ハクソク

世界を動かす技術を、日本語で。

ブラウザが何を伝えたかを尋ねずにすべて表示するウェブページ

13時間前原文(sinceyouarrived.world)

概要

  • JavaScript が必要な理由の説明
  • ブラウザ情報の 開示 についての考察
  • JavaScriptオフ時の 挙動 の違い
  • ページ閲覧時に 既に取得済み の情報
  • Vol. IV に関する通知

JavaScriptが必要な理由とブラウザ情報の開示

  • このページは JavaScript を必要とする設計
  • JavaScriptが 有効 でなければ、ページはブラウザが開示した情報を 表示 できない
  • 情報自体は 既に取得済み であり、JavaScriptがオフの場合は「伝えること」だけが停止
  • ページを開いた時点で、 ユーザーのブラウザ情報 はサイト側に既に知られている状態
  • ユーザーが 自発的な許可 を与えずとも、ブラウザ情報が自動的に伝わる仕組み

Vol. I 〜 Vol. IV の説明

  • Vol. I :ユーザーがここにいる間に 世界が行ったこと
  • Vol. II :ユーザーが見逃した
  • Vol. III :元々ユーザーの 足元にあったもの
  • Vol. IV :このページ自体が ユーザーに知らせたかったこと

ウェブページによるユーザー情報の自動取得

  • ウェブページは ユーザーの許可なく、取得できる情報を自動で収集
  • ページは ユーザーに直接伝える ことで、何を知ったかを明示
  • プライバシー意識 の重要性や、ブラウザ利用時の注意喚起
  • JavaScriptの 有効・無効 設定による情報開示の違い

Hackerたちの意見

ここにはもっと見るべきことがたくさんあるよ。スーパークッキーやフィンガープリンティングに関する先行研究がいっぱいある: https://coveryourtracks.eff.org/ https://amiunique.org/

別の情報漏洩フィードバックツール: https://www.ipleak.com/full-report/

ソース&告白モーダルの下に両方リンクされてるよ。「Cover Your Tracks」はこの全体の精神的な祖先だね。amiuniqueはもっと厳密で、これは編集的ないとこみたいなもの。

うーん、面白いね。EFFのサイトを試してみたら、「MacIntel」って言われた。ちょっとビビった、まだx86版のFirefoxを使ってるのかと思ったよ。

  • その街にはいないよ。 * ちょっとしたLinux上のChromeみたいなものが動いてる。 * 誰にも、私がいつ働いていつ寝てるかは推測できない。それは私自身も含めて。 * 最近の高級ディスプレイは、5年前にスーパーで買った低価格タブレットの画面だよ。 * でも、確かにブラウザのフィンガープリンティングはうざいよね。 * ライトモードが検出できるなら、それを尊重してくれたらいいのに。

私にはずっと良かったよ。 * あなたの靴下は部屋の中のどれとも合ってない。 * あなたがタスカルーサで殺したと思ってた男は、1時間後に目を覚まして家に帰り、今はシュリーブポートでカイロプラクターになってる。 * あなたの娘は、ヘッジを刈る子供の子供を妊娠してる。 * あなたの犬は、薪の中のリスの夢を見てる。どうしてそれがわかるの?

  • バッテリーのパーセンテージも充電状況も間違ってるよ。

「ライトモードを検出できるなら、それを尊重するのはそんなに難しいこと?」 多分、やっても低コントラストのゴミみたいになるだろうけど。 :/

このページが明らかにするフィンガープリンティングの量は、実際に野生で起こっていることに比べたらほんとに少ないよ。

私はその都市にはいない。 同じく、リバーサイドって出たけど、私はサンディエゴにいる(リバーサイドから約100マイル離れてる)。もちろん、これはIPアドレスのためのジオロケーションデータベースを使ってて、実際の位置じゃなくてVerizonが運営してるスイッチングセンターの場所を報告してるだけだよ。プライバシーについてのポイントを証明しようとしてるなら、何百マイルもずれてる情報を最初に持ち出すのはやめた方がいいと思う。これが「知ってる」情報として暗い警告のように提示されるのは逆効果だし、実際のウェブサイトやアプリがデジタルフィンガープリンティングで追跡してることは、もっと詳細でパーソナライズされてて(通常は)正確だから、逆に安心感を与えちゃうかも。

