Super Cookieを糾弾しよう
ブラウザの匿名ブラウジングモードは思ってるほどセキュアでないかも知れない。ある研究者によって、ブラウザ最大のセキュリティ機能を最悪のプライバシーハザードに変えうる、Super Cookieという概念が実証されたのだ。
Cookieはブラウザとサーバー間でやりとりされるメッセージで、Webサイトをリクエストした際にやりとりされる。次回ユーザーがそのWebサイトに戻ってきた時、Webサイトはユーザー側に前回の情報を保存されてるCookieから読み取る。匿名ブラウジングモードでない場合、CookieによってWebサイトはユーザーの足跡を記録し、追跡することができる。匿名ブラウジングモードとは、言ってしまえばCookieのやりとりをしないという事だ。
テクノロジー・ソフトウェアのコンサルタント、サム・グリーンハルは匿名ブラウジングモードにおいてもユーザーの追跡が可能な「HSTS Super Cookie」の概念を実証した。これが可能であることを示すために、彼のサイトで、それぞれの訪問者に追跡IDをセットした。このサイトをブラウザやその設定等を変えるなりして、気が済むまで訪問してみるといいだろう。追跡IDが変わらなければ、あなたの環境はSuper Cookieに対して脆弱性があるということだ。
HSTSはHTTP Strict Transport Securityの略で、ユーザーがWebサイトが安全なHTTPS接続を通してのみ行われることを保証するプロトコルだ。詳細については、Ars Technicaの説明を読むと良い。
グリーンハルは、あるブラウザの特定のバージョンのものだけが、HSTS Super Cookiesの脆弱性を抱えていないという。Firefoxの最新版、34.0.5だ。IEは別の理由でこの脆弱性とは無縁だ。HSTSをそもそもサポートしていないからだ。
トップ画像提供:Jeramey Jannene
Lauren Orsini
[原文]
※本記事はReadWrite Japanからの転載です。転載元はこちら
