プライバシーモードでのブラウジングは思ってるほどセキュアではない

2015年1月17日 7時0分

Super Cookieを糾弾しよう

ブラウザの匿名ブラウジングモードは思ってるほどセキュアでないかも知れない。ある研究者によって、ブラウザ最大のセキュリティ機能を最悪のプライバシーハザードに変えうる、Super Cookieという概念が実証されたのだ。

Cookieはブラウザとサーバー間でやりとりされるメッセージで、Webサイトをリクエストした際にやりとりされる。次回ユーザーがそのWebサイトに戻ってきた時、Webサイトはユーザー側に前回の情報を保存されてるCookieから読み取る。匿名ブラウジングモードでない場合、CookieによってWebサイトはユーザーの足跡を記録し、追跡することができる。匿名ブラウジングモードとは、言ってしまえばCookieのやりとりをしないという事だ。

テクノロジー・ソフトウェアのコンサルタント、サム・グリーンハルは匿名ブラウジングモードにおいてもユーザーの追跡が可能な「HSTS Super Cookie」の概念を実証した。これが可能であることを示すために、彼のサイトで、それぞれの訪問者に追跡IDをセットした。このサイトをブラウザやその設定等を変えるなりして、気が済むまで訪問してみるといいだろう。追跡IDが変わらなければ、あなたの環境はSuper Cookieに対して脆弱性があるということだ。

HSTSはHTTP Strict Transport Securityの略で、ユーザーがWebサイトが安全なHTTPS接続を通してのみ行われることを保証するプロトコルだ。詳細については、Ars Technicaの説明を読むと良い。

グリーンハルは、あるブラウザの特定のバージョンのものだけが、HSTS Super Cookiesの脆弱性を抱えていないという。Firefoxの最新版、34.0.5だ。IEは別の理由でこの脆弱性とは無縁だ。HSTSをそもそもサポートしていないからだ。

トップ画像提供：Jeramey Jannene

Lauren Orsini
[原文]