Firefox 102、追跡用クエリパラメーターの除去に対応 30
ストーリー by headless
除去 部門より
除去 部門より
Mozilla が 6 月 28 日にリリースした Firefox 102.0 では、強化型トラッキング防止 (ETP) 機能の「厳格」モードで、追跡に用いられるクエリパラメーターの除去が可能になっている
(リリースノート、
BleepingComputer の記事、
The Next Web の記事、
The Register の記事)。
こういったクエリパラメーターは Facebook の「fbclid」など、リンクのクリックを追跡するために用いられるクリック ID で、例えば「https://example.com/?fbclid=123abc」の「fbclid=abcd」部分を指す。リリースノートで除去の対象となるパラメーターは具体的に示されていないが、BleepingComputer の記事では fbclid のほかに Olytics の「oly_enc_id」「oly_anon_id」や Drip の「__s」、Vero の「vero_id」、HubSpot の「_hsenc」、Marketo の「mkt_tok」、MailChimp の「mc_eid」を挙げている。
除去はFirefoxの設定 (about:preferences) → プライバシーとセキュリティの「強化型トラッキング防止機能」で「厳格」を選択すれば有効になるが、プライベートウィンドウには適用されない。プライベートウィンドウで除去を実行するには、「about:config」で「privacy.query_stripping.enabled.pbmode」を「true」にする必要がある。この設定にしたプライベートウィンドウでは「強化型トラッキング防止機能」の設定にかかわらず除去が行われる。実際の動作は BleepingComputer が作成したテストページで確認できる。
以前から Brave はより幅広いクリック ID の除去に対応しているが、mkt_tok は除去されなかった。Brave の Brendan Eich 氏は DuckDuckGo ブラウザーが Facebook や Google のクリック ID を除去する一方で Microsoft のクリック ID「msclkid」を除去しないと批判していたが、Firefox 102.0 も「msclkid」を除去しない。また、Google のクリック ID「gclid」も除去されなかった。
こういったクエリパラメーターは Facebook の「fbclid」など、リンクのクリックを追跡するために用いられるクリック ID で、例えば「https://example.com/?fbclid=123abc」の「fbclid=abcd」部分を指す。リリースノートで除去の対象となるパラメーターは具体的に示されていないが、BleepingComputer の記事では fbclid のほかに Olytics の「oly_enc_id」「oly_anon_id」や Drip の「__s」、Vero の「vero_id」、HubSpot の「_hsenc」、Marketo の「mkt_tok」、MailChimp の「mc_eid」を挙げている。
除去はFirefoxの設定 (about:preferences) → プライバシーとセキュリティの「強化型トラッキング防止機能」で「厳格」を選択すれば有効になるが、プライベートウィンドウには適用されない。プライベートウィンドウで除去を実行するには、「about:config」で「privacy.query_stripping.enabled.pbmode」を「true」にする必要がある。この設定にしたプライベートウィンドウでは「強化型トラッキング防止機能」の設定にかかわらず除去が行われる。実際の動作は BleepingComputer が作成したテストページで確認できる。
以前から Brave はより幅広いクリック ID の除去に対応しているが、mkt_tok は除去されなかった。Brave の Brendan Eich 氏は DuckDuckGo ブラウザーが Facebook や Google のクリック ID を除去する一方で Microsoft のクリック ID「msclkid」を除去しないと批判していたが、Firefox 102.0 も「msclkid」を除去しない。また、Google のクリック ID「gclid」も除去されなかった。
リダイレクトがルーピングするリスク有り (スコア:2, 参考になる)
特定のパラメーターが無かったら、パラメーター付きのURLにリダイレクト(HTTPリダイレクトやJavaScriptでのリダイレクト)するというのは、よくある設計なんですね。
ところが、ブラウザー側でそれを排除されてしまったら、リダイレクトがルーピングしてしまうんです。
HTTPリダイレクトならばモダンなブラウザーはリダイレクトを10回ぐらい?ループさせるとルーピング検知で止まりますけど、JavaScriptだと止まりません。
そうなるとDoS状態になって、DoS対策をしていないサイトでデータベース処理が重いページだったりするとデータベースサーバーの同時接続数を使い果たして他のユーザーが接続できなくなっったりします。CloudFlare入れてても、秒間20リクエストとかなら普通検知しないので、バックエンドデータベースで障害が起こることがあります。
DoS対策がされているサイトならば、DoS攻撃判定されて、そのユーザーのIPアドレスはファイアウォールレベルでブロックされて接続できなくなります。
日本だと、日本の某図書館事件のように、利用者がDoS攻撃したと誤認識されて、逮捕されるリスクまであります。
Firefoxはシェアが少ないので、もうクエリーまで弄られると対応が面倒なので、UserAgent でブロックするようなサイトも増えてくるでしょう。
こういうやり方は誰の利益にもならないと思います。
当然対策済み (スコア:4, 参考になる)
We will only strip the query string if it is redirecting to a third-party URI in the top level.
