EFFのブラウザー拡張機能「Privacy Badger」を特徴付ける機能、デフォルトで無効に 14
ストーリー by headless
無効 部門より
無効 部門より
Electronic Frontier Foundation(EFF)は7日、Webサイトによるユーザー追跡を検出・遮断するブラウザー拡張機能「Privacy Badger」で、主要機能である新しいトラッカーを学習する機能のデフォルト無効化を発表した(Deeplinks Blogの記事、 The Registerの記事)。
EFFは2月、トラッカー学習機能に関連するセキュリティー上の問題が複数存在するとGoogle Security Teamから報告を受けていたという。その一つは深刻な問題であったため、すぐに該当機能を削除している。もう一つは今回デフォルト無効化の選択理由となった問題で、「アクセスしたWebサイトの挙動に応じてブロックするものを選択する」という動作がフィンガープリンティングに使われる可能性や、アクセスしたページに関する情報を(ファーストパーティーストレージから)抽出される可能性が指摘されていたそうだ。
Googleが報告した内容は純粋にPoCであり、実際にこの機能が悪用されている証拠をEFFでは確認していないという。トラッカー学習機能は「長大なトラッカーリストを維持しなくても新しいトラッカーをブロックできる」というPrivacy Badgerを特徴付ける機能だが、念のためデフォルトでの無効化を決めたとのこと。新しいトラッカーを学習しなくなる代わり、これまでインストール時から変更されることのなかった既知のトラッカーリストは将来のPrivacy Badgerアップデートで更新されるようになる。
なお、学習機能自体は残されており、Privacy Badgerの設定画面で「General Settings→Advanced→Learn to block new trackers from your browsing」にチェックを入れれば有効化できる。
EFFは2月、トラッカー学習機能に関連するセキュリティー上の問題が複数存在するとGoogle Security Teamから報告を受けていたという。その一つは深刻な問題であったため、すぐに該当機能を削除している。もう一つは今回デフォルト無効化の選択理由となった問題で、「アクセスしたWebサイトの挙動に応じてブロックするものを選択する」という動作がフィンガープリンティングに使われる可能性や、アクセスしたページに関する情報を(ファーストパーティーストレージから)抽出される可能性が指摘されていたそうだ。
Googleが報告した内容は純粋にPoCであり、実際にこの機能が悪用されている証拠をEFFでは確認していないという。トラッカー学習機能は「長大なトラッカーリストを維持しなくても新しいトラッカーをブロックできる」というPrivacy Badgerを特徴付ける機能だが、念のためデフォルトでの無効化を決めたとのこと。新しいトラッカーを学習しなくなる代わり、これまでインストール時から変更されることのなかった既知のトラッカーリストは将来のPrivacy Badgerアップデートで更新されるようになる。
なお、学習機能自体は残されており、Privacy Badgerの設定画面で「General Settings→Advanced→Learn to block new trackers from your browsing」にチェックを入れれば有効化できる。
そらそうよ (スコア:2, 興味深い)
振る舞いに個体差があったらそれが個体識別に使われるに決まってる。
できるだけ森の中に隠れるような挙動をしないと。
Safariも同様 (スコア:1)
一時期はサードパーティーCookieをブロックするかどうかを機械学習で判定していたけど、それ自体がfingerprintingに使えるということでサードパーティーCookieは一律ブロックになった
学習モード (スコア:0)
学習だけして直ちには挙動に反映させず、学習結果の反映は手動で実施するモードがあると嬉しいかも。
「トラッカーを疑われる新しいサイトが見つかりました」とか通知してくれるとなおよし。
Re: (スコア:0)
手動でやらせたら人によって結果が変わるから、より確実にフィンガープリントに使えるんじゃないかな。
どの程度識別できるものなんだ? (スコア:0)
目的にもよる(主に広告?)だろうが、ブロックの振る舞いの差によってどの程度個体識別されるものなんだ?または、どの程度識別されたらリスクと捉える?
IPアドレスやCookieなどあからさまな情報を全て変えて、ブロックの振る舞いのfingerprintingだけで、1週間後に同じサイトを訪問したら同じ人間だと識別できる?これも、アクセスするユーザー数によるんだろうか。広告目的でそこまで識別する必要はあるのか。諜報任務とかだったら気にしすぎということはないだろうが。
スラドのACの投稿も誤字脱字、全角半角、句読点や改行の使い方で「あのユーザーと同じ奴だな」ってわかったり。
Re:EFFはこの程度の能力なのに (スコア:3)
HTTPS Everywhare [eff.org]は特にTor Browserで活躍してる。
Re: (スコア:0)
食い物屋に行って旨い不味い言うのと同じ。
批判は誰でもできるが、提供側に回ると殆どのやつが出来ない。
Re: (スコア:0)
映画評論家みたいなもんだからなw
Re: (スコア:0)
そりゃボランティア団体だから質はピンキリでしょ
Re: (スコア:0)
できると思ったけどできませんでしたまでやるなら、上から目線でクレーム付けるだけよりはだいぶ良い。
Re: (スコア:0)
上から目線でクレーム付けれると思ったけどできませんでしただったらな・・・
Re: (スコア:0)
クレーマーってだけで頭が悪いのに、実は難癖付けられるだけまだマシで
不当なクレームをうまく文章にして付けることすらできない層がいる訳か…
この世の地獄だな
Re: (スコア:0)
EFFの理論通りに実装してみる人がいないから、自分とこで試作してるとかだろ。知らんけど。