ブラウザフィンガープリンティング：その概要、手法、用途、軽減方法

インターネット上のプライバシーが気になる方は、 ブラウザフィンガープリンティング 念頭に置いておくべきです。Cookie以外にも、デバイスやブラウザから送られてくる数十もの技術的信号を組み合わせることで、ユーザーを識別できるサイレント技術が存在します。

クッキーを削除したり、シークレットモードでブラウジングした場合でも、 タイムゾーン、インストールされているフォント、グラフィックカードによる画像のレンダリング方法 ウェブ上であなたを事実上唯一無二の存在にすることができます。しかし、その独自性には、サイト間トラッキング、強引なパーソナライゼーション、そしてプライバシーに対する隠れたリスクが伴います。

ブラウザフィンガープリンティングとは何ですか?

ブラウザのフィンガープリント（ デバイスフィンガープリントまたはブラウザフィンガープリント）は、ユーザーの目に見える介入なしに、コンピュータとソフトウェアに関する情報を収集し、非常に特徴的な識別子を作成する一連の技術です。これはCookieとして保存されるファイルではなく、 組み合わせ あなたを明らかにしてしまう技術的な属性。

結合できるデータには次のようなものがあります。 OSのブラウザとそのバージョン、インストールされている拡張機能、言語、タイムゾーン、解像度と色深度、フォントリスト、グラフィックカードの詳細とその コントローラ、マルチメディア機能、広告ブロッカーの存在など。

群衆の中の人物を、際立った特徴を使ってどのように描写するか考えてみましょう。十分な属性があれば、 それを見つけるのは簡単だ指紋認証はデバイスでも同じことを行います。何十もの技術的な信号により、あなたのプロフィールは、たとえ何百万ものユーザーの間でも、セッションごとに非常に認識しやすくなります。

クッキーとどう違うのでしょうか?

多くの国ではクッキーの同意が必要であり、 削除できますさらに、その使用は規制されている（例えばEUのGDPR）。一方、フィンガープリンティングはバックグラウンドで構築され、警告や事前の通知なしに行われる。 ストレージ 目に見える場所なので、ユーザーは通常それに気づかないか、直接排除することができます。

その結果、履歴を消去したりプライベートモードを有効にしたりしても、 あなたはまだ認識できる 技術的属性の組み合わせが安定している場合、クロスサイトトラッキング、広告プロファイリング、高度な行動分析に使用されます。

フィンガープリンティングの仕組み：パッシブとアクティブ

サイトはブラウザAPIを活用して機能を収集するスクリプトを読み込み、それを使って ハッシュまたは識別子大まかに言えば、パッシブ（リクエストにすでに存在するデータを活用する）とアクティブ（ブラウザでコードを実行してより多くのシグナルを照会する）の 2 つのアプローチがあります。

で パッシブフィンガープリンティング 各リクエストに付随するHTTPヘッダー（IPアドレス、ユーザーエージェント、優先言語、受け入れ可能なフォーマットなど）が検査されます。これらの情報は、追加のスクリプトを必要とせずに、ページの読み込みごとに送信されます。

プロファイリングに最も役立つヘッダーは次のとおりです。 リファラー （ソースページ）、 ユーザエージェント （ブラウザと多くの場合オペレーティングシステム）、 同意 （コンテンツタイプ） Accept-Charset （文字セット） Accept-Encoding （gzipやbrのような圧縮） Accept-Language （優先言語）。これらを組み合わせることで、差別化のシグナルがすでに得られます。

で アクティブフィンガープリンティング このサイトは JavaScript を実行して、ブラウザのバージョンとプラットフォーム、Cookie が有効かどうか、正確な言語、タイムゾーン、画面の特性 (幅/高さ、使用可能なスペース、色深度)、プラグインのリスト、インストールされているフォントなど、詳細情報を明示的に尋ねます。

AJAXのようなメカニズムにより、これらのクエリはページをリロードすることなくバックグラウンドで実行でき、次のようなオブジェクトは ナビゲーター y screen これらは情報の大部分を公開します。例えば： navigator.userAgent, navigator.language, navigator.platform, screen.width o screen.colorDepth 環境に関する詳細な情報を明らかにします。

でも タイムゾーン 次のように導出できる。 new Date().getTimezoneOffset()、そして特定のシステムカラー値は計算されたCSSスタイルを介して推測することができ、さらに奇妙なレイヤーが追加され、これらを組み合わせると、 独自性を強化する あなたの足跡の。

一般的な指紋採取技術

いくつかの高度な技術が基本的なヘッダーとプロパティを補完し、デバイスを非常に正確に識別します。多くの技術は「画面外」で動作するため、 あなたは何も感じない 走っている間に。