https://github.com/mozilla/gecko-dev/blob/388ea3d22361b97c7f81d02757a1... [github.com]
ということでご指摘の
example.com/?lang=ja -> example.com -> example.com/?lang=ja -> exmaple.com -> 最初に戻る
みたいなループは発生しません。
さらに言うと削除されるパラメーターはdenylist方式でトラッキング用のもののみが削除されるようになっているのでlangみたいな一般的なパラメーターはサードパーティーへのリダイレクトであっても削除されません。
# 最近プライバシー保護技術のストーリーに逆張りコメントする人がいるようですがそっち系の業者の中の人なんですかね
Re: (スコア:0)
> # 最近プライバシー保護技術のストーリーに逆張りコメントする人がいるようですがそっち系の業者の中の人なんですかね
最近で言うとこれ [srad.jp]のことかな
最近と言わず結構前から張り付いてる気がしますね
逆張りと重箱の隅突きが癖になってるんでしょうね
Re: (スコア:0)
最近「ソーシャルスキル未発達で反抗期を今更やってるおっさん」って言われる輩だな
とにかく負けが見えてても逆を張る「反○○」のラベルが貰えるものは何でも張る奴ら
本来マイナスモデとかシャドウバンってこういう害悪のためにあるんだけどな
書き込むだけで満たされ、否定されると余計に快感を覚えて学習しちゃうから
Re:リダイレクトがルーピングするリスク有り (スコア:1)
特定パラメーターを除去する機能が搭載される
だけなら、目的地に行けずにパラメーター不備時のリダイレクト先に飛ぶだけじゃないの?
ループが発生するのは、そのリダイレクト先でもパラメーターチェックして
パラメーター付与した状態でリダイレクトページに再度誘導した場合だけじゃない?
それは閲覧者の責任じゃなくサイト設計者の責任なのでは
Re: (スコア:0)
多言語化されたページで「lang」というパラメーターが無かったら、HTTPヘッダーのaccept-languageとかジオロケーションに基づいてパラメーターを付けたURLにリダイレクトする設計になっていて、仮にブラウザーが lang を除去し続けたら無限リダイレクトします。
https://it.srad.jp/story/22/07/03/0344250/ [it.srad.jp] にアクセス
↓
https://it.srad.jp/story/22/07/03/0344250/?lang=ja [it.srad.jp] にリダイレクト
https://it.srad.jp/story/22/07/03/0344250/?lang=en [it.srad.jp] にアクセス
↓
そのまま
普通にユー
Re: (スコア:0)
今回のではそうならないように手が打たれているから問題ないね
# 結局クエリ削れてないんだから追跡される点は問題だろと言えるんかもしれんけど閲覧上は問題にならない
Firefoxみたいなアプリにこんな素人がすぐ思いつくような穴が残ってると思えるのがすごいわ
自分が世界一賢いと素で思ってるんだろうな
Re: (スコア:0)
langのどこがトラッキングパラメータなのかね?
Re: (スコア:0)
よくある設計だということならパラメータの除去でルーピングするURLのひとつでも出して、どうぞ
Re: (スコア:0)
現実には起こり得ないリスクについて議論することは誰の利益にもならないと思います。
Re: (スコア:0)
へえ、じゃあ俺がUserScriptでパラメータ削ってるのを15年近く前からやってるけど、
リキャプチャ系でリダイレクトがループになるのは現実に起こってなかったんだね。呑気ですね。
Re: (スコア:0)
それは「トラッキング」パラメータを削ったのですか?
