HSTS Super Cookies

提供: セキュリティ
2015年1月22日 (木) 17:58時点におけるDaemon (トーク | 投稿記録)による版 (ページの作成:「HSTS Super Cookies とは、HTTP Strict-Transport-Security(HSTS)を用いたsupercookieです。ブラウザのプライバシーモードを利用してい...」)

(差分) ←前の版 | 最新版 (差分) | 次の版→ (差分)
移動: 案内検索
スポンサーリンク

HSTS Super Cookies とは、HTTP Strict-Transport-Security(HSTS)を用いたsupercookieです。ブラウザのプライバシーモードを利用していても、ユーザの行動をトラッキングできる可能性があります。

読み方

HSTS Super Cookies
えいち えす てぃー えす くっきーず

概要

複数のサブドメインを利用して、HTST をフラグとして利用します。HSTS の有無によって、各ブラウザにユニークな HSTS のパターン(PIN)を設定します(覚えさせます)。 HSTS Super cookiesを使うと HTTP cookieを使わずに、各ブラウザを識別できます。

HTTP Strict-Transport-Security(HSTS)とは

Strict-Transport-Securityは、HTTPSの接続を強制するためのヘッダです。

HTTPでアクセスしたときに、HTTPSへリダイレクトするサイトがあります。この場合、リダイレクトされるまでの間の通信は、HTTPであるため、中間者攻撃によって攻撃されるリスクがあります。

HSTSをサポートしているブラウザは、HTTPレスポンスにStrict-Transport-Securityヘッダがついている場合は、記録し、次回にそのサイトへアクセスするときは、Strict-Transport-Security に従います。

Strict-Transport-Securityには、有効期限があります。

HSTS Super Cookies

ブラウザのプライバシーモードとは

ウェブブラウザ のプライバシーモードとは、閲覧履歴などのプライバシーを保護するための機能を提供します。

ウェブブラウザは、閲覧履歴や表示したコンテンツのキャッシュデータ、ウェブサイトが発行したcookieを保存しています。

プライバシーモードでは、閲覧終了後に履歴やキャッシュを削除します。

supercookie

supercookieとは、HTTP cookieよりもしつこくユーザをトラッキングするための仕組みです。Adobe Flashのローカル共有オブジェクトと呼ばれるローカルストレージやマイクロソフトのSilverlightのストレージ機能、ウェブブラウザのデータストアなどを利用し、HTTP cookieが削除されても、ゾンビのようにcookieを復活させます。

HSTS Super Cookies とは

複数のサブドメインを利用して、HTST をフラグとして利用します。HSTS の有無によって、各ブラウザにユニークな HSTS のパターン(PIN)を設定します(覚えさせます)。 HSTS Super cookiesを使うと HTTP cookieを使わずに、各ブラウザを識別できます。

HSTS Super Cookiesとブラウザ

Chrome

  • プライバシーモードは、 通常モードのHSTSのPIN を参照できる
  • プライバシーモードのPIN は、通常モードから参照できない

Firefox

Firefox バージョン 34 で改善されました。

IE

HTTP Strict-Transport-Security に対応していません。そのため影響を受けません。

Safari

iCloud 経由でHSTS PINが同期されます。

関連項目




スポンサーリンク