HSTS Super Cookies

HSTS Super Cookies とは、HTTP Strict-Transport-Security(HSTS)を用いたsupercookieです。ブラウザのプライバシーモードを利用していても、ユーザの行動をトラッキングできる可能性があります。

読み方

HSTS Super Cookies: えいちえすてぃーえすくっきーず

概要

複数のサブドメインを利用して、HTST をフラグとして利用します。HSTS の有無によって、各ブラウザにユニークな HSTS のパターン(PIN)を設定します（覚えさせます）。 HSTS Super cookiesを使うと HTTP cookieを使わずに、各ブラウザを識別できます。

HTTP Strict-Transport-Security(HSTS)とは

Strict-Transport-Securityは、HTTPSの接続を強制するためのヘッダです。

HTTPでアクセスしたときに、HTTPSへリダイレクトするサイトがあります。この場合、リダイレクトされるまでの間の通信は、HTTPであるため、中間者攻撃によって攻撃されるリスクがあります。

HSTSをサポートしているブラウザは、HTTPレスポンスにStrict-Transport-Securityヘッダがついている場合は、記録し、次回にそのサイトへアクセスするときは、Strict-Transport-Security に従います。

Strict-Transport-Securityには、有効期限があります。

HSTS Super Cookies

ブラウザのプライバシーモードとは

ウェブブラウザのプライバシーモードとは、閲覧履歴などのプライバシーを保護するための機能を提供します。

ウェブブラウザは、閲覧履歴や表示したコンテンツのキャッシュデータ、ウェブサイトが発行したcookieを保存しています。

プライバシーモードでは、閲覧終了後に履歴やキャッシュを削除します。

supercookie

supercookieとは、HTTP cookieよりもしつこくユーザをトラッキングするための仕組みです。Adobe Flashのローカル共有オブジェクトと呼ばれるローカルストレージやマイクロソフトのSilverlightのストレージ機能、ウェブブラウザのデータストアなどを利用し、HTTP cookieが削除されても、ゾンビのようにcookieを復活させます。