パスワードを忘れた? アカウント作成
15719621 story
Firefox

Firefox 102、追跡用クエリパラメーターの除去に対応 30

ストーリー by headless
除去 部門より
Mozilla が 6 月 28 日にリリースした Firefox 102.0 では、強化型トラッキング防止 (ETP) 機能の「厳格」モードで、追跡に用いられるクエリパラメーターの除去が可能になっている (リリースノートBleepingComputer の記事The Next Web の記事The Register の記事)。

こういったクエリパラメーターは Facebook の「fbclid」など、リンクのクリックを追跡するために用いられるクリック ID で、例えば「https://example.com/?fbclid=123abc」の「fbclid=abcd」部分を指す。リリースノートで除去の対象となるパラメーターは具体的に示されていないが、BleepingComputer の記事では fbclid のほかに Olytics の「oly_enc_id」「oly_anon_id」や Drip の「__s」、Vero の「vero_id」、HubSpot の「_hsenc」、Marketo の「mkt_tok」、MailChimp の「mc_eid」を挙げている。

除去はFirefoxの設定 (about:preferences) → プライバシーとセキュリティの「強化型トラッキング防止機能」で「厳格」を選択すれば有効になるが、プライベートウィンドウには適用されない。プライベートウィンドウで除去を実行するには、「about:config」で「privacy.query_stripping.enabled.pbmode」を「true」にする必要がある。この設定にしたプライベートウィンドウでは「強化型トラッキング防止機能」の設定にかかわらず除去が行われる。実際の動作は BleepingComputer が作成したテストページで確認できる。

以前から Brave はより幅広いクリック ID の除去に対応しているが、mkt_tok は除去されなかった。Brave の Brendan Eich 氏は DuckDuckGo ブラウザーが Facebook や Google のクリック ID を除去する一方で Microsoft のクリック ID「msclkid」除去しないと批判していたが、Firefox 102.0 も「msclkid」を除去しない。また、Google のクリック ID「gclid」も除去されなかった。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年07月03日 18時24分 (#4281852)

    特定のパラメーターが無かったら、パラメーター付きのURLにリダイレクト(HTTPリダイレクトやJavaScriptでのリダイレクト)するというのは、よくある設計なんですね。
    ところが、ブラウザー側でそれを排除されてしまったら、リダイレクトがルーピングしてしまうんです。
    HTTPリダイレクトならばモダンなブラウザーはリダイレクトを10回ぐらい?ループさせるとルーピング検知で止まりますけど、JavaScriptだと止まりません。

    そうなるとDoS状態になって、DoS対策をしていないサイトでデータベース処理が重いページだったりするとデータベースサーバーの同時接続数を使い果たして他のユーザーが接続できなくなっったりします。CloudFlare入れてても、秒間20リクエストとかなら普通検知しないので、バックエンドデータベースで障害が起こることがあります。
    DoS対策がされているサイトならば、DoS攻撃判定されて、そのユーザーのIPアドレスはファイアウォールレベルでブロックされて接続できなくなります。
    日本だと、日本の某図書館事件のように、利用者がDoS攻撃したと誤認識されて、逮捕されるリスクまであります。

    Firefoxはシェアが少ないので、もうクエリーまで弄られると対応が面倒なので、UserAgent でブロックするようなサイトも増えてくるでしょう。
    こういうやり方は誰の利益にもならないと思います。

    • 当然対策済み (スコア:4, 参考になる)

      by Anonymous Coward on 2022年07月03日 20時32分 (#4281938)

      We will only strip the query string if it is redirecting to a third-party URI in the top level.

      https://github.com/mozilla/gecko-dev/blob/388ea3d22361b97c7f81d02757a1... [github.com]
      ということでご指摘の
      example.com/?lang=ja -> example.com -> example.com/?lang=ja -> exmaple.com -> 最初に戻る
      みたいなループは発生しません。

      さらに言うと削除されるパラメーターはdenylist方式でトラッキング用のもののみが削除されるようになっているのでlangみたいな一般的なパラメーターはサードパーティーへのリダイレクトであっても削除されません。

      # 最近プライバシー保護技術のストーリーに逆張りコメントする人がいるようですがそっち系の業者の中の人なんですかね

      親コメント
      • by Anonymous Coward

        > # 最近プライバシー保護技術のストーリーに逆張りコメントする人がいるようですがそっち系の業者の中の人なんですかね

        最近で言うとこれ [srad.jp]のことかな
        最近と言わず結構前から張り付いてる気がしますね
        逆張りと重箱の隅突きが癖になってるんでしょうね

        • by Anonymous Coward

          最近「ソーシャルスキル未発達で反抗期を今更やってるおっさん」って言われる輩だな
          とにかく負けが見えてても逆を張る「反○○」のラベルが貰えるものは何でも張る奴ら

          本来マイナスモデとかシャドウバンってこういう害悪のためにあるんだけどな
          書き込むだけで満たされ、否定されると余計に快感を覚えて学習しちゃうから

    • by Anonymous Coward on 2022年07月03日 18時40分 (#4281864)

      特定パラメーターを除去する機能が搭載される
      だけなら、目的地に行けずにパラメーター不備時のリダイレクト先に飛ぶだけじゃないの?

      ループが発生するのは、そのリダイレクト先でもパラメーターチェックして
      パラメーター付与した状態でリダイレクトページに再度誘導した場合だけじゃない?

