パスワードを忘れた? アカウント作成
11306893 story
プライバシ

Cookieを使わずにユーザーを追跡する仕組みが普及しつつある 50

ストーリー by hylom
よく考えるなぁ 部門より
あるAnonymous Coward 曰く、

Canvas機能を使った文字やグラフィックス描画の際の挙動の違いでWebブラウザの違いを識別する「Canvas Fingerprinting」という技術が開発され、すでにトップ10万のサイト中5.5%がこれを使ったユーザー追跡を利用しているという。

また、ユーザがCookieをこまめに削除しても、サイト側が同じデータをFlashのローカル共有オブジェクト(LSO、Flash Cookie)などに保存しておいて回復させれば、実質的にCookieを不滅化することができる。このEvercookieを実現する手段の一つである「Respawning by Flash cookie」sは、人気上位200サイトのうち10サイトで検出されたそうだ。

Cookieを無効にしていても、適切な対処をしない限り、閲覧者の行動はかなりの割合で漏洩している可能性があるようだ。

Canvas Fingerprintingは、Canvas機能を使ってJavaScriptで文字列や図形などをユーザーに見えないように描画し、それをToDataURLメソッドを使ってデータ化し、そのハッシュを「フィンガープリント(指紋)」として使うというもの。環境によって使われているフォントやデフォルトのフォントサイズなどが違うため、生成される画像やハッシュは異なるものとなり、追跡に利用できるという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Evercookie (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2014年07月22日 16時13分 (#2643672)

    > Cookieを不滅化することができる。

    新手のCookie Clickerかと

    • by Anonymous Coward

      せぞーん、めりけねくっぷるすかるど

  • RequestPolicy (スコア:5, 興味深い)

    by Anonymous Coward on 2014年07月22日 18時24分 (#2643786)

    毎度この手の話が出てくると誰かが紹介していますが、FirefoxにRequestPolicyを入れておけばほとんどの第三者サイトを遮断できるので、Canvas FingerprintingもFlash Cookieも大半は遮断できますよ。
    それに加えていくつかのアドオン(Flash Cookieを定期的に消すとか)を入れれば、ほぼ対策は取れるんじゃないですか。

    • by Anonymous Coward

      第三者サイトを使わないのには無力ですよね

      • by Anonymous Coward

        違う話になるのですが、Firefoxのカスタム版であるTorBrowserだとキャンバスへのアクセスを検知すると空っぽの画像を返すというプライバシー機能があるんですよね。
        だからキャンバスだけを対策する方法はあるはずです。
        Flashは基本的に無効で、どうしてもみたいコンテンツのみ許可しておけばいいんじゃないでしょうか。

        • by Anonymous Coward

          アドオンは野良パッチだから基本的になんでもできます。具体的にはWindowsでダウンロードしたexeを実行したときと同程度には何でも。

  • 参考記事 (スコア:3, 興味深い)

    by Anonymous Coward on 2014年07月22日 16時54分 (#2643715)
  • 広告屋は詐欺師同然。 (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2014年07月22日 22時24分 (#2643937)

    広告主は広告屋を訴えた方が良い。
    あれだけ追跡追跡言って実行してるのに、俺にぴったりの広告が出てこない。

    少なくとも、素人ポルノを漁っているときにオンラインカジノや出会い系の広告はマッチしてないと思う。

    • by Anonymous Coward

      それは素人ポルノの広告をクリックしていないからでは?追跡しようにもユーザの嗜好を判断できるだけの材料が無いからあてずっぽうで適当に広告を出してるだけみたいな。

    • by Anonymous Coward

      これに同意。

      そこまでして追跡したいなら追跡していいから
      おれの好みに合う広告をきっちり出せと言いたい。

      いやまあ、NoScript入れてるおれも悪いとは思いますけどね?w

      • by Anonymous Coward

        出ている例も多いんですよ。
        ただそういう事例でも、
        「こんなサイトでポルノの広告を出すなんてフザけている!!!」
        とか騒いじゃうだけで。

  • by Anonymous Coward on 2014年07月22日 23時42分 (#2643983)

    なんでネットだと匿名にこだわるのかわからない。もちろん匿名のサービスがあってもいいけど、匿名では使えないサービスもあるべき。
    だから、個人情報を特定できなくてもいいから、同じユーザーであることを保証する技術はあってしかるべきだと思う。
    全ての端末はデフォルトでユーザーユニーク情報を送る。ユーザーは送ることを拒否もできるけど、サービス側もそういうユーザーを排除できる仕組みを確立するべき。

    • つまり、/.Jでは、AC投稿を
      全面禁止するか、
      有料化すべき
      だという主張ですね。(Y/はい)

