火曜日, 5月 18, 2010

ブラウザーのFINGERPRINT情報のプライバシー問題について


ウェブブラウザに入っているFINGERPRINT情報がプライバシーの問題になるじゃないか?という疑問は現時セキュリティー話題になっております。このFINGERPRINTでのユーザID情報が入っているので漏れたらまずは、ブラウザが持っているFINGERPRINTの情報は何ですか?どうやってその情報を取れますか、誰が見れます?下記分散しながら説明します。

(A) 先ずはブラウザ製品の情報があります、詰り下記のように↓
Mozilla/5.0 (compatible;)
Mozilla/5.0 (Windows; U; Windows NT 5.1; ja; rv:1.9.1.9) Gecko/20100315 Firefox/3.5.9 (.NET CLR 3.5.30729)
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.1.249.1064 Safari/532.5
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.3
Mozilla/5.0 (Windows; U; Windows NT 5.1; ja; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 ( .NET CLR 3.5.30729)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; YTB720; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NE
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB6.4; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.0
Mozilla/5.0 (Windows; U; Windows NT 5.1; ja; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3
Mozilla/5.0 (Windows; U; Windows NT 5.1; ja; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3
Mozilla/5.0 (X11; U; Linux armv7l; en-US; rv:1.9.0.18) Gecko/2010021501 Ubuntu/9.04 (jaunty) Firefox/3.0.18
Mozilla/4.0 (compatible; MSIE 6.0; KDDI-SN3A) Opera 8.60 [en]
など…

それから (B)アクセス他のアクセス情報も分かります、詰り、IPアドレス、アクセス時間とその他情報↓
Tuesday, May 18, 2010 at 17:59:22|http://****|210.143.35.22||Mozilla/5.0
(Windows; U; Windows NT 5.1; ja; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3|22745-1274173162|
Tuesday, May 18, 2010 at 17:59:23|http://****|210.143.35.22||Mozilla/5.0
(Windows; U; Windows NT 5.1; ja; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3|22746-1274173163|
Tuesday, May 18, 2010 at 18:34:55|http://****|114.48.68.253||Mozilla/5.0
(Windows; U; Windows NT 5.1; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3|22836-1274175295|
※メモですが、Cookie情報はウェブブラウザ情報の中に入ってません。

続いて、(C) 誰が見えますか?回答は↓
1)ウェブサーバのログ、
2)ウェブ検索エンジン、
3)TCPパケット読み込み出来るソフトやサービスです。

問題の説明は↓
(A),(B),(C)を見たら、別におかしい事は何処でも見つからないけど何のセキュリティ問題の話でしょうか?
上記のウェブブラウザ情報(A),(B)を見ますと個人情報(ID)が何処でも書いて無いけど、殆ど84%アクセス情報がユニークな情報を持っています。そういう意味ではユニーク情報をちゃんと並べて調査をすると大体どのユーザが何をアクセスしているかと分かるんじゃないかというセキュリティ問題です。実はこれはリサーチ結果です。EFFリサーチの研究者はこのセキュリティー問題をリサーチしてます。1,000,000アクセス情報の上で837,411アクセスはユニークな情報となります。
EFF(Electronic Frontier Foundation)リサーチ社を言うには84%ユニークの情報はちゃんとデータベースにすると、今迄のANONYMOUSブラウザ情報はちゃんとIDされるようになるじゃないかと思われます。この考えは確かに不可能事ではありません。今迄ブラウザが保存されたCookie情報は一番有名なプライバシー問題の話題になっているけど、これからブラウザのFINGERPRINT情報も注意するべきじゃないかと。

続いてEFFリサーチ社はユニークブラウザ情報の計算ツールを作りまして「Panopticlick」との製品名前です。「Panopticlick」の調査結果でこの情報をWhitepaperをリリースされた、現在プライバシー情報のトップ話題になります。Whitepaperのダウンロードはこちらへ、そしてどのぐらいこの話題は現在流行っているのか下記のリファレンスへご覧下さい↓
http://boingboing.net/2010/01/27/panopticlick-effs-to.html
http://www.theregister.co.uk/2010/05/17/browser_fingerprint/
http://www.computerworld.com/s/article/9176904/EFF_Forget_cookies_your_browser_has_fingerprints?taxonomyId=144
など

---
株式会社ケイエルジェイテック
http://www.kljtech.com
セキュリティモニターセンター

0 件のコメント:

コメントを投稿