、ブラウザーが忠実に応答する一連の「はい/いいえ」の質問を通じてブラウザーを照会できるため、攻撃者はどのリンクの色が変わったかを発見できるため、閲覧履歴を追跡できます.

World Wideの動作方法に影響を与えるため、このセキュリティ上の欠陥に取り組むことをreしますが、現在のほとんどのブラウザーはこの基本的な履歴を盗む攻撃に対する保護を提供しますが、CSSページレイアウトと画像属性に依存するその他のより高度な攻撃は引き続き使用されています.

履歴窃盗を使用してあなたを一意に識別する

それでは、ウェブサイトは履歴を盗むことで閲覧履歴を追跡できますが、あなたが誰であるかを特定できないでしょうか?違う。 Webサイトが訪問したWebページをソーシャルネットワーキンググループに一致させるIDフィンガープリントのプロセスを使用すると、あなたを一意の個人として識別する可能性が高くなります。.

考えてみましょう:ほぼすべてのソーシャルネットワーク(Facebookなど)では、関心のあるグループに参加できます。私たちのほとんどは、これらのグループの多くに参加できます。参加している公開グループのリストは、個人の指紋を提供するのに十分な場合が多く、これはソーシャルネットワークプロファイルと一致させることができます。ソーシャルネットワークグループの興味に関連するWebサイトに定期的にアクセスする場合、盗まれたWeb履歴をソーシャルネットワークプロファイルに一致させるのはかなり簡単です.

私たちが言ったように、怖い!また、残念ながら、あなたはそれに対してできることはあまりありません。*「通常の」スーパークッキーよりも、ウェブ業界は歴史の盗みは非倫理的であると考えていますが、自主的に課した業界ガイドラインを確立しようとする試みはこれまでのところ何もありません.

*注:読者のアニーが観察したように、閲覧履歴とCookieを削除すると、リンクの色もリセットされます。これにより、履歴の盗難が防止されます。もちろん、訪問したページごとに閲覧履歴などを削除しない限り、この手法は閲覧履歴について多くのことを判断できる可能性があります。.

結論

商業的なインターネット広告の利益と公衆を使用した通常のインターネットとの間には、事実上、継続的な武器戦争があり、商業的な利益が勝っていると言わなければなりません。現在、多くの攻撃は非常に巧妙で微妙なため(最も注目すべきブラウザーのフィンガープリントと履歴の盗難)、信頼性の高い防止はほぼ不可能であり、確かにある程度の労力、不便さ、および技術的なノウハウを要して、最も心配な人でも肩をすくめて与えますアップ。私たちはそれを言いたくありませんが、おそらく唯一の答えは立法、またはこの種の行動にふけることをより立派なウェブサイトを思いとどまらせる少なくとも業界が認めた自発的な行動規範にあります.

状況についての1つの良い点は、あなたを追跡しますが、ほとんどの方法はあなたを個別に識別しないことです(ソーシャルネットワークのフィンガープリントは、非常に効果的ですが、信頼できません)、そしてあなたがVPN(またはTor)でIPアドレスをマスクする場合追跡されたWebの振る舞いと実際のIDの関連付けを解除するための長い道のりが進むでしょう.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me