      自分のIDを必死に隠しながらのこの主張は、おもおか狙いですね。

      # モデしたいときにモデ権なし。

      親コメント
    • > 全ての端末はデフォルトでユーザーユニーク情報を送る。ユーザーは送ることを拒否もできるけど、サービス側もそういうユーザーを排除できる仕組みを確立するべき。

      それってクッキー……
      親コメント
      • by Anonymous Coward

        クッキーは拒否してることが検出できないんですよ。
        まあ、ログインを前提にサービス作ればOKなんですけど。

    • by Anonymous Coward

      ネットだと距離が関係ないから。

      リアルだと何を送りつけるにしても、行くにしても来るにしても距離に応じてコストがかかるけど、
      ネットだと関係ないでしょ。

    • by Anonymous Coward

      逆に、あなたがなんでそんなに必死なの?
      必要なサービスなら普通にユーザー登録して使ってますよ。
      でも、特に使う気のないところで追跡なんてされてたら、実害がなくても不気味です。

      というか、匿名で使えないサービスくらい存在するでしょ?

      • by Anonymous Coward

        たしかに、ログイン前提に作ればOKなんでしょうけど、サービスによったらログイン強制にすることによってユーザービリティーが低下する場合もある。ネットワークの匿名性って、悪いことしようとしてる人(攻撃者)にしか得じゃない気がします。

        • by Anonymous Coward

          つまりあなたは悪いことをしようとしてるんですね?

        • by Anonymous Coward

          ヤフージャパンの人? かCCCの人?

    • ネットで何かを書き込むってことは「その世界に生きているすべての人間の耳元でその書いた内容を叫んでる」のと同じ。
      匿名にしたところで話の内容如何で即座にばれるのがこの世界のおきて。

      それでも言いたい放題を望むなら安全圏を確保(可能な限り自分の発言であることがばれないように)しないではいられない。

  • by Anonymous Coward on 2014年07月22日 16時15分 (#2643674)

    >環境によって使われているフォントやデフォルトのフォントサイズなどが違うため

    普通インストールしたそのままだと思うけど。
    たまに拡大するときもあるけど、Ctrl + 0で戻すし。

    各Windows versionごとMacが分かるだけのような

    • by Anonymous Coward on 2014年07月22日 16時56分 (#2643721)

      自分はcookieとLSOをこまめに消しているのですが、
      「教えてgoo」で「Q&A参照履歴」がちゃんと残っているのが不思議です。
      もちろん、ログインとかしていません。
      以前はdebianでiceweaselで閲覧していたのですが、最近chromiumで閲覧しても、何年か前の参照履歴が残っています。
      あれって、どうやって識別してるんでしょうかね。

      さらに、chromiumで表示される、google検索の候補一覧に、iceweaselでしか検索したことのない候補がでてきたり。
      あんまり一般性のない、個人的な名詞での検索なんですが。

      親コメント
      • by Anonymous Coward on 2014年07月22日 18時36分 (#2643798)

        今確認したらLocal Storageに保存してる様子だった。
        これだとcookieやLSO消しても残ってることになるね。
        iceweaselでしか検索してない候補がchromiumで出てくるのはIMEの履歴とかじゃないのかな。

        でも何年か前の参照履歴が出てくるのは説明しにくいな。軽くホラーだ

        親コメント
      • by Anonymous Coward

        IPアドレスや無線のアクセスポイント名を使って、追跡しているとか……。

      • by Anonymous Coward

        localStorage/sessionStorageとか。別ブラウザでも出る場合は、単純にIPアドレスってこともあるかも。

        検索候補やインタレスト広告では、よくアクセスするサイトの傾向とかで名寄せ(?)っぽい処理をしているような気がしてます。これらの場合は名寄せの精度は低くてもサービス提供側には実害ないですし。でも自宅でしかアクセスしてないサイトに関連した広告が職場でどかんと出てきてびびったりします(!アダルト)。

      • by Anonymous Coward

        #2643721です。
        以前は固定の光回線、
        ここ数年は別プロバイダのwimaxを使っていて、
        PC使わないときは、wimaxの電源も切っています。
        だからほぼ毎回、別のIPアドレスになっています。
        IMEはanthyです。

        iceweaselからchromiumへのブックマークのインポートとやらをしたのが敗因なんですかね。

        >localStorage/sessionStorage
        これは知りませんでした。なるほど…

        >検索候補やインタレスト広告では、よくアクセスするサイトの傾向とかで名寄せ(?)っぽい処理をしているような気がしてます。
        自分は、いくつかのサイトでカメラバッグを物色していたら、
        その後、よく行くサイトで女性用の高級バッグの広告ばかり表示されてうんざりしていますw

