金利0無利息キャッシング – キャッシングできます

 | 

2012-10-25

プライベートブラウズを使用中かどうかを高い精度で判別できるブラウザがあるという話

19:57 | プライベートブラウズを使用中かどうかを高い精度で判別できるブラウザがあるという話  - 金利0無利息キャッシング – キャッシングできます を含むブックマーク はてなブックマーク - プライベートブラウズを使用中かどうかを高い精度で判別できるブラウザがあるという話  - 金利0無利息キャッシング – キャッシングできます

Safariです。WebKit組み込みブラウザのいくつかも多分そうです。Google Chromeはできません、多分意図的に判別が困難であるようにしています。

  • Safariの場合、プライベートブラウズを有効にするとlocalStorageに書き込めなります
  • Safariの場合、プライベートブラウズを有効にするとDo Not Trackが有効になります

プライベートブラウズ中かどうかを検出する汎用的に使える手法は

  • キャッシュされているかどうかによって、応答時間が変わるケースを利用する
  • ログイン中かどうかによって、ステータスコードや応答時間が変わるサービスを利用する

というものがあるでしょう。例えば多くのユーザーがキャッシュしている可能性が高い画像等の応答速度を調べて全くキャッシュされていないようであれば、それはブラウザのキャッシュを削除した直後であるか、プライベートブラウズ中であると推測できます。多くのユーザーがログインしっぱなしにしているサイトにおいて、ログインしているかどうかを判別する方法があれば、それを複数のサイトに対して検証して、全くログインしているサービスがなければそれはCookieをクリアした直後であるか、プライベートブラウズ中であると推測できます。このように、完璧に防ぐことはそもそも難しいのですが、プライベートブラウズ中であるかどうかを明確に判別できるのは、(自分の知ってる範囲で)Safari(及びいくつかのWebKit組み込みブラウザ)だけで、しかも最近になって「明確に」プライベートブラウズ中であることを条件にして外部から観測可能な挙動を変えるということを仕様として盛りこんできました。

http://www.apple.com/jp/safari/

あなたのプライバシーを重視するSafariは、最新のプライバシー標準である「Do Not Track」に対応しています。「プライバシー」パネルでトラッキングを停止するように設定すると、あなたが訪れたウェブサイトがあなたの行動をオンラインで追跡しないよう、そのウェブサイトに要求を送信します。プライベートブラウズを使っている場合も、ウェブサイトに追跡をしないように要求します。

Safari利用者で、ある程度固定のIPアドレスを使っているユーザーのDNTヘッダの送信状況を調べれば、そのユーザーがプライベートブラウズを利用中かどうかが高い精度で判別できるでしょう。普段はDNTを送信していないのにDNTを送信していたら、それはプライベートブラウズを使っているということです。他の手法でもできるので、多分利用はされないでしょうけれど。

そもそもプライベートブラウジング中かどうかを検出できるとマズイのか?

ということに議論の余地があると思います。例えば、ブラウザベースでのDoS攻撃に加担させられたり、CSRFで犯行予告を書きこまされたりしたときに、PC側に証拠が残らないという問題があります。ディスクキャッシュを使っていて、履歴を復元可能であれば、それはそれでブラウザ側の脆弱性です。ちゃんと証拠が消されなければいけません。

プライベートブラウズ中であれば、殆どのサイトはログアウトした状態でしょうから、Webサイトの脆弱性、XSSCSRFを利用してアカウントの情報を盗み出すという攻撃には遭遇しにくいでしょう。ログイン状態の有無に関わらず成立するような攻撃を受けた場合に、その結果、証拠が自動的に消されることになります。ユーザーは通常、攻撃を受けたことに気付きませんし、プライベートブラウズを終了したタイミングで証拠が全て消えてしまうため、後から検証することもできなくなります。

証拠が残らないなら残らないで無罪で確定ということであれば良いのですが、罠にはめられた人が普段からDoS攻撃を行いそうだったり殺人予告を行いそうな人だった場合、区別が付かなくなるのではないかと思います。

LarisaLarisa2013/03/06 13:59This is just the perfect awnser for all forum members

glmzvoqetglmzvoqet2013/03/11 01:17k5PiQC , [url=http://wlpafvfxqwnx.com/]wlpafvfxqwnx[/url], [link=http://snzqlhpkhjrp.com/]snzqlhpkhjrp[/link], http://qhucfcvvywmg.com/

トラックバック - http://subtech.g.hatena.ne.jp/mala/20121025
 |