ブラウザのフィンガープリント: それが何であるか、どのように機能するか、法律に違反するかどうか、そして自分自身を守る方法。 パート1

Selectel より: この記事は、ブラウザーのフィンガープリンティングとそのテクノロジーの仕組みに関する非常に詳細な記事の翻訳シリーズの最初のものです。 このトピックについて知りたかったけれど、聞くのを恐れていたすべてがここにあります。

ブラウザのフィンガープリントとは何ですか?

これは、Web サイトやサービスが訪問者を追跡するために使用する方法です。 ユーザーには一意の識別子 (指紋) が割り当てられます。 これには、ユーザーのブラウザ設定と機能に関する多くの情報が含まれており、ユーザーを識別するために使用されます。 さらに、ブラウザーのフィンガープリントを使用すると、Web サイトが行動パターンを追跡して、後でさらに正確にユーザーを識別できるようになります。

そのユニークさは本物の指紋とほぼ同じです。 後者のみが犯罪の容疑者を捜索するために警察によって収集されます。 しかし、ブラウザの指紋技術は犯罪者の追跡にはまったく使用されていません。 結局のところ、私たちはここでは犯罪者ではありませんよね？

ブラウザーのフィンガープリントはどのようなデータを収集しますか?

IP によって個人を追跡できるという事実は、インターネットの黎明期に私たちは知っていました。 しかし、この場合、すべてがはるかに複雑になります。 ブラウザのフィンガープリントには IP アドレスが含まれていますが、これは最も重要な情報とは程遠いです。 実際、あなたを識別するために IP は必要ありません。

研究によると EFF（電子フロンティア財団）、ブラウザのフィンガープリントには次のものが含まれます。

• ユーザーエージェント（ブラウザだけでなく、OSのバージョン、デバイスの種類、言語設定、ツールバーなども含む）。
• タイムゾーン。
• 画面の解像度と色深度。
• スーパークッキー。
• クッキーの設定。
• システムフォント。
• ブラウザのプラグインとそのバージョン。
• 訪問ログ。

EFF の調査によると、ブラウザのフィンガープリントの一意性は非常に高いです。 統計について言えば、286777 人の異なるユーザーのブラウザー フィンガープリントが完全に一致するのは XNUMX 件に XNUMX 回だけです。

もっとによると 一つの研究、ブラウザの指紋を使用したユーザー識別の精度は 99,24% です。 ブラウザ設定の 0,3 つを変更すると、ユーザー識別の精度はわずか XNUMX% 低下します。 どれだけの情報が収集されるかを示すブラウザーの指紋テストがあります。

ブラウザーのフィンガープリンティングの仕組み

そもそもなぜブラウザに関する情報を収集できるのでしょうか? それは簡単です。Web サイトのアドレスをリクエストすると、ブラウザは Web サーバーと通信します。 通常、サイトとサービスはユーザーに一意の識別子を割り当てます。

たとえば、 「gh5d443ghjflr123ff556ggf」.

このランダムな文字と数字の文字列は、サーバーがユーザーを認識し、ブラウザーと設定をユーザーに関連付けるために役立ちます。 オンラインで実行するアクションには、ほぼ同じコードが割り当てられます。

したがって、あなたが Twitter にログインしている場合、あなたに関する情報が含まれている場合、このすべてのデータは自動的に同じ識別子に関連付けられます。

もちろん、このコードは一生手元に残るわけではありません。 別のデバイスまたはブラウザからサーフィンを開始すると、識別子も変更される可能性が高くなります。

Web サイトはユーザーデータをどのように収集しますか?

これは、サーバー側とクライアント側の両方で動作する XNUMX 層のプロセスです。

サーバ側

サイトアクセスログ

この場合、ブラウザによって送信されたデータの収集について話しています。 少なくともこれ:

• 要求されたプロトコル。
• 要求された URL。
• あなたのIP。
• 参照者。
• ユーザーエージェント。

見出し

Web サーバーはブラウザからそれらを受信します。 ヘッダーは、要求されたサイトがブラウザーで動作することを確認できるため、重要です。

たとえば、ヘッダー情報により、サイトはデスクトップとモバイル デバイスのどちらを使用しているかを知ることができます。 XNUMX 番目のケースでは、モバイル デバイス用に最適化されたバージョンへのリダイレクトが発生します。 残念ながら、同じデータが指紋に残ることになります。

