ウェブサイトが好んで行うことの一つは、ユーザーを追跡することです。現在、一部のブラウザは、プライベートモードやシークレットモードでも追跡できるようです。英国に拠点を置くRadicalResearchのSam Greenhalgh氏は最近、「HSTS Super Cookies」と呼ばれる概念実証に関するブログ記事を公開しました。Greenhalgh氏は、プライバシークローキング設定を有効にしている場合でも、巧妙なウェブサイトがユーザーをオンラインで追跡できる仕組みを説明しています。
この脆弱性の鍵となるのは、HTTP Strict Transport Security(HSTS)を本来の目的とは異なる用途に使用することです。HSTSは、ウェブサイトがブラウザに対し、暗号化された接続でのみサイトに接続するように指示できる最新のウェブ機能です。
例えば、ジョンがHSTSを有効にしたブラウザにSecureSite.comと入力したとします。SecureSiteのサーバーは、ジョンのブラウザに対し、SecureSiteへの接続にはHTTPSのみを使用するよう応答します。この時点から、ジョンのブラウザからSecureSiteへの接続はすべてデフォルトでHTTPSを使用するようになります。
グリーンハル氏によると、HSTSが機能するには、ブラウザがHTTPS経由で接続すべきサイトに関するデータを保存する必要があるという点が問題です。しかし、そのデータは操作され、特定のブラウザのフィンガープリントとして利用される可能性があります。また、HSTSはセキュリティ機能であるため、ほとんどのブラウザはプライベートモードか通常モードかに関わらず、この機能を維持します。つまり、ブラウザのフィンガープリントが一度取得されると、ブラウザがシークレットモードであっても追跡される可能性があるのです。
シークレット モードになっている場合でも、HSTS スーパー クッキーによりブラウザーの追跡が可能になります。
プライベート ブラウジングまたはシークレット モード (「ポルノ モード」と呼ばれることもあります) の場合、スーパー Cookie によって誘導されない限り、プライベート ブラウジング セッションが終了すると、ブラウザーは Cookie や閲覧履歴などのデータを保存しません。
背景: Greenhalgh氏のブログ記事は注目を集めていますが、HSTSのプライバシーとセキュリティのトレードオフについては、以前から議論されてきました。Chromeのベースとなっているオープンソースブラウザを開発するChromiumチームは、2011年という早い段階でこの問題について議論していました。2012年には、セキュリティ企業Leviathanが同様の懸念を表明するブログ記事を公開し、Robert “RSnake” Hansen氏も2010年に自身のブログha.ckers.orgでこの問題を提起しました。
自分を守る
この問題は以前から知られていましたが、実際にこの脆弱性を利用してユーザーを追跡しているサイトがあるかどうかは不明です。いずれにせよ、Chromeではシークレットモードに切り替える前にCookieを消去することで保護できます。ChromeはCookieを削除すると、HSTSデータベースを自動的に消去します。Firefoxも同様の対策を講じていますが、Greenhalgh氏によると、最新バージョンのFirefoxではHSTS設定がプライベートブラウジングモードに引き継がれないようにすることでこの問題を解決したとのことです。
しかし、Safariはより大きな問題を抱えています。iPadやiPhoneなどのAppleデバイスでは、HSTSデータベースを削除する明確な方法が存在しないようです、とグリーンハル氏は言います。HSTSフラグはiCloudとも同期されるため、Appleハードウェアを使用している場合、HSTSスーパーCookieの追跡は(少なくとも理論上は)さらに永続的になります。
HSTSスーパーCookieは、非プライベートモードで初めてサイトにアクセスした場合にのみ機能するようです。プライベートモードで初めてサイトにアクセスしたユーザーは、HSTSスーパーCookieを通常のブラウジングに引き継ぐことはありません。
Internet Explorerユーザーにとって朗報は、この種の追跡から完全に保護されていることです。さて、残念なお知らせです。IEはHSTSを全くサポートしていないのです。
[Ars Technica経由]
