アップルのsafariは追跡から逃れられない

現在色々にブラウザがありますが、ほぼ全てのブラウザはcookieを使用してユーザーの行動を追跡しています。
これを防ぐためにChromeやFireFoxなどはプライベートモードを搭載しています。

ところがプライベートモードでも実は追跡が可能であることがわかっています。
これはHSTSと呼ばれるウェブセキュリティ機能の欠陥をついた方法で、スーパークッキーを使用します。
HSTSは、httpで接続した時にhttpsに対応するサイトの有無を確認します。
そして対応可否をPINに保存して、次回同じサイトに接続する場合は最初からhttpsで接続するようにします。

問題はこのPINが他のサイトやプライベートモードからも参照可能ということです。
つまりこのPINを読みこめば、どこのサイトを訪れたか追跡可能となります。

Chrome、FireFoxなどクッキーを削除できるブラウザは、クッキーを削除するとこのPINも削除できます。
ただSafariなどその機能がないブラウザは、追跡を回避することは不可能です。

以下各ブラウザの対応状況です。

Chrome
セキュリティとプライバシーはトレードオフの関係にある。
確かに通常モードで生成されたPINはシークレットモードで読めるが、逆はできないのでいいのではないか?という結論に達したようです。

FireFox
34.0で対策を実施しました。

IE
そもそもHSTSをサポートしていないので、この問題は関係ない。

 

同じ問題を抱えていますが、各開発者の信念が見えてくるのが面白いです。

[ソース:radicalresearch]

Pocket

Leave a commen

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です