あなたのグラフィックプロセッサは自分をこう識別した。似たようなものだね。私が持ってるのはグラフィックカードに似てるけど、ちょっと違う。

私のGPUの識別は約10年ずれてるけど、ブランドは合ってた。

EFFの「Cover Your Tracks」の雰囲気が出てる。これがフロントページに載ったってことは、その内容以上に不気味だね。

そうだね!21日しか経ってないユーザーが、コメントもしたことないし、このスレッドにも全く返信したことがないのに、これがフラグが立たないのはハッカーニュースを殺してるよ。

ウェブサイトはきれいで、オーバードramaticなコピーも楽しいけど、もっと良いフィンガープリンティングのデモがたくさんあるよ。ここで示されているデータポイントの数は少ないし、もっとチェックできることがあるはずだし、いくつかは間違ってるみたい(明示的に「非公開」として検出されてるのは1つだけだけど、実際にはいくつかがそうだと思うから、出力が混乱してる)。もうちょっとQAが必要だね。

オーバードramaticなトーンがめっちゃ面白い。「あなたは[間違った街]にいます。今すぐ忍者のチームを送ってあなたを殺すこともできるけど、そうしないことにしました。どういたしまして。」

要するに、また使い捨てのAI生成のゴミプロジェクトだね。

あなたの位置情報を求めてはいませんでした。あなたの住所はあなたより先に届きました。バカげてる。あなたはジオロケーションAPI/サービスに私のIPアドレスを位置にマッピングするように頼んだんだ。私の位置を求めたのはあなたで、私のIPをキーにしてね。私のIPはインターネットでの通信に必要不可欠だし(隠すサービスを使わない限りはね)、でもその場合は彼らがあなたの情報を持ってることになる。

いや、ブラウザにはジオロケーションをリクエストする仕組みがあるよ。これは実行されなかったリクエストだ。ユーザーに尋ねられなかったのが重要なポイント。もし私が辞書を持っていれば、話している相手から聞いた言葉の意味を尋ねる必要はない。辞書で調べればいいんだから。言葉には複数の意味があったり、口語表現だったりするから、間違った意味を推測することもある。もしその不正確さを明確にする必要があるなら、他のデータポイント(例えば、会話の文脈)や、会話相手に確認する必要がある。

私のIPアドレスは、インターネットでの通信に必要不可欠だよね(隠すサービスを使わない限りは。でもそうすると、今度は「彼ら」が私の情報を持つことになる)。Torや似たようなマルチホッププロキシは、構造によっては、ソースとデスティネーションのIPを一致させられないらしいよ。

これ、読み間違えてると思うよ。彼らは「誰にも聞かなかった」と言ってるんじゃなくて、「あなたというユーザーには聞かなかった」と言ってるんだ。それに、もちろんあなたの住所が最初に届くのは当たり前だよね…どうやってリクエストしたデータを返すと思ってるの?

情報が正確かどうかはあまり重要じゃないんだ。クッキーなしでもあなたを特定する手段として機能することが大事なんだ。もっと良いサイトを探したけど、EFFのやつ[0]は情報が豊富だった。私のブラウザフィンガープリントは過去45日間の訪問者の中でユニークだったよ。

少なくともヨーロッパではGDPRはまだ有効だよ。クッキーを使わなくてもフィンガープリンティングをしている場合でもね。だから、この情報を使うなら、法に従って開示してデータを処理する必要がある。

情報が不正確な方がいいな。サイトが私を追跡しようとしてくるなら、せめてユニークなゴミを与えるくらいはしたい。

私たちのテストによると、ウェブトラッキングに対して強力な保護があるようです。JavaScriptを無効にしなくてもサイトが動くし、アドバンスモードのuBlock Originを使ったFirefox、最高だね。

それ(または似たようなサイト)を何回も実行したら、毎回ユニークじゃなくても良くない?

「FUDが正確じゃなくても関係ない」うーん。

どうやら私がダークモードをオンにしたiPhoneを使ってて、英語を話して、アメリカにいる(でも間違った都市、間違った州)ってことは知ってるみたい。ちょっと感心しないな、もっとたくさんの情報を得られるはずだと思う。

もう一度、プライバシー擁護者に普通に話してみてほしい。ブラウザがあなたのタイムゾーンにアクセスするのを悪者扱いするのは、誰も納得させられないよ。

いい情報だけど、技術に詳しくない人には役立つね。ブラウザがそういう情報をさらしてるのはもう知ってたし、x/redditに載せる価値はあるかも。