‘HTTP Strict Transport Security’ (HSTS) スーパークッキーを悪用したクッキーレス追跡

目次

• ウェブサイトは、ブラウザの履歴を消去しても、あなたの閲覧を追跡するためにiPhone/iPadのセキュリティ機能を使用する可能性があります。
• 更新

ウェブサイトは、ブラウザの履歴を消去しても、あなたの閲覧を追跡するためにiPhone/iPadのセキュリティ機能を使用する可能性があります。

機密情報や個人情報を共有する可能性のあるウェブサイトを訪れる際には、常に安全な接続を使用することが重要であるということは広く知られたアドバイスです。安全な接続を持つウェブサイトを訪れると、ウェブブラウザは鍵のアイコンを表示します。このアイコンは、サイトへの接続が暗号化されており、干渉されたり傍受されたりすることができないことを示しています。

デモンストレーション

`` …
これは、このページでJavaScriptによって生成されたユニークな値です。このページは、この値をウェブブラウザに保存し、将来再度訪問した際に再び読み取ろうとします。 異なるウェブブラウザは、必ずしも同じように動作するわけではありません。ブラウザの動作を確認するために、これらのテストを試して、値が同じままであるかどうかを確認してください： - ページをリフレッシュします。 - 「プライベート」/「シークレット」ウィンドウで同じウェブアドレスを開きます。 - ブラウザのクッキーを消去し、ページをリフレッシュします。 - 同じiCloudアカウントで同期された別のiOSデバイスでページを訪問します。 これらのステップのいずれかで値が同じままであれば、この技術はあなたの閲覧習慣を追跡するために使用される可能性があります。 これは、このページでJavaScriptによって生成されたユニークな値です。このページは、この値をウェブブラウザに保存し、将来再度訪問した際に再び読み取ろうとします。 「HTTP Strict Transport Security」（HSTS）と呼ばれる現代のウェブブラウザのセキュリティ機能により、ウェブサイトは常に安全な接続を使用してアクセスされるべきであることを示すことができます。HSTSが有効なサイトを訪れると、ウェブブラウザはこのフラグを記憶し、将来そのウェブサイトを訪れる際に接続が安全であることを保証します。安全な接続を使用せずにサイトを訪れると、ウェブブラウザは自動的に安全なバリアントのウェブアドレスにリダイレクトします。https://から始まります。 この自動リダイレクトは、サイトへのアクセスが傍受されるのを防ぎますが、悪意のあるサイトがユニークな番号を保存してウェブブラウザを追跡するために悪用される可能性もあります。番号はビットの系列（真偽値）としてエンコードされ、ウェブアドレスのセットにアクセスすることで保存されます。各ウェブアドレスは、アドレスに応じてHSTSが有効または無効で応答します。一度番号が保存されると、将来他のサイトによって読み取られる可能性があります。番号を読み取るには、同じウェブアドレスへのリクエストがリダイレクトされるかどうかをテストするだけです。 HSTSを使用してあなたの閲覧習慣を追跡することは、より一般的な「クッキー」ベースの追跡メカニズムを制御するために設計されたウェブブラウザの機能を回避します。「シークレット」または「プライベート」モードを使用すると、既存のクッキーは訪問するサイトと共有されません。ブラウザは、あなたを追跡するために使用される可能性のあるクッキーを完全に削除することも許可します。 HSTSはセキュリティ機能であり、追跡のために使用されることを意図していないため、ウェブブラウザはクッキーとは異なる扱いをします。HSTSがユーザーを追跡するために悪用されるのは、意図的な誤用によるものだけです。 Google Chrome、Firefox、Operaなどの一部のブラウザは、この問題を軽減しています。これらのブラウザでクッキーを消去すると、HSTSフラグも消去されるため、保存された値はクリアされます。しかし、クッキーとは異なり、既存のHSTSフラグは「シークレット」または「プライベート」ウィンドウを使用しているときにサイトと共有され続けます。その影響は、追跡を避けるために「シークレット」または「プライベート」ブラウジング機能を使用することを選択しても、サイトがあなたを追跡することが可能であるということです。 さらに懸念されるのは、iPadやiPhoneのデフォルトブラウザであるSafariの動作です。AppleデバイスでSafariを使用していると、ユーザーがHSTSフラグを消去する方法がないようです。HSTSフラグはiCloudサービスと同期されるため、デバイスが初期化されると復元されます。この場合、デバイスは取り除く方法がない不滅の追跡値で「ブランド化」される可能性があります。 注目すべき例外は、HSTSをサポートしていないInternet Explorerです（執筆時点では開発中ですが）、この技術に対して脆弱ではありません。 私は当初、これは以前に探求された道ではないと思っていましたが、Mikhail Davidovは2012年4月にHSTSの潜在的な悪用について書いていますが、ブラウザベンダーによる彼の観察に対する直接的な反応は知りません。 私はこの技術が実際にユーザーを追跡するために使用されていることを知りませんが、それがないとは言えません。この情報に関して連絡を取りたい方は、[email protected]までメールしてください。 ## 更新 2015年1月4日 Google Chromeセキュリティチームのメンバーは、この問題に対処するためのいくつかのパッチやChromiumコードベースへのリバートに至る議論を強調してくれました。詳細はこちらとこちらで読むことができます。 最終的に、彼らはセキュリティとプライバシーの間に必要なトレードオフがあると結論付けています。ChromiumセキュリティFAQは「このようなフィンガープリンティングを打破することは、ウェブの動作に根本的な変更がない限り実用的ではない」と述べています。 クライアント識別メカニズムの技術分析は、この技術の可能性について、多くの他の技術とともに、「セキュリティとプライバシーのバランスを取るために、通常のブラウジング中に設定されたHSTSピンはChromeのシークレットモードに引き継がれます。ただし、逆方向への伝播はありません。」と述べています。 この記事は、Sam Greenhalghの許可を得てそのまま公開されています。Radical Researchでこの記事全体を読むこともできます。