Cookieを使わずにユーザーを追跡する仕組みが普及しつつある 50
ストーリー by hylom
よく考えるなぁ 部門より
よく考えるなぁ 部門より
あるAnonymous Coward 曰く、
Canvas機能を使った文字やグラフィックス描画の際の挙動の違いでWebブラウザの違いを識別する「Canvas Fingerprinting」という技術が開発され、すでにトップ10万のサイト中5.5%がこれを使ったユーザー追跡を利用しているという。
また、ユーザがCookieをこまめに削除しても、サイト側が同じデータをFlashのローカル共有オブジェクト(LSO、Flash Cookie)などに保存しておいて回復させれば、実質的にCookieを不滅化することができる。このEvercookieを実現する手段の一つである「Respawning by Flash cookie」sは、人気上位200サイトのうち10サイトで検出されたそうだ。
Cookieを無効にしていても、適切な対処をしない限り、閲覧者の行動はかなりの割合で漏洩している可能性があるようだ。
Canvas Fingerprintingは、Canvas機能を使ってJavaScriptで文字列や図形などをユーザーに見えないように描画し、それをToDataURLメソッドを使ってデータ化し、そのハッシュを「フィンガープリント(指紋)」として使うというもの。環境によって使われているフォントやデフォルトのフォントサイズなどが違うため、生成される画像やハッシュは異なるものとなり、追跡に利用できるという。
Evercookie (スコア:5, おもしろおかしい)
> Cookieを不滅化することができる。
新手のCookie Clickerかと
Re: (スコア:0)
せぞーん、めりけねくっぷるすかるど
RequestPolicy (スコア:5, 興味深い)
毎度この手の話が出てくると誰かが紹介していますが、FirefoxにRequestPolicyを入れておけばほとんどの第三者サイトを遮断できるので、Canvas FingerprintingもFlash Cookieも大半は遮断できますよ。
それに加えていくつかのアドオン(Flash Cookieを定期的に消すとか)を入れれば、ほぼ対策は取れるんじゃないですか。
Re: (スコア:0)
第三者サイトを使わないのには無力ですよね
Re: (スコア:0)
違う話になるのですが、Firefoxのカスタム版であるTorBrowserだとキャンバスへのアクセスを検知すると空っぽの画像を返すというプライバシー機能があるんですよね。
だからキャンバスだけを対策する方法はあるはずです。
Flashは基本的に無効で、どうしてもみたいコンテンツのみ許可しておけばいいんじゃないでしょうか。
Re: (スコア:0)
アドオンは野良パッチだから基本的になんでもできます。具体的にはWindowsでダウンロードしたexeを実行したときと同程度には何でも。
Re: (スコア:0)
あなたがそう言うのなら、あなたの中ではそうなんでしょう…
参考記事 (スコア:3, 興味深い)
ブロックできないオンライントラッキングツールが人気サイトに浸透 [mynavi.jp]
広告屋は詐欺師同然。 (スコア:3, おもしろおかしい)
広告主は広告屋を訴えた方が良い。
あれだけ追跡追跡言って実行してるのに、俺にぴったりの広告が出てこない。
少なくとも、素人ポルノを漁っているときにオンラインカジノや出会い系の広告はマッチしてないと思う。
Re: (スコア:0)
それは素人ポルノの広告をクリックしていないからでは?追跡しようにもユーザの嗜好を判断できるだけの材料が無いからあてずっぽうで適当に広告を出してるだけみたいな。
Re: (スコア:0)
これに同意。
そこまでして追跡したいなら追跡していいから
おれの好みに合う広告をきっちり出せと言いたい。
いやまあ、NoScript入れてるおれも悪いとは思いますけどね?w
Re: (スコア:0)
出ている例も多いんですよ。
ただそういう事例でも、
「こんなサイトでポルノの広告を出すなんてフザけている!!!」
とか騒いじゃうだけで。
なんでこんなに必死なの? (スコア:1)
なんでネットだと匿名にこだわるのかわからない。もちろん匿名のサービスがあってもいいけど、匿名では使えないサービスもあるべき。
だから、個人情報を特定できなくてもいいから、同じユーザーであることを保証する技術はあってしかるべきだと思う。
全ての端末はデフォルトでユーザーユニーク情報を送る。ユーザーは送ることを拒否もできるけど、サービス側もそういうユーザーを排除できる仕組みを確立するべき。
Re:なんでこんなに必死なの? (スコア:3)
つまり、/.Jでは、AC投稿を
全面禁止するか、
有料化すべき
だという主張ですね。(Y/はい)
自分のIDを必死に隠しながらのこの主張は、おもおか狙いですね。
# モデしたいときにモデ権なし。
Re:なんでこんなに必死なの? (スコア:1)
それってクッキー……
Re: (スコア:0)
クッキーは拒否してることが検出できないんですよ。
まあ、ログインを前提にサービス作ればOKなんですけど。
Re: (スコア:0)
ネットだと距離が関係ないから。
リアルだと何を送りつけるにしても、行くにしても来るにしても距離に応じてコストがかかるけど、
ネットだと関係ないでしょ。
Re: (スコア:0)
逆に、あなたがなんでそんなに必死なの?