クッキー

ここではすべてが明らかです。 Web サーバーは常にブラウザと Cookie を交換します。 設定で Cookie を使用する機能を指定すると、Cookie はデバイスに保存され、以前にアクセスしたことのあるサイトにアクセスするたびにサーバーに送信されます。

Cookie はネットサーフィンをより快適にするのに役立ちますが、同時にあなたに関するより多くの情報を明らかにします。

キャンバスフィンガープリンティング

このメソッドでは、HTML5 の Canvas 要素を使用します。WebGL は、ブラウザで 2D および 3D グラフィックスをレンダリングするためにもこの要素を使用します。

このメソッドは通常、ブラウザーに画像、テキスト、またはその両方を含むグラフィック コンテンツを「強制的に」表示させます。 すべてがバックグラウンドで行われるため、このプロセスは目に見えません。

プロセスが完了すると、キャンバスのフィンガープリントによってグラフィックがハッシュに変換され、これが上で説明した非常に一意の識別子になります。

この方法を使用すると、デバイスに関する次の情報を取得できます。

• グラフィックアダプター。
• グラフィックアダプタードライバー。
• プロセッサー (専用のグラフィックス チップがない場合)。
• インストールされているフォント。

クライアント側のロギング

これは、ブラウザが以下のおかげで多くの情報を交換していることを意味します。

Adobe Flash と JavaScript

よくある質問によると AmIユニーク, JavaScript を有効にしている場合、プラグインまたはハードウェア仕様に関するデータが外部に送信されます。

Flash がインストールされアクティブ化されている場合、サードパーティの「オブザーバー」に次のようなさらに詳しい情報が提供されます。

• あなたのタイムゾーン。
• OSのバージョン。
• 画面の解像度。
• システムにインストールされているフォントの完全なリスト。

クッキー

これらはロギングにおいて非常に重要な役割を果たします。 したがって、通常は、ブラウザに Cookie の処理を​​許可するか、完全に削除するかを決定する必要があります。

最初のケースでは、Web サーバーはデバイスと設定に関する膨大な量の情報だけを受け取ります。 Cookie を受け入れない場合でも、サイトはブラウザに関する一部のデータを受信します。

なぜブラウザの指紋技術が必要なのでしょうか?

基本的に、デバイスのユーザーがタブレットまたはスマートフォンのどちらからインターネットにアクセスしても、自分のデバイスに最適化されたサイトを受信できるようにするためです。

さらに、このテクノロジーは広告にも使用されます。 まさに完璧なデータマイニングツールです。

たとえば、サーバーによって収集された情報を受信した後、商品やサービスのサプライヤーは、パーソナライゼーションを備えた非常に細かくターゲットを絞った広告キャンペーンを作成できます。 ターゲティングの精度は、IP アドレスのみを使用するよりもはるかに高くなります。

たとえば、広告主はブラウザのフィンガープリンティングを使用して、販売者のオンライン ストアでより良いモニターを探している画面解像度が低い (例: 1300*768) と言えるサイト ユーザーのリストを取得できます。 または、何も購入するつもりがなく、単にサイトをサーフィンするだけのユーザー。

取得した情報は、小型で時代遅れのディスプレイを使用するユーザーに対して、高品質、高解像度のモニターの広告をターゲットにするために使用できます。

さらに、ブラウザの指紋技術は次の目的でも使用されます。

• 詐欺とボットネットの検出。 これは銀行や金融機関にとって非常に便利な機能です。 これにより、ユーザーの行動を攻撃者のアクティビティから分離できます。
• VPN およびプロキシ ユーザーの定義。 諜報機関はこの方法を使用して、隠された IP アドレスを持つインターネット ユーザーを追跡できます。

結局のところ、たとえブラウザのフィンガープリントが正当な目的で使用されたとしても、ユーザーのプライバシーにとっては依然として非常に悪いものです。 特に後者が VPN で自分自身を守ろうとしている場合はそうです。

また、ブラウザの指紋はハッカーの強い味方になる可能性があります。 デバイスに関する正確なデータを知っている場合、特別なエクスプロイトを使用してデバイスをハッキングすることができます。 これについては何も複雑なことはありません。サイバー犯罪者なら誰でもフィンガープリンティング スクリプトを使用して偽のサイトを作成できます。

この記事は最初の部分にすぎず、あと XNUMX つ続くことに注意してください。 これらは、ユーザーの個人データ収集の合法性、このデータの使用の可能性、およびあまりにも活発な「収集者」からの保護方法の問題を扱います。

出所： habr.com