      それは閲覧者の責任じゃなくサイト設計者の責任なのでは

      親コメント
      • by Anonymous Coward

        多言語化されたページで「lang」というパラメーターが無かったら、HTTPヘッダーのaccept-languageとかジオロケーションに基づいてパラメーターを付けたURLにリダイレクトする設計になっていて、仮にブラウザーが lang を除去し続けたら無限リダイレクトします。

        https://it.srad.jp/story/22/07/03/0344250/ [it.srad.jp] にアクセス
         ↓
        https://it.srad.jp/story/22/07/03/0344250/?lang=ja [it.srad.jp] にリダイレクト

        https://it.srad.jp/story/22/07/03/0344250/?lang=en [it.srad.jp] にアクセス
         ↓
        そのまま

        普通にユー

        • by Anonymous Coward

          今回のではそうならないように手が打たれているから問題ないね
          # 結局クエリ削れてないんだから追跡される点は問題だろと言えるんかもしれんけど閲覧上は問題にならない

          Firefoxみたいなアプリにこんな素人がすぐ思いつくような穴が残ってると思えるのがすごいわ
          自分が世界一賢いと素で思ってるんだろうな

        • by Anonymous Coward

          langのどこがトラッキングパラメータなのかね?

    • by Anonymous Coward

      よくある設計だということならパラメータの除去でルーピングするURLのひとつでも出して、どうぞ

    • by Anonymous Coward

      現実には起こり得ないリスクについて議論することは誰の利益にもならないと思います。

      • by Anonymous Coward

        へえ、じゃあ俺がUserScriptでパラメータ削ってるのを15年近く前からやってるけど、
        リキャプチャ系でリダイレクトがループになるのは現実に起こってなかったんだね。呑気ですね。

        • by Anonymous Coward

          それは「トラッキング」パラメータを削ったのですか?
          それは具体的にどのURLのどのパラメータですか?
          それはきちんと誰かにレビューしてもらったのですか?
          それはルーピング検知で止まらなかったのですか?
          それはDBの同時接続数を使い果たしたのですか?
          それはファイアウォールレベルでブロックされたのですか?
          それはDoS攻撃したと誤認識されて逮捕されたのですか?
          それは先行していたブラウザBraveで起こりましたか?
          それは先行していたアドオンClearURLsで起こりましたか?
          それらが本当に現実に起こったのですか? 呑気ですか?

        • by Anonymous Coward

          firefoxで現実に起こり得るのかって話だろ。
          あんたの実装で起こったからfirefoxでも起こるって言うのなら、あんたがmozillaと同レベルの開発力を持っていることを証明してくれよ。

    • by Anonymous Coward

      今時のブラウザならリダイレクトループに陥ったら強制的に止めるでしょ。
      今回の件関係なく。

    • by Anonymous Coward

      対策済みだと言われてるでしょうが
      逮捕リスクとか大げさで極端なこと言うの意味不明すぎて草
      アンチは帰って勉強しなおせ

  • by Anonymous Coward on 2022年07月03日 16時46分 (#4281782)

    独占禁止法案件じゃねーの

    • by Anonymous Coward on 2022年07月12日 22時01分 (#4288468)

      Firefoxサポート終了したクソサイト共がな

      親コメント
    • by Anonymous Coward

      Firefoxが市場を独占している世界線から来た人ですか?

    • by Anonymous Coward

      Chromeがやりだしたら言ってくれ

    • by Anonymous Coward

      URLのクエリパラメータはトラッキング以外の目的で使われているものの方が多く
      それを除去したらまともに動かないサイトは山のようにあるから
      「特定のサイトの特定のパラメータだけ除去」なブラックリスト方式でないと使い物にならないと思うぞ。

  • by Anonymous Coward on 2022年07月03日 18時01分 (#4281837)

    ClearURLs [mozilla.org]の組み込み化みたいな話かと思って比較してみましたが、フィルタルールが全然違うみたいですね。
    # 上記のURLにもトラッキングパラメーターが付いていますが、Firefoxアドオンはaddons.mozilla.orgドメインでの動作に制限があるのでClearURLsが仕事してくれない……
    ClearURLsではMarketo の「mkt_tok」とMeta(Facebook)の「fbclid」、Google のクリック ID「gclid」は除去しますが、「oly_enc_id」「oly_anon_id」「__s」「vero_id」「_hsenc」「mc_eid」「msclkid」は除去できてないので、ちょうどFirefox 102の強化型トラッキング防止機能と補完関係になってます。気になる人は両方有効にするのが良さそうですね。

    • by Anonymous Coward

      ClearURLs [mozilla.org]

      addons.mozilla.orgに載せているのはdev.roebert.euなのに
      入れたアドオンのドメインではdocs.clearurls.xyzってのがなんとも
      中身まで精査してないけど人様に推奨は控えたいかんじかな

      # なんで敢えてアダルト御用達ドメイン使うんだろう

      • by Anonymous Coward

        xxx じゃなくて?
        xyz は技術系か,スパマーのイメージ.

        https://abc.xyz/ [abc.xyz]

      • by Anonymous Coward

        .xyzは初年度安いから適当にドメイン取って人気出たのでそのまま更新続けてるだけでしょう

  • by Anonymous Coward on 2022年07月04日 22時20分 (#4282791)

    NeatURL [mozilla.org]だと、削りたいパラメーターを条件含めて細かく設定できるよ。

    • by Anonymous Coward

      4年前からbugラベルの付いたissue立ってるけどドメインのワイルドカード処理がダメダメでjp ccTLDで使いにくいんだよね

    • by Anonymous Coward

      でもその拡張機能もいずれはSimilarWebに買収されて情報抜くんだろ?知ってる

typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...