サイト訪問者がcookieを切っていても追跡可能な手法が明らかに

by Andy Arthur ウェブサイトによる行動追跡を防ぐためにcookieを削除していても、そのユーザーが以前に訪れたサイトのドメインや履歴を知ることができる手法があると、研究者が発表しました。 Unpatched browser weaknesses can be exploited to track millions of Web users | Ars Technica http://arstechnica.com/security/2015/10/unpatched-browser-weaknesses-can-be-exploited-to-track-millions-of-web-users/ これは独立系研究者のYan Zhuさんが「ToorCon: San Diego 2015」の中で語ったもの。講演時の資料のPDFファイルが以下のツイートからダウンロード可能です。

[yuhi_as]

新しいセキュリティ方式を提案するたびに既知の攻撃手法を総当たりでぶつけるくらいしないと、毎回出てきちゃうんだろうね

[TsuSUZUKI]

cf. http://zyan.scripts.mit.edu/sniffly/ , https://developer.mozilla.org/ja/docs/Security/HTTP_Strict_Transport_Security , https://developer.mozilla.org/ja/docs/Web/Security/Public_Key_Pinning

[uzulla]

ためしてみたけど、あんまり精度があるとは感じないな…

[vvakame]

“こうした方法に防衛策を講じることは無駄だと考える人も出ています。私は、全てではないもののその意見は一部において正しいと考えます”

[yamitzky]

いわゆるsupercookieの話

[quabbin]

HSTSはわりかし古い話だと思うけど、HPKPは初めて知った

[teo_imperial]

「過去にアクセスしたことがあれば、エラーはミリセカンド単位という短時間で表示され」こんなものまで利用するのか！

[daybeforeyesterday]

うーむ