パスワードを忘れた? アカウント作成
9838162 story
プライバシ

ETagを利用してアクセスしてきたブラウザを識別する手法 33

ストーリー by hylom
ブラウザのトラッキングを完璧に防ぐ方法はないのではないか 部門より
あるAnonymous Coward 曰く、

GIGAZINEにて、IPアドレス・クッキー・JavaScript・UAなどを使わずユーザーを個別に追跡する方法という記事が掲載されている。興味深いタイトルだが、内容としてはETag情報を使って特定のURLにアクセスしてきたブラウザを識別するというものだ。元ネタのLucb1e.comの記事によると、この技術はすでに多くのサイトで使われているが、そのことがあまり知られていないという。

ご存じの方も多いと思うが、ETagというのはWebサーバーとWebブラウザがキャッシュの存在を確認し合うための仕組みだ。ETagはHTTPのETagヘッダを使ってやり取りされ、ページの内容が更新されるとETagの文字列も変わる、という仕組みになっている。Webブラウザはコンテンツをサーバーにリクエストする際、先に受け取っていたETagの情報をサーバーに送信する。Webサーバーはこの情報を確認し、サーバー側で生成したETag情報と異なっていればコンテンツが更新されているものとしてコンテンツを送信する。逆にETag情報が一致していればコンテンツは変更されていないため、「304 Not Modified」というレスポンスを返す仕組みだ。

このETagの情報をアクセスしてきたWebブラウザごとに変えることで、WebサーバーはWebブラウザを識別できるという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • そんなバカな…と思ったけどDMMにどういう運用してんだあほうって問い合わせたときに
    (CS介したやり取りとはいえ)当人がよく分かってないのがヒシヒシ伝わってきたので
    知らない人は知らないんだろうか。

    // なんか知らんけど、性^H静的な画像ファイルのETagが毎回変わってたんだよね
    // 重いのはこれが原因じゃないのーってやんわり伝えたんだけど…(:>^

    • by Anonymous Coward on 2013年08月21日 11時20分 (#2445093)

      たしかに挙動おかしいです
      オススメ動画が、いつまで経っても俺好みにならない

      親コメント
    • by Anonymous Coward on 2013年08月21日 11時04分 (#2445081)

      やんわり伝えたレベルが「どういう運用してんだあほう」なら、
      そりゃオペレータは素人の平謝りモードでやんわり逃げるでしょうね。

      親コメント
    • Webサーバが負荷分散構成なのにinode番号使ってETagを生成している、という別の可能性はどうでしょうか。

      親コメント
    • 自己レスだけど、導入しようとしたうえで失敗して負荷が高まってるのかしらってことで突込みを入れたというか
      それでETag見てると挙動がおかしいよって伝えたら 「? なにそれおいしいの」 が帰ってきた、という流れで。

      分かってないわけじゃないんだろうけど。
      てか問合せの方法がおかしかったかなぁ。最近僕も日本語怪しくなってきたしなぁ。年は取りたくないにゃー

    • by Anonymous Coward

      性的な画像って、静的な画像ファイルに見えるけど毎回年齢チェック(あなたは18歳以上ですか?)をしたかどうか通してんじゃね

      • ETagとは関係ないけどな、それw

        そういえばコンテンツによっては直リンク禁止の設定にしてますなー。
        refererしか見てないザル方式だけど。ほとんどは取り出そうと思えば取り出し放題のノーガード戦法ばっかりよ。
        AllAbout見て設定しました!みたいな低レベル技術者しかいないんだろうねー

        // って書くと垢BAN対象になるんだろうかw
        // アカウントと紐づけられればBANされるかもしれんにゃー(:>^

        親コメント
      • by Anonymous Coward

        サーバにはモロ画像で保存されてて送信時にモザイクをかける動的性的ファイルだったりしたら…

        たくさん集めて解析したらモザイクの向こうが見えるかも!

        #そんなわけない

  • by tty01 (46299) on 2013年08月21日 11時32分 (#2445101)
    3年ぐらい前からあるページにいろんな手法が紹介されている。 http://samy.pl/evercookie/ [samy.pl] Etagについても書かれている。 キャッシュを使う技として画像ファイルへの埋め込みの例もある。
  • by Anonymous Coward on 2013年08月21日 6時46分 (#2444976)

    そんだけ

  • 直接元ネタの Lucb1e.com に飛ばせばいいのに。編集が無能か、お金でももらっているのか

    • それ以前にこのネタって古すぎだろ、2年ぐらい前にEtagのプライバシー侵害で集団訴訟とかやってたじゃん

      親コメント
      • by Anonymous Coward

        その訴訟の結果は出たのかな?
        ご存知でしたら教えていただければ。

    • by Anonymous Coward

      英語サイトなんかわざわざ読みたくない。

      • by Anonymous Coward

        誤:英語サイトなんかわざわざ読みたくない。
        正:英語サイトだとそもそも読めない。

        • by Anonymous Coward

          ×:英語サイトなんかわざわざ読みたくない。
          ○:英語サイトだとそもそも読めない。
          ◎:俺のために誰か翻訳してまとめろ。

          • by Anonymous Coward

            ×:英語サイトなんかわざわざ読みたくない。
            △:英語サイトだとそもそも読めない。
            ○:俺のために誰か翻訳してまとめろ。
            ◎:どや顔でまとめを話した俺をすごーいって言ってくれる女の子連れてこい。

  • by Anonymous Coward on 2013年08月21日 11時18分 (#2445090)

    Firefoxでは、終了時にキャッシュをクリアするよう設定できる。
    キャッシュがクリアされるたびに、業者サーバは「お、新しいお客さんかい?新しいETagやLast-Modifiedを仕込んでやれw」ってなる。
    クッキーでの追跡が続いていない限り、これで追跡を振り切れるでしょう。
    ・・IPアドレスやブラウザのUA文字列なんかで追跡が続くかも知れないけど。

    でも、いろいろな追跡方法が考えられてるわりには、
    自分の嗜好に合う広告がぜんぜん出てこないんだけど・・
    あまり積極的に追跡を振り切ったりはしてないつもりなんだけどなあ・・

    • 広告を表示させておくってことは他のサイトへ客が流れてしまう可能性があるって考えないもんかね

      • by Anonymous Coward

        広告なんて誘導してナンボじゃないの?

    • by Anonymous Coward

      Firefoxでは、終了時にキャッシュをクリアするよう設定できる。

      ブラウザを半月も終了させない問題が発生

      #家庭内サーバー兼自分用デスクトップでの話

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...