パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Firefox 102、追跡用クエリパラメーターの除去に対応」記事へのコメント

  • by Anonymous Coward on 2022年07月03日 18時24分 (#4281852)

    特定のパラメーターが無かったら、パラメーター付きのURLにリダイレクト(HTTPリダイレクトやJavaScriptでのリダイレクト)するというのは、よくある設計なんですね。
    ところが、ブラウザー側でそれを排除されてしまったら、リダイレクトがルーピングしてしまうんです。
    HTTPリダイレクトならばモダンなブラウザーはリダイレクトを10回ぐらい?ループさせるとルーピング検知で止まりますけど、JavaScriptだと止まりません。

    そうなるとDoS状態になって、DoS対策をしていないサイトでデータベース処理が重いページだったりするとデータベースサーバーの同時接続数を使い果たして他のユーザーが接続できなくなっったりします。CloudFlare入れてても、秒間20リクエストとかなら普通検知しないので、バックエンドデータベースで障害が起こることがあります。
    DoS対策がされているサイトならば、DoS攻撃判定されて、そのユーザーのIPアドレスはファイアウォールレベルでブロックされて接続できなくなります。
    日本だと、日本の某図書館事件のように、利用者がDoS攻撃したと誤認識されて、逮捕されるリスクまであります。

    Firefoxはシェアが少ないので、もうクエリーまで弄られると対応が面倒なので、UserAgent でブロックするようなサイトも増えてくるでしょう。
    こういうやり方は誰の利益にもならないと思います。

    • 当然対策済み (スコア:4, 参考になる)

      by Anonymous Coward on 2022年07月03日 20時32分 (#4281938)

      We will only strip the query string if it is redirecting to a third-party URI in the top level.

      https://github.com/mozilla/gecko-dev/blob/388ea3d22361b97c7f81d02757a1... [github.com]
      ということでご指摘の
      example.com/?lang=ja -> example.com -> example.com/?lang=ja -> exmaple.com -> 最初に戻る
      みたいなループは発生しません。

      さらに言うと削除されるパラメーターはdenylist方式でトラッキング用のもののみが削除されるようになっているのでlangみたいな一般的なパラメーターはサードパーティーへのリダイレクトであっても削除されません。

      # 最近プライバシー保護技術のストーリーに逆張りコメントする人がいるようですがそっち系の業者の中の人なんですかね

      親コメント
      • by Anonymous Coward

        > # 最近プライバシー保護技術のストーリーに逆張りコメントする人がいるようですがそっち系の業者の中の人なんですかね

        最近で言うとこれ [srad.jp]のことかな
        最近と言わず結構前から張り付いてる気がしますね
        逆張りと重箱の隅突きが癖になってるんでしょうね

        • by Anonymous Coward

          最近「ソーシャルスキル未発達で反抗期を今更やってるおっさん」って言われる輩だな
          とにかく負けが見えてても逆を張る「反○○」のラベルが貰えるものは何でも張る奴ら

          本来マイナスモデとかシャドウバンってこういう害悪のためにあるんだけどな
          書き込むだけで満たされ、否定されると余計に快感を覚えて学習しちゃうから

    • by Anonymous Coward on 2022年07月03日 18時40分 (#4281864)

      特定パラメーターを除去する機能が搭載される
      だけなら、目的地に行けずにパラメーター不備時のリダイレクト先に飛ぶだけじゃないの?

      ループが発生するのは、そのリダイレクト先でもパラメーターチェックして
      パラメーター付与した状態でリダイレクトページに再度誘導した場合だけじゃない?

      それは閲覧者の責任じゃなくサイト設計者の責任なのでは

      親コメント
      • by Anonymous Coward

        多言語化されたページで「lang」というパラメーターが無かったら、HTTPヘッダーのaccept-languageとかジオロケーションに基づいてパラメーターを付けたURLにリダイレクトする設計になっていて、仮にブラウザーが lang を除去し続けたら無限リダイレクトします。

        https://it.srad.jp/story/22/07/03/0344250/ [it.srad.jp] にアクセス
         ↓
        https://it.srad.jp/story/22/07/03/0344250/?lang=ja [it.srad.jp] にリダイレクト

        https://it.srad.jp/story/22/07/03/0344250/?lang=en [it.srad.jp] にアクセス
         ↓
        そのまま

        普通にユー

        • by Anonymous Coward

          今回のではそうならないように手が打たれているから問題ないね
          # 結局クエリ削れてないんだから追跡される点は問題だろと言えるんかもしれんけど閲覧上は問題にならない

          Firefoxみたいなアプリにこんな素人がすぐ思いつくような穴が残ってると思えるのがすごいわ
          自分が世界一賢いと素で思ってるんだろうな

        • by Anonymous Coward

          langのどこがトラッキングパラメータなのかね?

    • by Anonymous Coward

      よくある設計だということならパラメータの除去でルーピングするURLのひとつでも出して、どうぞ

    • by Anonymous Coward

      現実には起こり得ないリスクについて議論することは誰の利益にもならないと思います。

      • by Anonymous Coward

        へえ、じゃあ俺がUserScriptでパラメータ削ってるのを15年近く前からやってるけど、
        リキャプチャ系でリダイレクトがループになるのは現実に起こってなかったんだね。呑気ですね。

        • by Anonymous Coward

          それは「トラッキング」パラメータを削ったのですか?
          それは具体的にどのURLのどのパラメータですか?
          それはきちんと誰かにレビューしてもらったのですか?
          それはルーピング検知で止まらなかったのですか?
          それはDBの同時接続数を使い果たしたのですか?
          それはファイアウォールレベルでブロックされたのですか?
          それはDoS攻撃したと誤認識されて逮捕されたのですか?
          それは先行していたブラウザBraveで起こりましたか?
          それは先行していたアドオンClearURLsで起こりましたか?
          それらが本当に現実に起こったのですか? 呑気ですか?

        • by Anonymous Coward

          firefoxで現実に起こり得るのかって話だろ。
          あんたの実装で起こったからfirefoxでも起こるって言うのなら、あんたがmozillaと同レベルの開発力を持っていることを証明してくれよ。

    • by Anonymous Coward

      今時のブラウザならリダイレクトループに陥ったら強制的に止めるでしょ。
      今回の件関係なく。

    • by Anonymous Coward

      対策済みだと言われてるでしょうが
      逮捕リスクとか大げさで極端なこと言うの意味不明すぎて草
      アンチは帰って勉強しなおせ

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...