パスワードを忘れた? アカウント作成
221531 story
プライバシ

OS やブラウザ、プラグインなどの情報から Web 利用者の 8 割は個別識別できる 35

ストーリー by reo
「ふん、たったの 96 万か。ゴミめ。」みたいな楽しみ方 部門より

hylom 曰く、

Electronic Frontier Foundation (EFF: 電子フロンティア財団) が、「ネットサーフィン中、Web ブラウザは '指紋' を残す」というレポートを公開している(そのレポート, Internet Watchの記事

これは、EFF が「http://panopticlick.eff.org/」という調査サイトで行った調査結果を基にしたもの。この Web サイトでは、Web ブラウザの User Agent や HTTP_ACCEPT Headers といった情報や、インストールしているプラグイン、タイムゾーン、画面サイズ/色数、システムフォント、クッキーの有効/無効、そのほか Web ブラウザが記録できる情報 (supercookie) といった情報を (ユーザーの同意を得て) 収集し、その結果ユーザーの Web ブラウザ環境がどのくらいユニークかを表示してくれる。

タレコミ子が試したところ、「調査を行った約 96 万の中では唯一のもの」という結果が得られた。特にインストールされているプラグインやフォントといった情報は環境によって大きく異なるため、これだけでも十分にユーザーの識別に利用できそうである。これらの情報は JavaScript で取得されるため、対策としてはおなじみ JavaScript の無効化などが挙げられている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Camino... (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2010年05月20日 14時15分 (#1766817)

    Camino [caminobrowser.org]でアクセスしたら、User_Agentの時点でユニークだった…
    流石に使ってるのが一人ってことはないと信じたい…

    • by Anonymous Coward
      ちょっと前にCaminoでそこにアクセスしたけどなぁ。

      いまもCamino。

      2人はいます。
      • by Anonymous Coward

        きっと、あなたたちは二重人格の同一人物なのですよ。

        #たぶん既出と思うけど、同じPCを家族で共有している場合も「同一人物」扱いだね♪

    • by Anonymous Coward

      私はOpera(Version10.10)を使用していますが、
      約22,243件に1件という結果でした。

      やっぱマイナーな部類なんだなぁ。
      (Caminoにはかないませんが)

    • by Anonymous Coward
      Firefox日本語最新版で27077.16…

      Windows NT 6.0のせいか…

  • 関連ストーリー (スコア:1, 参考になる)

    by Anonymous Coward on 2010年05月20日 12時34分 (#1766744)
  • pluginとfontそれぞれの組み合わせがユニークだと指摘された。
    マイナー嗜好の人は気を付けろという天啓ですね。
    しかし、あれでわかっちゃうのか。マジで。
    IE8ほかでも後でやってみようかな。
    • Your browser fingerprint appears to be unique among the 1,001,108 tested so far. と言われた OS/2 使いが
      やってきましたよ。まOS/2で足跡を残すのは好きでやっていることですから別に構いませんが。

      そういえば大昔とある掲示板で名前を騙らる荒らしに遭遇した時、管理人から「こいつは夜間にWindows98 の IE5 で
      アクセスしているから別人だと思って連絡差し上げた」とメールが来たことがあったな。実際は IP アドレスから
      発信地や利用プロバイダも割り出されていたんだけど、ブラウザ情報でもある程度絞り込めるのは都合がいい場合も
      あると思う。

      Build identifier: Mozilla/5.0 (OS/2; U; Warp 4.5; ja; rv:1.9.1.10) Gecko/20100505 Firefox/3.5.10

      --
      モデレータは基本役立たずなの気にしてないよ
      親コメント
    • by Anonymous Coward
      てかさ、Firefoxでアドオンをインストールしてるとインストール先のフォルダまで出てくるんだ C:\Users\ユーザ名\AppData\Roaming\Mozilla\Firefox\Profiles配下にインストールされるアドオンは、ユーザ名まで分かっちゃうなんて、初めて知った・・・
  • 疑問です。
    だって、プラグインひとつ入れただけで「別の人」と思われるんですから。
    容易に変えられないから個別認証として通用するわけであって、
    たとえば何か一つ悪いことするたびにプラグイン一つ入れれば良いってんじゃどうよと。

