アップルのsafariは追跡から逃れられない
現在色々にブラウザがありますが、ほぼ全てのブラウザはcookieを使用してユーザーの行動を追跡しています。
これを防ぐためにChromeやFireFoxなどはプライベートモードを搭載しています。
ところがプライベートモードでも実は追跡が可能であることがわかっています。
これはHSTSと呼ばれるウェブセキュリティ機能の欠陥をついた方法で、スーパークッキーを使用します。
HSTSは、httpで接続した時にhttpsに対応するサイトの有無を確認します。
そして対応可否をPINに保存して、次回同じサイトに接続する場合は最初からhttpsで接続するようにします。
問題はこのPINが他のサイトやプライベートモードからも参照可能ということです。
つまりこのPINを読みこめば、どこのサイトを訪れたか追跡可能となります。
Chrome、FireFoxなどクッキーを削除できるブラウザは、クッキーを削除するとこのPINも削除できます。
ただSafariなどその機能がないブラウザは、追跡を回避することは不可能です。
以下各ブラウザの対応状況です。
Chrome
セキュリティとプライバシーはトレードオフの関係にある。
確かに通常モードで生成されたPINはシークレットモードで読めるが、逆はできないのでいいのではないか?という結論に達したようです。
FireFox
34.0で対策を実施しました。
IE
そもそもHSTSをサポートしていないので、この問題は関係ない。
同じ問題を抱えていますが、各開発者の信念が見えてくるのが面白いです。
[ソース:radicalresearch]