それは具体的にどのURLのどのパラメータですか?
それはきちんと誰かにレビューしてもらったのですか?
それはルーピング検知で止まらなかったのですか?
それはDBの同時接続数を使い果たしたのですか?
それはファイアウォールレベルでブロックされたのですか?
それはDoS攻撃したと誤認識されて逮捕されたのですか?
それは先行していたブラウザBraveで起こりましたか?
それは先行していたアドオンClearURLsで起こりましたか?
それらが本当に現実に起こったのですか? 呑気ですか?
Re: (スコア:0)
firefoxで現実に起こり得るのかって話だろ。
あんたの実装で起こったからfirefoxでも起こるって言うのなら、あんたがmozillaと同レベルの開発力を持っていることを証明してくれよ。
Re: (スコア:0)
今時のブラウザならリダイレクトループに陥ったら強制的に止めるでしょ。
今回の件関係なく。
Re: (スコア:0)
対策済みだと言われてるでしょうが
逮捕リスクとか大げさで極端なこと言うの意味不明すぎて草
アンチは帰って勉強しなおせ
特定のサイトだけパラメータそのままってのは (スコア:1)
独占禁止法案件じゃねーの
Re:特定のサイトだけパラメータそのままってのは (スコア:1)
Firefoxサポート終了したクソサイト共がな
Re: (スコア:0)
Firefoxが市場を独占している世界線から来た人ですか?
Re: (スコア:0)
Chromeがやりだしたら言ってくれ
Re: (スコア:0)
URLのクエリパラメータはトラッキング以外の目的で使われているものの方が多く
それを除去したらまともに動かないサイトは山のようにあるから
「特定のサイトの特定のパラメータだけ除去」なブラックリスト方式でないと使い物にならないと思うぞ。
ClearURLsアドオンで補完するとイイ感じ (スコア:0)
ClearURLs [mozilla.org]の組み込み化みたいな話かと思って比較してみましたが、フィルタルールが全然違うみたいですね。
# 上記のURLにもトラッキングパラメーターが付いていますが、Firefoxアドオンはaddons.mozilla.orgドメインでの動作に制限があるのでClearURLsが仕事してくれない……
ClearURLsではMarketo の「mkt_tok」とMeta(Facebook)の「fbclid」、Google のクリック ID「gclid」は除去しますが、「oly_enc_id」「oly_anon_id」「__s」「vero_id」「_hsenc」「mc_eid」「msclkid」は除去できてないので、ちょうどFirefox 102の強化型トラッキング防止機能と補完関係になってます。気になる人は両方有効にするのが良さそうですね。
Re: (スコア:0)
ClearURLs [mozilla.org]
addons.mozilla.orgに載せているのはdev.roebert.euなのに
入れたアドオンのドメインではdocs.clearurls.xyzってのがなんとも
中身まで精査してないけど人様に推奨は控えたいかんじかな
# なんで敢えてアダルト御用達ドメイン使うんだろう
Re: (スコア:0)
xxx じゃなくて?
xyz は技術系か,スパマーのイメージ.
https://abc.xyz/ [abc.xyz]
Re: (スコア:0)
.xyzは初年度安いから適当にドメイン取って人気出たのでそのまま更新続けてるだけでしょう
ガンガン削りたい人にはNeatURLがお薦め (スコア:0)
NeatURL [mozilla.org]だと、削りたいパラメーターを条件含めて細かく設定できるよ。
Re: (スコア:0)
4年前からbugラベルの付いたissue立ってるけどドメインのワイルドカード処理がダメダメでjp ccTLDで使いにくいんだよね
Re: (スコア:0)
でもその拡張機能もいずれはSimilarWebに買収されて情報抜くんだろ?知ってる
Re:もうそろそろFirefrox自体が (スコア:1)
NHKプラスはUA偽装しても見られなくなったな。