必要なサービスなら普通にユーザー登録して使ってますよ。
でも、特に使う気のないところで追跡なんてされてたら、実害がなくても不気味です。
というか、匿名で使えないサービスくらい存在するでしょ?
Re: (スコア:0)
たしかに、ログイン前提に作ればOKなんでしょうけど、サービスによったらログイン強制にすることによってユーザービリティーが低下する場合もある。ネットワークの匿名性って、悪いことしようとしてる人(攻撃者)にしか得じゃない気がします。
Re: (スコア:0)
つまりあなたは悪いことをしようとしてるんですね?
Re: (スコア:0)
ヤフージャパンの人? かCCCの人?
内緒の話とかないから(Re:なんでこんなに必死なの?) (スコア:0)
ネットで何かを書き込むってことは「その世界に生きているすべての人間の耳元でその書いた内容を叫んでる」のと同じ。
匿名にしたところで話の内容如何で即座にばれるのがこの世界のおきて。
それでも言いたい放題を望むなら安全圏を確保(可能な限り自分の発言であることがばれないように)しないではいられない。
普通いじらない (スコア:0)
>環境によって使われているフォントやデフォルトのフォントサイズなどが違うため
普通インストールしたそのままだと思うけど。
たまに拡大するときもあるけど、Ctrl + 0で戻すし。
各Windows versionごとMacが分かるだけのような
Re:普通いじらない (スコア:2, 興味深い)
自分はcookieとLSOをこまめに消しているのですが、
「教えてgoo」で「Q&A参照履歴」がちゃんと残っているのが不思議です。
もちろん、ログインとかしていません。
以前はdebianでiceweaselで閲覧していたのですが、最近chromiumで閲覧しても、何年か前の参照履歴が残っています。
あれって、どうやって識別してるんでしょうかね。
さらに、chromiumで表示される、google検索の候補一覧に、iceweaselでしか検索したことのない候補がでてきたり。
あんまり一般性のない、個人的な名詞での検索なんですが。
Re:普通いじらない (スコア:1)
今確認したらLocal Storageに保存してる様子だった。
これだとcookieやLSO消しても残ってることになるね。
iceweaselでしか検索してない候補がchromiumで出てくるのはIMEの履歴とかじゃないのかな。
でも何年か前の参照履歴が出てくるのは説明しにくいな。軽くホラーだ
Re: (スコア:0)
IPアドレスや無線のアクセスポイント名を使って、追跡しているとか……。
Re: (スコア:0)
localStorage/sessionStorageとか。別ブラウザでも出る場合は、単純にIPアドレスってこともあるかも。
検索候補やインタレスト広告では、よくアクセスするサイトの傾向とかで名寄せ(?)っぽい処理をしているような気がしてます。これらの場合は名寄せの精度は低くてもサービス提供側には実害ないですし。でも自宅でしかアクセスしてないサイトに関連した広告が職場でどかんと出てきてびびったりします(!アダルト)。
Re: (スコア:0)
#2643721です。
以前は固定の光回線、
ここ数年は別プロバイダのwimaxを使っていて、
PC使わないときは、wimaxの電源も切っています。
だからほぼ毎回、別のIPアドレスになっています。
IMEはanthyです。
iceweaselからchromiumへのブックマークのインポートとやらをしたのが敗因なんですかね。
>localStorage/sessionStorage
これは知りませんでした。なるほど…
>検索候補やインタレスト広告では、よくアクセスするサイトの傾向とかで名寄せ(?)っぽい処理をしているような気がしてます。
自分は、いくつかのサイトでカメラバッグを物色していたら、
その後、よく行くサイトで女性用の高級バッグの広告ばかり表示されてうんざりしていますw
これで疑問がほぼ解決しました。
みなさんありがとうございました。
Re: (スコア:0)
乱数とかも使って作成すれば端末単位で識別できそう。
Re: (スコア:0)
Re: (スコア:0)
最初にアクセスした時に乱数使ってキーを作っておいてLSOに保存しとけばって話。
Flashのローカル共有オブジェクトに保存しといて~って話がそもそもで、使われてるフォントで見分けるぐらいじゃ各Windows versionごとMacが分かるだけなんじゃねというコメントに対して書いた。
Re: (スコア:0)
Re: (スコア:0)
それTracking Cookieとほぼ同じじゃね?
