「HSTS Super Cookies」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「HSTS Super Cookies とは、HTTP Strict-Transport-Security(HSTS)を用いたsupercookieです。ブラウザのプライバシーモードを利用してい...」)
 
(相違点なし)

2015年1月22日 (木) 17:58時点における最新版

HSTS Super Cookies とは、HTTP Strict-Transport-Security(HSTS)を用いたsupercookieです。ブラウザのプライバシーモードを利用していても、ユーザの行動をトラッキングできる可能性があります。

読み方

HSTS Super Cookies
えいち えす てぃー えす くっきーず

概要

複数のサブドメインを利用して、HTST をフラグとして利用します。HSTS の有無によって、各ブラウザにユニークな HSTS のパターン(PIN)を設定します(覚えさせます)。 HSTS Super cookiesを使うと HTTP cookieを使わずに、各ブラウザを識別できます。

HTTP Strict-Transport-Security(HSTS)とは

Strict-Transport-Securityは、HTTPSの接続を強制するためのヘッダです。

HTTPでアクセスしたときに、HTTPSへリダイレクトするサイトがあります。この場合、リダイレクトされるまでの間の通信は、HTTPであるため、中間者攻撃によって攻撃されるリスクがあります。

HSTSをサポートしているブラウザは、HTTPレスポンスにStrict-Transport-Securityヘッダがついている場合は、記録し、次回にそのサイトへアクセスするときは、Strict-Transport-Security に従います。

Strict-Transport-Securityには、有効期限があります。

HSTS Super Cookies

ブラウザのプライバシーモードとは

ウェブブラウザ のプライバシーモードとは、閲覧履歴などのプライバシーを保護するための機能を提供します。

ウェブブラウザは、閲覧履歴や表示したコンテンツのキャッシュデータ、ウェブサイトが発行したcookieを保存しています。

プライバシーモードでは、閲覧終了後に履歴やキャッシュを削除します。

supercookie

supercookieとは、HTTP cookieよりもしつこくユーザをトラッキングするための仕組みです。Adobe Flashのローカル共有オブジェクトと呼ばれるローカルストレージやマイクロソフトのSilverlightのストレージ機能、ウェブブラウザのデータストアなどを利用し、HTTP cookieが削除されても、ゾンビのようにcookieを復活させます。

HSTS Super Cookies とは

複数のサブドメインを利用して、HTST をフラグとして利用します。HSTS の有無によって、各ブラウザにユニークな HSTS のパターン(PIN)を設定します(覚えさせます)。 HSTS Super cookiesを使うと HTTP cookieを使わずに、各ブラウザを識別できます。

HSTS Super Cookiesとブラウザ

Chrome

  • プライバシーモードは、 通常モードのHSTSのPIN を参照できる
  • プライバシーモードのPIN は、通常モードから参照できない

Firefox

Firefox バージョン 34 で改善されました。

IE

HTTP Strict-Transport-Security に対応していません。そのため影響を受けません。

Safari

iCloud 経由でHSTS PINが同期されます。

関連項目