Brave、言語設定によるフィンガープリンティングをブロックする計画 22
ブロック 部門より
Brave が今後リリースするバージョン 1.39 (現在の安定版は 1.37) で言語設定によるフィンガープリンティングをブロックする計画を示している (Brave — Privacy Updates の記事、 Ghacks の記事)。
フィンガープリンティングに利用可能な言語設定としては、設定されている優先言語の情報のように明示的なものと、インストール済みフォントの情報のように暗黙的なものがあり、Brave 1.39 ではこれらの両方をブロック可能にする計画だ。Brave Nightly では既に追加されており、デフォルトで有効になっている。Shields の設定 (brave://settings/shields) で無効化することも可能だ。
優先言語の情報はユーザーが Web サイトで利用したい言語の優先順位と優先度を組み合わせたものだ。Web サイト側では Accept-Language ヘッダーや Web API「navigator.language」「navigator.languages」を利用して優先言語を知り、それに合わせてコンテンツを提供する仕組みだが、トラッカーは優先言語の組み合わせをフィンガープリンティングに利用する。これを防ぐため、Brave 1.39 ではデフォルトで優先順位の最も高い言語のみを Web サイトに通知する。言語の優先度も特定の範囲でランダム化するという。さらにブロッキング設定を「厳格」にした場合は優先言語が常に「English」として通知されるようになるとのこと。
フォントによるフィンガープリンティングは、特殊なフォントがインストールされているかどうかをチェックすることで実現される。たとえば、特定の言語版の OS でインストールされるフォントなどが使われるという。Brave のフィンガープリンティングブロックは OS 標準以外のインストール済みフォントのリストを読み取れなくするもので、Android と macOS、Windows で利用可能になる。iOS はプラットフォームの制限により実現できないほか、WKWebView に同様の機能が搭載されており、Linux ではディストロごとに OS 標準フォントを識別するのが困難なため、ブロッキング機能を提供しないとのこと。
Brave の言語設定によるフィンガープリンティングのブロック機能は Safari が提供する機能と似ているが、Brave はランダム化によりトラッカーを混乱させる機能を備える点や、ブロッキング機能を無効化するオプションが用意される点が異なるとのことだ。
いっぽうGoogleはフォントを根刮ぎ取得しようとしていた (スコア:1)
Local Font Access API [github.io]
これまでもJSからは『フォント名を指定して、それがインストールされているか』を調べる方法はあったんだけど、
このAPIは『インストールされている全てのフォントを一覧取得する』というトンデモAPIです。
Re:いっぽうGoogleはフォントを根刮ぎ取得しようとしていた (スコア:2)
言語と等幅、ウエィト、イタリックなどのプロパティしか指定できないようにしちゃうしかないね
こだわる向きの方はWebフォントとかもあるんだし
Re: (スコア:0)
こだわる向きの方はWebフォントとかもあるんだし
Webフォントはサードパーティドメインなことがほとんどだし
セキュリティに拘る人はサードパーティドメインブロックが基本っていう
# このストーリー的にはセキュリティへのこだわりについてだよね
Re:いっぽうGoogleはフォントを根刮ぎ取得しようとしていた (スコア:2)
セキュリティにもフォントにもこだわるユーザのことは考えてなかったな
フォントにこだわるデザイナ向けにはWebフォント、ということです
Re: (スコア:0)
Ublock Origin使ってるなら設定項目に「リモートフォントをブロックする」というのがあるから、ONにしてみ。フォントが読み込まれてれは表示されてるはずの絵文字が変な漢字になる。この対策をしてるサイトは少ない。
Re: (スコア:0)
Ublock Origin使ってるなら設定項目に「リモートフォントをブロックする」というのがあるから、ONにしてみ。
むしろUblock Origin使ってセキュリティ気にしててそれしてないとか意味不明すぎでしょ
サードパーティスクリプト、サードパーティフレームとセットでブロックがデフォみたいな
Re: (スコア:0)
この設定デフォルトじゃ有効になってないでしょ。俺もこの前設定ページいじっててこういうのがあるのやっと気づいたよ。
フォントファイルの拡張子は別でブロックしてたけども。
Re:いっぽうGoogleはフォントを根刮ぎ取得しようとしていた (スコア:1)
指定した一群のフォント(絶対使わなさそうなネタ的フォント)を、再起動のたびにランダムに入れ替えるスクリプトとか作ったら需要ありそう。
Re: (スコア:0)
指定した一群のフォント(絶対使わなさそうなネタ的フォント)を、再起動のたびにランダムに入れ替えるスクリプトとか作ったら需要ありそう。
wingdingとかになったら仕事しなくて済むかも!?
# もしくはホラー系で貞子召喚
強固なブロックをするほど (スコア:0)
Brave を使っていること自体がフィンガープリントになりそう
Re: (スコア:0)
一般論として、フィンガープリント対策というのは同じブラウザを使っている人のなかに隠れることを目指すもので
他のブラウザに擬態することは Out of Scope
Brave については、そもそも検出する方法が公式に用意されているくらいでそこは問題視されていない(Brave お断りサイトも簡単に作れる。気づかれたら対策されるかもしれんけど)
そして広告打ちまくってるおかげでBraveは 5270 万人と、Firefox の4分の1弱のユーザーを現時点で持っていて、しかも急速に伸びつづけている
だから問題となるとしたら、Google Chrome と互換性を大きく崩さずにどこまで対策を打てるかだな
Re: (スコア:0)
Brave を使っていること自体がフィンガープリントになりそう
抜けているくらいの方がいいと
ではUAの空にしてみるのもいいかもしれない
Re: (スコア:0)
「指紋を剥ぎ取った」IDとしてトラックされるわ
Re: (スコア:0)
「指紋を剥ぎ取った」IDとしてトラックされるわ
転生フラグ!?
# そのトラック違う
要するに英語で見ろと? (スコア:0)
URLにアクセスすると、WEBサーバー側がrequestヘッダー見て「こいつはJAか」って日本語のhtmlくれたり日本語サイトにリダイレクトしてるよね。
それなくなって「みんな英語で見ろ!」ってことかな・・・
勝手に翻訳するのやめてほしい (スコア:0)
時々そういう変なサイトにぶち当たる
そういう時どうすればいい?
Re: (スコア:0)
どういうサイトなのか分からないけど、
Language Switch とか、
User-Agent Switcher and Manager とか、
そういうリクエストを欺瞞する拡張を入れたらなんとかなりそう。
別にセキュリティでガチガチな機能じゃないから、
ブラウザからのリクエストに素直に従うだけなのでは。
Re: (スコア:0)
どういうサイトなのか分からないけど
もしかして。。。Mutiviews
# index.html.jaとかWebサーバーの標準機能なんてしらんよみたいな?
Re: (スコア:0)
使っている言語という情報さえだしたくないなら仕方ないよねそりゃ
ブレイブみたいなマイナーブラウザ使ってる時点で絞り込める (スコア:0)
ブレイブの普及数を考えるとブラウザのエージェントとIPアドレスだけでユーザーのフィンガープリント取得ができそう。エージェントいじってる場合でもブレイブに固有の動作からブラウザを特定し擬装したエージェントでフィンガープリント取れそう。
何故ブラウザ経由で情報抜こうとするのには寛容なの? (スコア:0)
どういうこと?おかしくね?
Re: (スコア:0)
抜けてるやつらが多いから。