パスワードを忘れた? アカウント作成
14951481 story
EFF

EFFのブラウザー拡張機能「Privacy Badger」を特徴付ける機能、デフォルトで無効に 14

ストーリー by headless
無効 部門より
Electronic Frontier Foundation(EFF)は7日、Webサイトによるユーザー追跡を検出・遮断するブラウザー拡張機能「Privacy Badger」で、主要機能である新しいトラッカーを学習する機能のデフォルト無効化を発表した(Deeplinks Blogの記事The Registerの記事)。

EFFは2月、トラッカー学習機能に関連するセキュリティー上の問題が複数存在するとGoogle Security Teamから報告を受けていたという。その一つは深刻な問題であったため、すぐに該当機能を削除している。もう一つは今回デフォルト無効化の選択理由となった問題で、「アクセスしたWebサイトの挙動に応じてブロックするものを選択する」という動作がフィンガープリンティングに使われる可能性や、アクセスしたページに関する情報を(ファーストパーティーストレージから)抽出される可能性が指摘されていたそうだ。

Googleが報告した内容は純粋にPoCであり、実際にこの機能が悪用されている証拠をEFFでは確認していないという。トラッカー学習機能は「長大なトラッカーリストを維持しなくても新しいトラッカーをブロックできる」というPrivacy Badgerを特徴付ける機能だが、念のためデフォルトでの無効化を決めたとのこと。新しいトラッカーを学習しなくなる代わり、これまでインストール時から変更されることのなかった既知のトラッカーリストは将来のPrivacy Badgerアップデートで更新されるようになる。

なお、学習機能自体は残されており、Privacy Badgerの設定画面で「General Settings→Advanced→Learn to block new trackers from your browsing」にチェックを入れれば有効化できる。
  • そらそうよ (スコア:2, 興味深い)

    by Anonymous Coward on 2020年10月10日 21時19分 (#3904478)

    振る舞いに個体差があったらそれが個体識別に使われるに決まってる。
    できるだけ森の中に隠れるような挙動をしないと。

    ここに返信
  • by Anonymous Coward on 2020年10月10日 19時54分 (#3904438)

    一時期はサードパーティーCookieをブロックするかどうかを機械学習で判定していたけど、それ自体がfingerprintingに使えるということでサードパーティーCookieは一律ブロックになった

    ここに返信
  • by Anonymous Coward on 2020年10月10日 19時31分 (#3904425)

    学習だけして直ちには挙動に反映させず、学習結果の反映は手動で実施するモードがあると嬉しいかも。
    「トラッカーを疑われる新しいサイトが見つかりました」とか通知してくれるとなおよし。

    ここに返信
    • by Anonymous Coward

      手動でやらせたら人によって結果が変わるから、より確実にフィンガープリントに使えるんじゃないかな。

  • by Anonymous Coward on 2020年10月12日 18時45分 (#3905247)

    目的にもよる(主に広告?)だろうが、ブロックの振る舞いの差によってどの程度個体識別されるものなんだ?または、どの程度識別されたらリスクと捉える?
    IPアドレスやCookieなどあからさまな情報を全て変えて、ブロックの振る舞いのfingerprintingだけで、1週間後に同じサイトを訪問したら同じ人間だと識別できる?これも、アクセスするユーザー数によるんだろうか。広告目的でそこまで識別する必要はあるのか。諜報任務とかだったら気にしすぎということはないだろうが。
    スラドのACの投稿も誤字脱字、全角半角、句読点や改行の使い方で「あのユーザーと同じ奴だな」ってわかったり。

    ここに返信
typodupeerror

人生unstable -- あるハッカー

読み込み中...