• キャンバス指紋採取: ブラウザに画像またはテキストをHTML5キャンバスに描画させます。フォント、GPU、ドライバーのわずかな違いにより、デバイスごとにバイナリ出力が異なるため、非常に堅牢な信号が得られます。
• WebGLとレンダリング: 目に見えない（多くの場合3D）グラフィックスを生成し、そのレンダリング方法を測定します。GPU間の差異は、 ドライバー y OSの 彼らは裏切る ハードウェア 非常に高い精度で。
• オーディオフィンガープリンティング: システムがオーディオを処理する方法を分析します。サウンドパイプライン（ドライバー、ハードウェア、ソフトウェア）は、識別子として機能する微妙な違いを生み出します。また、 DRM およびコピー制御。
• メディア/デバイスのフィンガープリントメディアデバイス（カメラ、マイク、ヘッドセット）とその識別子の列挙。通常はユーザーの許可が必要となるため、あまり一般的ではありませんが、取得すると非常に有益な情報となります。
• 行動追跡マウスの動き、タイピングのテンポ、ページのスクロール方法などの使用パターン。これらの行動シグナルは、多くの場合、 人工知能、設定の定義や自動化の検出に役立ちます。
• クロスブラウザフィンガープリンティング: 識別子を固定しようとする ハードウェア ユーザーを認識するためのシステム属性がすでにある 異なるブラウザ間で または関連デバイス。
• TLSフィンガープリンティング: TLS プロトコル ハンドシェイク (暗号スイート、拡張機能、順序、および設定) を検査して、クライアント ソフトウェアとネットワーク スタックの詳細を推測します。
• WebRTC: リアルタイム通信用に設計されており、IP アドレス (ローカル アドレスを含む) を公開できます。そのため、適切に構成されていない場合でも、非常に一貫性のあるネットワーク シグナルが提供されます。

IP とポートは重要ですか?

IPアドレスはすべてのリクエストに表示されますが、実用的および法的理由により、純粋なフィンガープリンティングにおけるその価値は限られています。 動的割り当て あなたの住所は変更されます 時間一方、NAT などの技術では、複数のユーザーが同じパブリック IP を共有することになります。

TCPポートも信頼できる識別子を提供しません。 出発港 接続ごとにランダムに選択され、Webサービスの宛先ポート（80や443など）は 基準 そしてみんなで共有します。

用途：有用性とリスクの間

主な目的は クロスサイトトラッキング 広告とパーソナライゼーションのため。十分な閲覧履歴があれば、興味関心、消費者の習慣、さらにはデリケートな側面（例：検索から推測される健康に関するトピック）に関する非常に正確なプロファイルを構築できます。

これはセキュリティにも当てはまります。 詐欺 （異常な解像度、脆弱な古いブラウザ、自動化パターン）、ウェブアプリケーションの認証、異常な動作の早期警告など。 ボットネットの特徴 DDoS を軽減します。

ダイナミックプライシングは、別の側面を示している。推測された社会経済的シグナル（場所、一般的なデバイス）を使用して、一部の小売業者は価格を調整する。 リアルタイム価格こうした慣行の公平性について懸念が生じている。

さらに、データ仲介業者は、物理的な世界（公的記録、ロイヤルティプログラム）からの情報とデジタルフットプリントを組み合わせることで、 再識別 サービスにログインしない場合でも。

現在の法的枠組み

今日、指紋採取は 法的 ほとんどの法域では適用可能ですが、規制の枠組みは複雑です。EUでは、GDPRが個人データの処理を規制しており、eプライバシー指令（現在審議中）は、従来のCookieに加え、フィンガープリンティングなどの慣行も対象とすることを目指しています。

米国には包括的な連邦プライバシー法は存在しない。 CCPA (カリフォルニア州) やバーモント州のデータブローカー法は、データの収集と取引の側面を扱っていますが、これらの技術の使用については具体的には扱っていません。

環境フットプリントを削減するための対策

完全に排除するのは現実的ではありませんが、可能です。 軽減する 識別子の値。ブラウザレベルでは、一般化とランダム化という2つの重要な技術的戦略があります。

La 一般化 API 応答が均質化されるため、多くのユーザーが互いに「似ている」ように見え、独自性が薄れてしまいます。 ランダム化 時間の経過とともに属性に小さな制御された変化が導入され、永続的な追跡が困難になります。