    • この技術は個別認証ではないですよ。個人識別の技術です。
      何が違うかというと、別に全員を確実に追いかける必要はないと言う点です。
      # プラグインが1つ変わったとか追加されたとかでは追跡出来そうってのは置いて置いて。

      企業としては、1万人のうち8000人の動向が追いかけられたら十分ですし、この技術(指紋)が無名のままであればこっそり識別できるので都合が良いわけです。
      # だからプライバシー擁護団体が調査結果を公表した上で、「TorButtonみたいな匿名化ツールを使って匿名になろう」という紹介をするのであって。

      相手の同意を得ずに得られる情報を使って、訪問者の5割以上が追跡可能だったら、企業としてはウハウハじゃないのかなあ。

      企業で使用されている端末は全く同じ設定である場合が多いため、識別しにくい特徴があるという。しかしその場合でも、CPUクロックの温度や湿度による微妙なずれを測定するなどの手法で識別できると主張する商用製品もあるとしている

      とか、この辺がホントかどうかは別として興味深いアプローチな気はしますな。

      親コメント
    • by Anonymous Coward

      何を目的とするかによって、価値が違います。
      例えば、これを利用してクロスサイトなセッション管理を行う等を目的とするならば、コロコロ変わったところで実用性に何の問題もありません。

    • by Anonymous Coward

      容易に変えられないから個別認証として通用するわけであって、たとえば何か一つ悪いことするたびにプラグイン一つ入れれば良いってんじゃどうよと。

      8割方できるとしか言っていないのに、そういう反論ってどうよ。

  • by 7743 (11762) on 2010年05月20日 17時40分 (#1766986)
    flash使うとカーネルバージョンも取得できるみたい。
    カスタムビルドとかで特殊なバージョンになってると一発で識別される。
  • by sunnydaysundey (32697) on 2010年05月20日 20時13分 (#1767095)
    実行するとFirefoxが必ずクラッシュするので試せない。

    何が悪いんだかなあ。
  • by Anonymous Coward on 2010年05月20日 12時43分 (#1766749)
    フォントが好きでいろいろ入れてる人は、それだけで識別できそうな…。
    私です。
    • Re:フォント (スコア:2, 興味深い)

      by s02222 (20350) on 2010年05月20日 13時07分 (#1766766)
      そこを逆手に取ったとりあえずの対策はありかも。インストールされてるフォントセットが逐一変わり続ければ追跡できなくなるはず。著名なフォント名リストを作って、ブラウズ毎にその中からランダムにいくつかのフォントを選び、あたかもそれらがインストールされているかのように振る舞うブラウザを作る。

      ただし、Javascriptをつかって「○○フォントがあるならそれを使って表示」のような動作を行うページを、「○○フォントがあるとして振る舞う」状態の時にレンダリングしようとすると表示が乱れるという問題はあるけど、多分、そんな状況は滅多に起こらないはず。
      親コメント
      • by Anonymous Coward
        全文検索的な追跡を免れるならUserAgentの細かいリビジョンなどをコロコロ入れ替えても良さそう
  • http://twitter.com/Hideo_Ogura/status/14281444998 [twitter.com]
    >氏名と住所が分からないと訴状を送達できないからねえ。訴状を送達してからでないと
    >個人情報を得られないということになると、被害者はずっと訴状の送達すらできないと
    >いうことになります。無法地帯のできあがり。RT @DocSeri: 実際に訴状を送達しなく
    >ても個人情報は得られてしまうとい

    技術よりの人間には、ネット≒電話 説で割りと納得できるんだけど。そう考えない
    人もいるんですよねぇ…こっちの方が主流なのか?