        これで疑問がほぼ解決しました。
        みなさんありがとうございました。

    • by Anonymous Coward

      乱数とかも使って作成すれば端末単位で識別できそう。

      • by Anonymous Coward
        乱数使ったら端末追えなくなって終了じゃないの
        • by Anonymous Coward

          最初にアクセスした時に乱数使ってキーを作っておいてLSOに保存しとけばって話。

          Flashのローカル共有オブジェクトに保存しといて~って話がそもそもで、使われてるフォントで見分けるぐらいじゃ各Windows versionごとMacが分かるだけなんじゃねというコメントに対して書いた。

          • by Anonymous Coward
            LSOに保存しちゃうなら別にCANVAS使う必要ないよね。
          • by Anonymous Coward

            それTracking Cookieとほぼ同じじゃね?
            CookieやLSOが封じられても、トラッキングできる方法があるという話だと思うが

    • フォント以外の情報も利用しているでしょうよ

      • by Anonymous Coward on 2014年07月22日 19時06分 (#2643826)

        フォントかなぁ

        親コメント
      • webgl経由でのGPUやドライバのレンダリング差異を検出するようです。
        https://cseweb.ucsd.edu/~hovav/dist/canvas.pdf [ucsd.edu]

        この手のHWの差異をjavascriptで検出してIDにするのは目からうろこでした。

        同じように、演算能力でCPUの違いを計ったり、GPUのレンダリング速度を使ったりできそうですね。
        キーリピート速度、マウスの速度なども利用できないかな。計れないか。

        親コメント
        • by Anonymous Coward

          回転するオブジェのフレームスキップを行わず、表示から3秒後の画像を参照。
          参照までは操作不可にしておく。

          #但し、デバッグは掛け算

      • by Anonymous Coward

        http://www.browserleaks.com/canvas#comments [browserleaks.com]
        // text with lowercase/uppercase/punctuation symbols
        var txt = "BrowserLeaks,com 1.0";
        ctx.textBaseline = "top";
        // the most common type
        ctx.font = "14px 'Arial'";
        ctx.textBaseline = "alphabetic";
        ctx.fillStyle = "#f60";
        ctx.fillRect(125,1,62,20);
        // some tricks for color mixing
        ctx.fillStyle = "#069";
        ctx.fillText(txt, 2, 15);
        ctx.fillStyle = "rgba(102, 204, 0, 0.7)";
        ctx.fillText(txt, 4, 17);
        // more explanation? see the Further Reading below...

        とりあえずここはフォントと色とベー

    • by Anonymous Coward

      実は標準フォントには端末識別のための微妙な誤差が仕込まれていたり

  • by Anonymous Coward on 2014年07月22日 17時18分 (#2643742)

    にとっては朗報だな。こんなにも多機能で

    • JavaScriptあんまり関係ない
      叩くとしたらCanvasとWebGLを叩こう

      親コメント
    • by Anonymous Coward

      JavaScriptは十二分に普及してる。

      • by Anonymous Coward

        JavaScriptをここまで普及させたのは間違いなくgoogleの功績
        google mapsが出た当時のインパクト知らない子は黙ってて

        • by Anonymous Coward

          JavaScriptの名誉を回復させた過去の事実と、普及させたいという意志を現在持っていることは別では?

          言語としてJavaScriptをずっと熱心に推してきたのはMozillaであって、Googleは必要な技術パーツを必要なときに用いることしかしてない。
          最近は新しい言語が必要だとずっと言ってる。
          今のGoogleはDartとか別言語に取って変えられるのなら、そうしたいと思ってるよ。

          そもそもJavaScriptは普及してるんだから、これ以上どこに何を普及させるというのだろうか?
          それとも、もしかして各種WebAPIのことをJavaScriptと呼んで、その機能が揃うことを普及と呼んでいるのだろうか?

    • by Anonymous Coward

      なにがどうあってもJavaScriptを普及させたくないほうにこそ朗報だろうが
      ようやくJavaScriptを叩けるネタが手に入ったんだから

      • by Anonymous Coward

        APIの問題だからJSだろうがVBだろうが言語は関係ない

    • by Anonymous Coward

      VBScirptさんが、何か言いたそうにこちらを見ている。

  • by Anonymous Coward on 2014年07月23日 11時23分 (#2644220)

    広告を全面禁止すればいいのに。
    広告なんて人類のエネルギーの無駄遣い以外のなにものでもない。

    • by Anonymous Coward

      そういう人に限って、製品に金払わない。
      テレビやウェブメディアやスラドにちゃんと金払いますか?

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...