ETagを利用してアクセスしてきたブラウザを識別する手法 33
ストーリー by hylom
ブラウザのトラッキングを完璧に防ぐ方法はないのではないか 部門より
ブラウザのトラッキングを完璧に防ぐ方法はないのではないか 部門より
あるAnonymous Coward 曰く、
GIGAZINEにて、IPアドレス・クッキー・JavaScript・UAなどを使わずユーザーを個別に追跡する方法という記事が掲載されている。興味深いタイトルだが、内容としてはETag情報を使って特定のURLにアクセスしてきたブラウザを識別するというものだ。元ネタのLucb1e.comの記事によると、この技術はすでに多くのサイトで使われているが、そのことがあまり知られていないという。
ご存じの方も多いと思うが、ETagというのはWebサーバーとWebブラウザがキャッシュの存在を確認し合うための仕組みだ。ETagはHTTPのETagヘッダを使ってやり取りされ、ページの内容が更新されるとETagの文字列も変わる、という仕組みになっている。Webブラウザはコンテンツをサーバーにリクエストする際、先に受け取っていたETagの情報をサーバーに送信する。Webサーバーはこの情報を確認し、サーバー側で生成したETag情報と異なっていればコンテンツが更新されているものとしてコンテンツを送信する。逆にETag情報が一致していればコンテンツは変更されていないため、「304 Not Modified」というレスポンスを返す仕組みだ。
このETagの情報をアクセスしてきたWebブラウザごとに変えることで、WebサーバーはWebブラウザを識別できるという。
あまり知られていないのか… (スコア:1)
そんなバカな…と思ったけどDMMにどういう運用してんだあほうって問い合わせたときに
(CS介したやり取りとはいえ)当人がよく分かってないのがヒシヒシ伝わってきたので
知らない人は知らないんだろうか。
// なんか知らんけど、性^H静的な画像ファイルのETagが毎回変わってたんだよね
// 重いのはこれが原因じゃないのーってやんわり伝えたんだけど…(:>^
Re:あまり知られていないのか… (スコア:2, 参考になる)
たしかに挙動おかしいです
オススメ動画が、いつまで経っても俺好みにならない
Re:あまり知られていないのか… (スコア:1)
やんわり伝えたレベルが「どういう運用してんだあほう」なら、
そりゃオペレータは素人の平謝りモードでやんわり逃げるでしょうね。
Re:あまり知られていないのか… (スコア:1)
Webサーバが負荷分散構成なのにinode番号使ってETagを生成している、という別の可能性はどうでしょうか。
Re: (スコア:0)
自己レスだけど、導入しようとしたうえで失敗して負荷が高まってるのかしらってことで突込みを入れたというか
それでETag見てると挙動がおかしいよって伝えたら 「? なにそれおいしいの」 が帰ってきた、という流れで。
分かってないわけじゃないんだろうけど。
てか問合せの方法がおかしかったかなぁ。最近僕も日本語怪しくなってきたしなぁ。年は取りたくないにゃー
Re: (スコア:0)
性的な画像って、静的な画像ファイルに見えるけど毎回年齢チェック(あなたは18歳以上ですか?)をしたかどうか通してんじゃね
Re:あまり知られていないのか… (スコア:1)
ETagとは関係ないけどな、それw
そういえばコンテンツによっては直リンク禁止の設定にしてますなー。
refererしか見てないザル方式だけど。ほとんどは取り出そうと思えば取り出し放題のノーガード戦法ばっかりよ。
AllAbout見て設定しました!みたいな低レベル技術者しかいないんだろうねー
// って書くと垢BAN対象になるんだろうかw
// アカウントと紐づけられればBANされるかもしれんにゃー(:>^
Re: (スコア:0)
サーバにはモロ画像で保存されてて送信時にモザイクをかける動的性的ファイルだったりしたら…
たくさん集めて解析したらモザイクの向こうが見えるかも!
#そんなわけない
Re:あまり知られていないのか… (スコア:1)
与太話だけど、スマホ版ガラケー版の画像だとそもそもとして修正が入ってn(パケロス
// 処理済み画像をマスタとしてそのまま縮小しただけと思われる(:>^
他にもある手法 (スコア:1)
キャッシュ保存無効にすればいい (スコア:0)
そんだけ
Re: (スコア:0)
あと,Last-Modifiedとか使えば、ETagなしでもある程度はキャッシュコントロールできるよね?
