
private browsing (Web)

[2] いくつかの Webブラウザーには、 private browsing 等の呼称で履歴を残さない等のプライバシーに配慮された動作モードが用意されています。


[37] 通常モードと private browsing の挙動の違う機能


[3] Firefox


[18] 利用者からすると通常モードも private モードも同じ Webブラウザーアプリケーションの異なる動作モードですが、 技術的には2つの異なる利用者エージェントと考えるのが適当そうです。

[19] クッキーの扱いでは、同じドメインでも異なるセッションとみなされます。

[20] 同じ起源閲覧文脈でも、異なる関連する類似起源閲覧文脈の単位に属します。

[21] 両モードで同じ HTTP接続を共有するのは、実装上リスクがあるかもしれません。 HTTP/2 では同一ホストには同じ接続を使うことが原則となっていますが、 通常モードと秘密モードでは別の接続を使うべきかもしれません。


[4] いくつかの Webブラウザーには、複数のプロファイルを利用できるものがあります。 これは private browsing 同様に履歴等を通常モードと区別するものですが、 区別しつつ保存してセッションを再開できるのが違います。

[5] Chromeprivate browsing は1つしか使えませんが、 プロファイルの切り替えの機能では複数同時に使い分けられます。


[6] Webブラウザーには履歴等の機能として次のようなものがあります。

[7] private browsing モードでの動作は、実装により異なります。

[15] private モードの履歴等は通常のモードには引き継がれないのが普通です (それが private モードの趣旨でもあります)。

[14] 通常のモードでの履歴等が private モードに引き継がれるかどうかは場合によります。 例えば通常モードのクッキーは private モードに引き継がれませんが、 通常モードの補完候補が private モードでも補完候補として使われるかもしれません。

[16] 補完候補は利用者に示されるだけで著者からはわかりません。
[17] HTTPキャッシュを両者で共有すると、 ETag によって通常モードと private モードを著者が紐付けできてしまうかもしれません (スーパークッキー脆弱性)。 キャッシュするページの内容やキャッシュ取得と通常の取得との時間差による推測も可能かもしれません。

[27] 各種履歴類が private browsing モードでまったく保存されないのか、 通常モードとは別管理で (セッション終了まで) 一時保存されるのかは、 実装方針次第です。しかし著者に観測できてしまうのは好ましくなさそうで、 場合によってはWeb互換でないかもしれません。

[28] 例えば Web Storage が完全に無効になるのは不適切かもしれません。 セッション終了まで (もしかしたら通常モードより短時間でも良いかもしれませんが) 一時的にはデータが保持されるべきかもしれません。

[29] :visited著者から観測できないので、 URL を表示したかどうかの履歴をまったく保存しなくても良いかもしれません。


[8] 匿名化のためには次のような機能が必要かもしれません。

[9] fingerprinting も参照。

[12] a plausible language の決定に当たっては、匿名化時の値として en-US が提案されています >>13


[34] プラットフォームの提供する機能までには秘匿化・履歴削除の効果が及ばないかもしれません。 例えば、次のような機能に注意が必要です。


HTML5 storage on those iOS devices have a shared state. Everything stored in HTML5 storage in Incognito Mode can be accessed in normal mode.

[49] なんで?

