IEのCookieをオフにしても有効なCookieモドキ 29
言葉の壁によるセキュリティ 部門より
jbeef曰く、"Cookieという仕組みが使い方次第で自己情報コントロール権を侵害する場合のあるものであることは、アレゲな人たちの間ではもはや周知のことだろう。関連する過去のストーリーを挙げてみると、欧州議会がcookie禁止法案を来週採決、Windows Media PlayerにDVDタイトル追跡機能、EUでは商用eメールはオプトイン、クッキーも事前通知、非公式サイトにも契約者ID垂れ流しのEZWeb、プライバシー訴訟でDoubleClickが45万ドルで和解などがある。
そうした認識があるがゆえに、IE 6ではP3Pという仕組みが導入された。しかしその一方で、その努力を台無しにする機能が存在することが指摘されている。2002年1月にRichard M. Smith氏は、
Windows Media Playerにデフォルトで設定される固有のIDがJavaScriptから参照できることを指摘し、スーパークッキーと名付けて問題提起した。これは、Media Playerの設定で回避できる
(「ツール」メニューの「オプション」を選び、「プレーヤー」タブのところにある「インターネットサイトによるプレーヤーの個別識別を認める」をオフにするればよい)が、デフォルトではオンになっている。
これと同様の問題が別の機能でも起きることが、BUGTRAQに8月に流れた記事で指摘された。(いささか古い話だが、あまり話題になっていないようなのでタレこむ。)
IEのセキュリティ設定(「インターネットオプション」の「セキュリティ」タブのところの「レベルのカスタマイズ」ボタンで現れる設定)には
「UserDataの常設」という意味不明な名前の設定項目(英語版では「UserData persistence」)がある。
これは、スクリプトからの操作で、
ブラウザに情報を記憶させ、後に取り出すための機能で、
セッションを越えて情報が保持されるので、
有効期限が永遠のcookieと同様の機能を果たす。
この「UserDataの常設」がインターネットゾーンでは「有効」に設定されている。
cookieをオフにする必要を感じる者は、これもオフにした方がよい。"
mozillaはよいのか? (スコア:3, 興味深い)
char *A;
モータースポーツ部 [slashdot.jp]
Re:mozillaはよいのか? (スコア:1, 参考になる)
EMBEDを使っているあたりからして、Netscapeも想定してるみたい。
if (navigator.appName == "Microsoft Internet Explorer") {
document.writeln('<OBJECT classid="clsid:..." ID=WMP WIDTH=1 HEIGHT=1></OBJECT>');
} else {
document.writeln('<EMBED TYPE="application/x-mplayer2" NAME=WMP WIDTH=2 HEIGHT=2></EMBED><br><br>');
}
...
document.out.GUID.value = document.WMP.GetClientID();
Netscape 7で試したらIDが出なかったけど、それで大丈夫なのかは不明。
Operaはいかに?(Re:mozillaはよいのか?) (スコア:2, 参考になる)
JavaScriptを切ってあれば何も起こらないようです。
しかし、JavaScriptをonにしていると、
という状況になりました。
この実験ではWMPの個体認識はoffに設定済みの状態で実施しました。
したがって表示されたものはセションごとのIDのようです。
早い話が、yanagiさん [srad.jp]が先にご報告くださったのと同様です。
(当該コメントの番号は#239382です。→ [srad.jp])
参考になるなる? :-)(*1:待ち時間はCPUパワーに依存と想像。)
--
Regards, Regards (Slashdot.jp 無粋部)
なるほど (スコア:2, 興味深い)
WindowsMediaPlayerのクライアントID(GUID)がJavaScriptで取得できるんですね。
既に動画配信を行っているサイトのいくつかでは、ストリームのログからクライアントIDを使ってユーザの視聴記録を取っているところもありますけど、それと今回のWebページから取得したIDを突き合わせて関連付ければ…。
「××で○○な動画が好きなアナタ! ぜひここにアクセス!」
なんてことがおきそう。
IPアドレスは? (スコア:0)
有効期限の長いクッキーとの組み合わせで、変化の無いアドレスを抽出することは十分に可能なのでは?
# 確かに確実性には欠けるけれど・・・
Re:IPアドレスは? (スコア:1)
変わる可能性があるIPと、不変だが取得できないかもしれないクライアントID、どっちもどっちですが、二つを組み合わせれば…。
Re:IPアドレスは? (スコア:0)
Re:IPアドレスは? (スコア:2, 参考になる)
2時間おきにIPアドレスを変更することで永続的なストリームをぶったぎったり、そもそもポートにフィルタリングをかけてしまうなどして、データの流出を防ぐことが目的らしいです。
ここまでするのなら、インターネットとしてやる必要ねーよ、とか私は思ってしまいました。私ならレオパレス使わないか、もしくはBフレッツかADSLをひいてそっちを使います。
-- やさいはけんこうにいちば〜ん!