CookieやLSOが封じられても、トラッキングできる方法があるという話だと思うが
フォントだけじゃないでしょうが (スコア:0)
フォント以外の情報も利用しているでしょうよ
Re:フォントだけじゃないでしょうが (スコア:2, おもしろおかしい)
フォントかなぁ
Re:フォントだけじゃないでしょうが (スコア:1)
webgl経由でのGPUやドライバのレンダリング差異を検出するようです。
https://cseweb.ucsd.edu/~hovav/dist/canvas.pdf [ucsd.edu]
この手のHWの差異をjavascriptで検出してIDにするのは目からうろこでした。
同じように、演算能力でCPUの違いを計ったり、GPUのレンダリング速度を使ったりできそうですね。
キーリピート速度、マウスの速度なども利用できないかな。計れないか。
Re: (スコア:0)
回転するオブジェのフレームスキップを行わず、表示から3秒後の画像を参照。
参照までは操作不可にしておく。
#但し、デバッグは掛け算
Re: (スコア:0)
http://www.browserleaks.com/canvas#comments [browserleaks.com]
// text with lowercase/uppercase/punctuation symbols
var txt = "BrowserLeaks,com 1.0";
ctx.textBaseline = "top";
// the most common type
ctx.font = "14px 'Arial'";
ctx.textBaseline = "alphabetic";
ctx.fillStyle = "#f60";
ctx.fillRect(125,1,62,20);
// some tricks for color mixing
ctx.fillStyle = "#069";
ctx.fillText(txt, 2, 15);
ctx.fillStyle = "rgba(102, 204, 0, 0.7)";
ctx.fillText(txt, 4, 17);
// more explanation? see the Further Reading below...
とりあえずここはフォントと色とベー
Re: (スコア:0)
実は標準フォントには端末識別のための微妙な誤差が仕込まれていたり
なにがどうあってもJavaScriptを普及させたいGoogleさん (スコア:0)
にとっては朗報だな。こんなにも多機能で
Re:なにがどうあってもJavaScriptを普及させたいGoogleさん (スコア:2)
JavaScriptあんまり関係ない
叩くとしたらCanvasとWebGLを叩こう
Re: (スコア:0)
JavaScriptは十二分に普及してる。
Re: (スコア:0)
JavaScriptをここまで普及させたのは間違いなくgoogleの功績
google mapsが出た当時のインパクト知らない子は黙ってて
Re: (スコア:0)
JavaScriptの名誉を回復させた過去の事実と、普及させたいという意志を現在持っていることは別では?
言語としてJavaScriptをずっと熱心に推してきたのはMozillaであって、Googleは必要な技術パーツを必要なときに用いることしかしてない。
最近は新しい言語が必要だとずっと言ってる。
今のGoogleはDartとか別言語に取って変えられるのなら、そうしたいと思ってるよ。
そもそもJavaScriptは普及してるんだから、これ以上どこに何を普及させるというのだろうか?
それとも、もしかして各種WebAPIのことをJavaScriptと呼んで、その機能が揃うことを普及と呼んでいるのだろうか?
Re: (スコア:0)
なにがどうあってもJavaScriptを普及させたくないほうにこそ朗報だろうが
ようやくJavaScriptを叩けるネタが手に入ったんだから
Re: (スコア:0)
APIの問題だからJSだろうがVBだろうが言語は関係ない
Re: (スコア:0)
VBScirptさんが、何か言いたそうにこちらを見ている。
広告を全面禁止すればいい (スコア:0)
広告を全面禁止すればいいのに。
広告なんて人類のエネルギーの無駄遣い以外のなにものでもない。
Re: (スコア:0)
そういう人に限って、製品に金払わない。
テレビやウェブメディアやスラドにちゃんと金払いますか?