  • by Anonymous Coward on 2010年05月20日 13時03分 (#1766760)

    >>タレコミ子が試したところ、「調査を行った約 96 万の中では唯一のもの」という結果が得られた。
    hylomは「96万パターンの調査を行った」ってこと?
    それとも「96万のアクセスログをもとに解析した結果」ってこと?
    それとも「http://panopticlick.eff.org/ [eff.org]にアクセスした結果、hylomのブラウザ情報は96万パターン中唯一のものだった」ということ?
    多分3番目なのだろうが、なんか分かりにくいですね・・・・

    • by grobda (4894) on 2010年05月20日 13時15分 (#1766773)

      それとも「http://panopticlick.eff.org/にアクセスした結果、hylomのブラウザ情報は96万パターン中唯一のものだった」ということ?

      ということなのでしょうが…。
      チェック項目にタイムゾーンが入っていて、既にサンプル抽出済みの96万のブラウザ情報は、大半が(EFFの本拠である)アメリカ(欧米?少なくとも英語圏)のデータだということを考えると、現状でGMT+9の設定がある時点で、かなり絞られてしまう気が。

      日本国内で本気でデータ取って、どこまで特定できるかは、未知数でしょう。
      少なくとも、現在のhttp://panopticlick.eff.org/にアクセスして「特定された!こえー!」と騒ぐのは、おおげさかと。

      親コメント
      • by Anonymous Coward

        試してみたら、IE6、FireFox3.6、Chrome 4.1、いずれも
        Your browser fingerprint appears to be unique among the 996,635 tested so far.
        と返ってきました。

        こんなに簡単にuniqueって言われたら、やる気が出ないですよ。

        • by Anonymous Coward

          8割は unique になるよ、って言ってんのに何期待してんだろうこの人

      • by Anonymous Coward

        現時点で Time Zone -540は165.9件に1件という結果でした。
        タイムゾーンを限定すると、約6000件の中でユニークといったところですね。

        昨日試した時にはたしか200分の1ぐらいだったような気がするので
        報道を受けて日本からもサンプルが集まっているのでしょうか。

    • その前の段落の、

      >この Web サイトでは・・・ユーザーの Web ブラウザ環境がどのくらいユニークかを表示してくれる。

      から続けて読むと、自然に3の解釈になると思う。
      親コメント
  • by Anonymous Coward on 2010年05月20日 13時05分 (#1766763)

    指紋は「同じものがまず無い」と言う外に
    「基本的に変化しない」と言う特徴があるから便利なんであって

    これって昨日と今日では大抵別個体と認識されそうな気がするんだが
    結局偶々前回と全く同様の状態でサンプリング出来たときに
    8割程度の確率で同一個体と判断できるだけという
    なんとも微妙な技術じゃね?

    • by firewheel (31280) on 2010年05月20日 13時28分 (#1766782)

      たとえばamazonみたいな通販サイトでログインしてないユーザーの購買動向を把握したり、
      非ログインユーザーも投票可能なアンケートで、同じユーザーが何度も繰り返し投票する
      ようなのを防ぐのには、ある程度の効果は望めるんじゃないでしょうか。特にエロ動画とか
      だと、ログインして自分の足跡を残したがらないユーザーは多いと思うし。

      しかし微妙な技術というのは同意。将来的にはこの「指紋もどき」を偽装するブラウザ拡張
      とかも出てきそうだし、本質的にあんまり長生きできそうにない技術だ。

      親コメント
    • by Anonymous Coward

      複数台をマルチブートも交えながらとっかえひっかえやってる私の場合、各環境がそれぞれユニークにされそうな予感。
      とはいえ、大多数のユーザーはそんな頻繁に環境を変化させるどころか、いまだに Win98 や me 使ってる人たちまでいるわけで、
      用途によっては十分に見分けられてしまうんじゃないですか?

  • by Anonymous Coward on 2010年05月21日 1時25分 (#1767243)
    余裕です。
  • by Anonymous Coward on 2010年05月22日 23時48分 (#1768127)

    VistaでFirefox3.6.3使ってたらUAの確率が1/1023412なんだそうで。
    この組み合わせってそんなにユニークなの?

typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...