一部のブラウザにはすでに防御機能が組み込まれています。 Torの すべてのユーザーに提出を奨励 均一なフットプリントBrave はランダム化を適用して複数のベクトルをブロックします。Firefox は、強化されたトラッキング防止機能の一環として、既知のトラッカーをデフォルトでブロックします。

ラス VPN プロキシはIPアドレスと位置情報を隠すのに役立ちますが、アクティブな技術（Canvas、WebGL、オーディオ、ブラウザAPIなど）を防ぐことはできません。プロキシは便利な補助手段であり、完全なフィンガープリンティング対策ソリューションではありません。

プライバシー重視の拡張機能は、スクリプトやトラッカー（uBlock Origin、Privacy Badger）をブロックしたり、信頼できないサイトでのJavaScriptの使用（NoScript）をブロックしたりできます。 JavaScriptを無効にする 多くのサービスが低下したり、動作しなくなったりします。

ナビゲーションの点では、 DuckDuckGo クエリの追跡を防ぐ。プラグイン、テーマ、カスタマイズを多く適用すればするほど、 デバイスを差別化する 残りの。

当局からの勧告と優良事例

ユーザー向け: ご希望を表明するには 追跡しません (ただし、その尊重は普遍的ではありません)、信頼できるブロッカーをインストールし、状況に応じてブラウザーを切り替えることを検討し、フィンガープリンティングに対する制限を認識した上でプライベート ブラウジングを使用してください。

開発者向け: 明確なオプションを提供 承認または拒否 権限と追跡は、デフォルトで最もプライベートな設定を適用し、ユーザーが必要に応じて設定を減らすことができます。

フットプリントを悪用する組織の場合：透明性のある報告、 同意 必要に応じて、権利の行使を容易にし、処理活動を記録し、分析を実施します。 リスク これらの技術を実装する前にデータ保護を行ってください。

あなたのユニークさをチェックする：便利なツール

露出を評価したい場合は、次のようなプロジェクトがあります。 AmIユニーク これらは、あなたをユニークにする属性と、何百万もの指紋と比較してあなたの組み合わせがどれほど稀少であるかを示します。HTTP、JavaScript、グラフィックス（WebGL/Canvas）、さらにはブラウザブロック検出に関するセクションも表示されます。

これらのサービスは、 弱点インストール済みのフォント、検出可能な拡張機能、公開されているAPI、WebRTCのIPリークなど。設定や拡張機能を微調整することで、独自性を大幅に低下させる可能性があります。

フィンガープリンティングが活用するシグナル

携帯電話の場合、Android/iOS のモデルとバージョンに加えて、次の情報が関連します。 解像度、バッテリーステータス、ネットワーク、 apps ブラウザの。 スマートTV 信号も提供できます。デスクトップでは、プラグインに加えて、ソース、オーディオ/ビデオコーデック、モニターの数のリストも強調表示されます。

間接的な検出技術として、サービスのプライベートエリア（ソーシャルネットワークなど）からリソースをDOMに挿入し、 ロードまたは失敗 イベント付き ロード時/エラー時、バックグラウンドで認証されているかどうかを推測します。

ネットワークレベルでは、フィンガープリンティング TLS ハンドシェイクパラメータ（暗号、拡張機能、およびそれらの順序）を検査してクライアントのプロファイルを作成します。ヘッダーやキャッシュ/圧縮の動作と並んで、これはもう1つの差別化レイヤーとなります。

トラフィックおよびセキュリティ分析ツール（スニファーなど） Wiresharkの またはEttercap/Nessusのようなスイートは別の役割を果たします。厳密な意味でのブラウザフィンガープリンティングではありませんが、 交通を観察するシステムを検出し、脆弱性を検出します。これをクライアント識別と組み合わせることで、プロファイリングが強化されます。

機会費用と均衡

フットプリントを削減すると、ユーザーエクスペリエンスに影響が出る可能性があります。一部のウェブサイトでは スクリプトを有効にするメディアへのアクセスを許可したり、機能制限を緩和したり。ユースケースに応じて、プライバシー、セキュリティ、利便性のバランスを見つける時が来ました。

賢明なアプローチは、機密性の高いタスク用に「強化された」ブラウザを1つ用意し、 寛容な 差別化された拡張機能とポリシーを備えた、日常的な使用に最適なソリューションです。不要なカスタマイズを最小限に抑え、インストール済みのアプリケーションを定期的に確認してください。

ブラウザとデバイスは、想像以上に多くのことを明らかにしてしまいます。そのフットプリントがどのように構築され、何がそれを促進しているのか、そして あなたの独自性を損なうツールは何ですか 制御が可能になります。公開される信号を制限し、プロファイルを均一化することで、追跡がはるかに困難になります。