Re:キャッシュ保存無効にすればいい (スコア:1)
Last-Modefiedも使われてるんじゃないかな。
現在のように動的ページばかりだとあまり効果は無いようにも思える。
精度が上がればそれが使われるだけ。
いずれにしてもクライアント側は送るだけで利用するかどうかはサーバー次第なんだよね。
# はっ!逆に送らずに毎回新規アクセスとして受け取れば!w
Re: (スコア:0)
ブラックリストに載ったら手遅れなんだから
いちばんいい方法ではない。
# 簡単にいちばんいいと言うのはやめた方がいい。
Re: (スコア:0)
ああ、やっぱり今回も駄目だったよ。あいつは話を聞かないからな。
Re: (スコア:0)
あきらめるのがいちばんいいよ。
Re: (スコア:0)
キャッシュしなくても問題なくなる(= 毎回ネットワークから取得しても十分快適な動作環境の得られるインフラ・機器性能の)世界が
いつか来てくれるといいんですが、なかなか来ませんねぇ……
GIGAZINE のアクセス数稼ぎも巧妙になってきましたなぁ (スコア:0)
直接元ネタの Lucb1e.com に飛ばせばいいのに。編集が無能か、お金でももらっているのか
Re:GIGAZINE のアクセス数稼ぎも巧妙になってきましたなぁ (スコア:1)
それ以前にこのネタって古すぎだろ、2年ぐらい前にEtagのプライバシー侵害で集団訴訟とかやってたじゃん
Re: (スコア:0)
その訴訟の結果は出たのかな?
ご存知でしたら教えていただければ。
Re: (スコア:0)
英語サイトなんかわざわざ読みたくない。
Re: (スコア:0)
誤:英語サイトなんかわざわざ読みたくない。
正:英語サイトだとそもそも読めない。
Re: (スコア:0)
×:英語サイトなんかわざわざ読みたくない。
○:英語サイトだとそもそも読めない。
◎:俺のために誰か翻訳してまとめろ。
Re: (スコア:0)
×:英語サイトなんかわざわざ読みたくない。
△:英語サイトだとそもそも読めない。
○:俺のために誰か翻訳してまとめろ。
◎:どや顔でまとめを話した俺をすごーいって言ってくれる女の子連れてこい。
定期的にキャッシュをクリアする (スコア:0)
Firefoxでは、終了時にキャッシュをクリアするよう設定できる。
キャッシュがクリアされるたびに、業者サーバは「お、新しいお客さんかい?新しいETagやLast-Modifiedを仕込んでやれw」ってなる。
クッキーでの追跡が続いていない限り、これで追跡を振り切れるでしょう。
・・IPアドレスやブラウザのUA文字列なんかで追跡が続くかも知れないけど。
でも、いろいろな追跡方法が考えられてるわりには、
自分の嗜好に合う広告がぜんぜん出てこないんだけど・・
あまり積極的に追跡を振り切ったりはしてないつもりなんだけどなあ・・
そもそもの前提として (スコア:0)
広告を表示させておくってことは他のサイトへ客が流れてしまう可能性があるって考えないもんかね
Re: (スコア:0)
広告なんて誘導してナンボじゃないの?
Re: (スコア:0)
Firefoxでは、終了時にキャッシュをクリアするよう設定できる。
ブラウザを半月も終了させない問題が発生
#家庭内サーバー兼自分用デスクトップでの話
Re:アレゲ人がこんなことで騒ぐなんて… (スコア:1)
> つーか新手法が見つかったと騒ぐならまだしも、使い古されたETag如きで騒がれても…
ぼくはこんなしょうもないことをあたかも新しいものです的に大騒ぎ出来るGIGAZINEすげーなーってストーリだと思ってた。
大元の元記事はこれをネタに「みんなの意識が上がるといいね!」って言いたいらしいけど…
あ、これも今流行している「ネタ元読まない脊髄コメント」って指摘したほうがいいですかやだよめんどくさい
// データ全てキャッシュすればいいじゃんって言い放った新人氏の言は未だに忘れられない
// ある意味間違ってないけどさ(:>^
Re: (スコア:0)
こういうネタか本物かわからないのが一番扱いに困る。