Re:IPアドレスは? (スコア:0)
クリップボード (スコア:2, 興味深い)
あ、俺も切っとこう (スコア:0)
何の設定かわからないチェックはとりあえず無効にしておく、という習慣が私には出来てたみたいです。
Re:あ、俺も切っとこう (スコア:2, 参考になる)
http://www.computerbytesman.com/privacy/supercookiedemo.htm [computerbytesman.com]
Re:あ、俺も切っとこう (スコア:1)
# なんか仲間はずれにされた気分...
Re:あ、俺も切っとこう (スコア:1)
ACさんご紹介のURLにアクセスすると、
IDが表示されてしまいます。(ためしに再起動してみたんですが同じ)
これってレジストリを手動で消さないと出ちゃうのでしょうか?
(というのもなんか変な気がします。)
仕事上、IEを使わざるをえないケースがあり、心配っす。
どなたか対策をお教えくださいまし m(o)m
IE6の場合 (スコア:3, 参考になる)
具体的な設定方法は、
メニューのツール>インターネットオプションでインターネットのオプションダイアログを開く。
セキュリティタグを選択。インターネットゾーンを選択してレベルのカスタマイズボタンを押す。
ActiveXコントロールとプラグインの下の、ActiveXコントロールとプラグインの実行を「無効にする」。
念のためスクリプトを実行しても安全だとマークされていないActiveXコントロールの初期化とスクリプトの実行とスクリプトを実行しても安全だとマークされているActiveXコントロールの初期化とスクリプトの実行も「無効にする」。
全てのIEのウィンドウを閉じる。IEコンポーネントを使っているものも全て閉じる。確実に閉じたかどうか不安ならWindowsを再起動する。
以上。
この設定だと他のActiveXコントロールも実行されなくなってしまいますので、必要上どうしても実行しなければならないActiveXコントロール等がある場合、「ダイアログを表示する」という設定にしておくのもいいかもしれません。
Re:IE6の場合 (スコア:1)
でもこれをするとWindows Updateが面倒になる(別のユーザーとして実行する必要がある)Windows って…
Re:IE6の場合 (スコア:2, 参考になる)
私は普段fubを使っていますが、これの場合だとタブをグループ化してそのグループ毎にセキュリティ設定ができます。
こういうものを有効に使うと少しは楽になるかもしれません。
もっとも私の場合はタブが便利で使っているだけで、セキュリティ的にどの程度有効なのかは知りませんけど…。
# というか、IEにはtext/plainでJScript動いちゃうバグとかあったし、あまり有効とは思っていないってのがホンネですけどね。
# ま、こういうのもあるよってことで。
Re:IE6の場合 (スコア:1, 参考になる)
・Administratorではセキュリティ[中]だがメンテとパッチ当てくらいしかやらない
・一般ユーザでは一部信頼の置けそうな所だけ[信頼済みサイト]に突っ込んでセキュリティレベル[中]、その他は何もかもOFF。Flashすら動かない
てな使い分けにしてます。
要はスクリプトとActiveXが動かなきゃいいわけで。
Re:あ、俺も切っとこう (スコア:2, 興味深い)
セッション毎のIDさえも読み出されたくない場合には、他の方も指摘されているように、ActiveXを禁止にしないとだめみたいですね。
Re:あ、俺も切っとこう (スコア:0)
確かにそうなんですが、しかしそこまでして使う事を考えると
Netscapeに劣ってますしIEこだわること事態無意味です。
結局使い分けろって事なのでしょうね。
Re:あ、俺も切っとこう (スコア:1)
IE6SP1ですけど、CookieはONだけど、ActiveXとUserDataの項目を
無効にしてたら、SuperCookieは、無効になってました。
GUID (スコア:1)
個人識別をする が有効だと毎回おなじ番号が出ますが
チェックが外れていると
{3300AD50-2C39-46c0-AE0A-xxxxxxxxxxxx}
が出ます。調べてみたら [microsoft.com]
ActiveXがオンになっててもこの値が出るんで
あれば問題ないってことですね。
まぁ普段からActiveXがオンになってるってのはある程度問題ですが。
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
Re:あ、俺も切っとこう (スコア:0)
Mozillaで見た俺が馬鹿だった。
# しかも設定OFFだっけと確認してみたり・・・
Re:あ、俺も切っとこう (スコア:1)
とりあえずOff
メインでは使ってないんだけどいろいろとありそうだし
なんでせっかく塞いだ穴をあける様なまねをするんだろうねぇ
で、この機能を使ってる不届きなサイトってあるんだろうか?
一言でいうと (スコア:0, すばらしい洞察)
でもまぁ。 (スコア:0)
正しく使えば (スコア:0)
URL埋め込みやhiddenはユーザに見られる心配があるというけど、 それはcookieでも同じことで、ログに残りやすいかどうか、という 程度の違いしか無いはず。
使い捨てなら漏れたって平気だろうし。
Re:正しく使えば (スコア:2, 興味深い)
ということで、情報を URL に埋め込むのは、同じ情報を cookie やフォームの hidden コントロールの値に入れるのとは少し違います。 URL にメールアドレスなどの個人情報やパスワードなどの秘密情報を埋め込むのは、 https でもやめたほうがよさそうです(そういう意味でなければ失礼)。
cookie は cookie で Javascript が有効なブラウザでは危険 [srad.jp]とかあって厄介ですが。
鵜呑みにしてみる?