fingerprinting vector

fingerprinting vector

仕様書

一覧

[17] 利用者の行動や好みに関するもの:

[27] 利用者装置に関するもの:

[14] 利用者のネットワーク環境に関するもの:

[16] 利用者クライアントに関するもの:

ブラウザーを越えた fingerprinting

[21] 実装方法次第では通常モードと private browsing モードを紐付けできるかもしれません。 そうでなくてもIPアドレスである程度関係を推定できるかもしれません。

private browsing も参照。

[22] デスクトップスマートフォンなどの同一ブラウザーのプロファイル同期機能により Webブラウザーの保存する情報が同期されると、 IPアドレス利用者エージェントの特徴が異なっていても、 それ以外の情報から両者を紐付けできるかもしれません。

[23] 埋め込みブラウザーの実装方法次第で、 通常のブラウザーと埋め込みブラウザーを紐付けできるかもしれません。

[24] セッションIDのようなものを含む URL利用者に与えることで、 同一利用者の各ブラウザー埋め込みブラウザーMUA などを紐付けできるかもしれません。

メモ

[1] Fingerprinting – WebKit ( ( 版)) <http://trac.webkit.org/wiki/Fingerprinting>

[3] RFC 7231 - Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content ( 版) <https://tools.ietf.org/html/rfc7231#section-9.7>

[4] Web Applications 1.0 r8738 Be more explicit about the fingerprinting risk for <input type=submit> ( ( 版)) <http://html5.org/r/8738>

[5] WebDriver ( ( 版)) <https://dvcs.w3.org/hg/webdriver/raw-file/default/webdriver-spec.html#h3_fingerprinting>

[6] RadicalResearch HSTS Super Cookies ( ( 版)) <http://www.radicalresearch.co.uk/lab/hstssupercookies/>

[8] CSP-PINNING: Explain fingerprinting risk. · a3781f3 · w3c/webappsec ( 版) <https://github.com/w3c/webappsec/commit/a3781f31a1a50d1368b9833df75d6da8ebc5b2c3>

[10] Fingerprinting Guidance for Web Specification Authors ( 版) <http://w3c.github.io/fingerprinting-guidance/>

[11] Part2 - browsersec - Browser Security Handbook, part 2 - Browser Security Handbook - Google Project Hosting ( 版) <https://code.google.com/p/browsersec/wiki/Part2#Privacy-related_side_channels>

[18] HTTP/2のRFCを読んだ感想 - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】 ( 版) <http://www.scutum.jp/information/waf_tech_blog/2015/05/waf-blog-044.html>

具体的には、PINGやPUSH_PROMISEなどによってWAF側から積極的にクライアントに対して働きかけ、反応を見ることで実装のフィンガープリンティングがやりやすくなりそうです。例えば、RubyやPythonで作成された攻撃ツールがFirefoxやChromeのフリをしているのを見破ったりすることが容易になるでしょう。

[19] Security FAQ - The Chromium Projects ( 版) <http://www.chromium.org/Home/chromium-security/security-faq#TOC-Why-isn-t-passive-browser-fingerprinting-including-passive-cookies-in-Chrome-s-threat-model->

[20] Fingerprinting Guidance for Web Specification Authors (Draft) ( ( 版)) <http://www.w3.org/TR/2015/NOTE-fingerprinting-guidance-20151124/>

[25] Re: [whatwg] Proposal: navigator.cores (Adam Barth 著, 版) <https://lists.w3.org/Archives/Public/public-whatwg-archive/2014May/0011.html>

[26] リワード広告におけるCookieも端末IDも使わないFingerPrintを使った計測方法について:That's the Way to GO!:オルタナティブ・ブログ () <http://blogs.itmedia.co.jp/jinmsk/2013/10/cookieidfingerp-da3d.html>

[28] Mitigating Browser Fingerprinting in Web Specifications () <https://w3c.github.io/fingerprinting-guidance/>

[29] The Design and Implementation of the Tor Browser [DRAFT] () <https://www.torproject.org/projects/torbrowser/design/>

[30] Fingerprinting Guidance for Web Specification Authors (Draft) () <https://www.w3.org/TR/2015/NOTE-fingerprinting-guidance-20151124/>

[31] Remove registerContentHandler() and several friends (annevk著, ) <https://github.com/whatwg/html/commit/b143dbc2d16f3473fcadee377d838070718549d3>

[32] should BroadcastChannel be disabled if a window does not have access to storage? · Issue #3054 · whatwg/html () <https://github.com/whatwg/html/issues/3054>