パスワードを忘れた? アカウント作成
221836 story
セキュリティ

CSS の visited を利用してブラウザの訪問履歴を取得されうるユーザは 76 % 以上に上る 30

ストーリー by reo
アレなサイト閲覧は VM 上でどうぞ 部門より

ある Anonymous Coward 曰く、

CSS の visited を利用してブラウザの訪問履歴を取得することができることは古くから知られているが、76 % 以上ものユーザがこの手法で履歴を取得されうる状態にあることが明らかになったとのこと (本家 /. 記事より)。

What the Internet Knows About You プロジェクトが行ったこの調査では 5,000 の人気サイトからユーザの訪問履歴があるサイトを検出するという実験を行い、243,068 ユーザがこれに参加した (プロジェクトの実験ページはこちら) 。

調査では平均 63 の訪問履歴 (13 サイト + 50 のサイト内サブページ) を検出したとのこと。特に Safari や Chrome など最近のブラウザで訪問履歴が取得されやすい傾向が見られ、Safari では 82 %、Chrome では 94 % のユーザが履歴を取得されうる状態にあったという。

全て英語ではあるが、調査の要約および全文 (PDF) も公開されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2010年05月21日 11時36分 (#1767367)

    VM上のブラウザに履歴が蓄積してたら意味ないじゃん。
    履歴を消すためだけにスナップショットのロールバックはやりすぎ。

  • by Anonymous Coward on 2010年05月21日 11時49分 (#1767375)

    ツールバーやビーコン型アクセスログ解析のほうから抜かれるユーザはどれぐらいいるんだ。

    • by njt (4968) on 2010年05月21日 15時42分 (#1767532) 日記

      そのサイトまたはそのサイトが委託している解析サイトに把握されるのはまあ想定内だけど、この話は例えば俺のサイトに仕掛けておくと、あんたが例えば mail.yahoo.co.jp, mail.google.com, mail.goo.ne.jp に、あるいは特定のエロサイトにアクセス済みかどうかがわかっちゃうから、ずっと危険って話じゃないの?

      親コメント
  • by Anonymous Coward on 2010年05月21日 12時05分 (#1767384)
    たしかこれってどんなブラウザでも漏れるってやつでしょ。24%はCSSを理解しないw3mとか使ってるのか。え
    • by Anonymous Coward
      適用するのはCSSだけど、それを読み取って流出させるのはJavaScriptかなにか必要なのでは?
      • by Anonymous Coward

        隠しリンクにしてそのリンクの訪問有無をチェックしてるんだっけか。
        JavaScriptオフで見ればいいのかな。ついでにクッキーも無効で。

        • by Anonymous Coward

          visited の時は、URLに紐づけた画像を読むように CSS 指定しておいて、画像が呼び出されている様子をログ見るっていう話じゃなかったっけ?
          JavaScript は不要なはず。

    • by Anonymous Coward
      Firefoxの次期バージョンでは制限がかけられるみたいですね。
      次期Firefoxでは:visited疑似クラスのスタイルが制限される [bakera.jp]
    • by Anonymous Coward
      閲覧履歴機能を使ってない人、またはポルノモード中は漏れないでしょ。
      • by Anonymous Coward

        ポルノモード

        もしかして:プライベートモード

  • 記憶しない設定にしているけど、困ったことなんかない。ブラウザの機能として必要なのだろうか?
  • by Anonymous Coward on 2010年05月22日 0時48分 (#1767825)
    僕の肛門もvisitedなので紫色です
  • by Anonymous Coward on 2010年05月24日 10時56分 (#1768481)
    slashdot.jpがあったのに驚いた。
    私だと他にtwitter.comとasahi.comが出てきた。
    だから何って感じだけど。
typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...