ブラウザの指紋採取でプライバシーが悪夢に!
引用元:https://news.ycombinator.com/item?id=46016249
Chromeで「$languageを翻訳しない」ってやると、Accept-Languageヘッダーに勝手にその言語が追加されちゃうって知ってた?これ、俺のヘッダーも勝手に増えてたし、この言語の組み合わせはかなり強力なフィンガープリンティングになると思うよ。この問題に対応する提案も却下されたみたい。https://github.com/explainers-by-googlers/reduce-accept-lang…
みんなに忠告!Chromeは使うな。
確かに良いSTEP1だけど、FirefoxやSafariもフィンガープリンティングに対して完全に安全ってわけじゃないからね。
「ブラウザで言語交渉する」っていう提案、誰がまともに考えてるの?多言語対応で、かつユーザーに言語選択リストを出せないサイトなんてあるわけないじゃん。意味不明だよね。
ページ翻訳がChromeを使う唯一の理由なんだよね。他のブラウザもGoogle Translateを使ってるのに、Chromeに内蔵されてる翻訳機能は本当に優秀だよ。
Firefoxはかなり頑張ってるよ。特にprivacy.resistFingerprintingをtrueに設定すれば、プライバシー保護はかなり良い感じだね。
それ、かえって目立つだけだよ。
報告されるUAヘッダーは、実際に使ってるUAとは別個に変更できるんだよ。
最近の国際的なサイトって、設定が合わない時に言語(たまに通貨も)の選択ボックスを出して対応してるよね。だったら、こういう交渉はブラウザレベルでやっちゃえばいいのにって思うんだけど、どうかな?
FirefoxはGoogle翻訳を使わずローカルで翻訳するから、よくある言語なら全然いけるぜ。マイナーなやつはGoogle翻訳頼りだけど、それだけでChromeに乗り換える必要はないと思うな。
言語リストを何語にするか、みんなが特定の言語話すってわかってても全員に見せるかっていうのは、俺の経験からすると難しい問題だね。一番いいのは、訪問者の好む言語を検出して、その言語で「ようこそ!」ってメッセージとセレクタを出すこと。一回選んだら次回もそれが適用されるようにするんだ。
Chrome使っててプライバシー気にしてるってマジ?GoogleがuBlock Originを潰しちゃってから、Chromeとプライバシーは両立しないってハッキリしたと思ってたんだけどね、https://news.ycombinator.com/item?id=41905368
それだと、ユーザーが好きな言語を選べなくなっちゃうじゃん。メリットないし、そこまでじゃないけどデメリットもゼロじゃない、最悪なアイデアだよ。
違うよ、それってオプションの交渉だからさ。Apple.comを自分の国と違う場所で開いてみたら、どうなるか分かるはずだよ。
もし俺がフィンガープリンティング会社だったら、ブラウザ間で情報を突き合わせるのは当然やるね。例えば、ヘッダーがWindowsでフォントがLinuxだったら超目立つし、UAがChromeなのに他の情報が違うって言ったら、それもすごく特徴的な情報になるよ。
privacy.resistFingerprintingって、ブラウザ履歴をほとんど消しちゃうみたいな、困った副作用があるかもしれないんだ。もっと賢く紫のリンクだけ無効にすればいいのにね。あと、これが削除されるとか弱体化されるって話も聞いたけど、それが提案だったのかは覚えてないや。
uBlock Originはさ、ほとんどの人にとってはuBlock Liteにただ置き換わっただけなんだよ。
Apple.comの言語セレクタは目立たないし、Dysonと比べるとちょっとイマイチだね。フッターに国名で表示されてるんだけど、自国語と英語が混ざってたりする。URLで言語を指定する方式で、特定の地域は複数言語に対応。政治的な配慮で旗は使ってないのかな。ユーザーの要求に応えるって点ではDysonと同じだけど、効果は低いって感じ。俺、Mongolia、Vietnam、MoroccoからExpressVPN使って試したよ。
確かにそうだけどさ、もしフィンガープリンティング会社だったら、大勢のプライバシーを侵害してガッポリ儲けてるわけだし、フィンガープリンティングを回避しようとする少数の「自由オタク」を追いかける手間なんてかけないんじゃない?
Chrome使うのやめて、みんなに教えなきゃ!司法省はGoogleのひどい独占を止めないし、俺たちが最後の防衛ラインだよ。草の根運動とか始めるしかないかもな。
PSA!MullvadかTailsだけ使えってば!あれらは目立たないように作られてるからね。
今どきのSafariって、Intelligent Tracking Preventionのおかげで指紋採取対策がめっちゃ優秀だよ!IOS 26とMacOS 26からはプライベートじゃないブラウザでも機能するし、テスト結果もバッチリだったぜ。
ウェブサイト側にも、こういう機能が必要なんだよな。ブラウザ側で標準として設計・実装されたら、サイトごとにバラバラにやるより、もっといいものができるはずさ。
Every time I manually touched the “fingerprinting” about:config settings, my entropy went up. I used the EFF site to test: https://coveryourtracks.eff.org/
Firefoxのabout:config設定をいじったら、エントロピー上がったわ。EFFのサイト(https://coveryourtracks.eff.org/)でテストしたよ。Tor browser用の設定は、普通のFirefoxだと合わないし、ウィンドウサイズ変えると特にヤバい。目標は指紋採取をブロックじゃなくて、目立たないことなんだ。Safari on macbookの方がFirefoxより指紋採取されにくいかもな。VPNだとサイトが困ってるっぽいから、VPNは効果あるけど指紋採取はそうでもないんじゃないかな。
IPアドレスでユーザーの言語ってわかるじゃん。VPN使ってたら慣れてるだろうけどさ。例えばYoutubeとか、俺の言語ヘッダー無視してIPベースの広告出すし。今となっては、言語ヘッダーなんて指紋採取にしか使われないんだろな。
タイムゾーンを隠そうとすると、日付がおかしくなったりもするんだよ(前はね)。
言語リストは、トップバーかフッターに各言語名で表示するのが普通だろ?Dysonのサイト(https://www.dyson.com/en)とか見てみろよ。なんで一つの言語に限定したり、みんなに見せないようにしたりするんだ?
resistFingerprintingとトラッキングツールテスト、良い結果だったよ。uMatrix/NoScriptと併用するとデータ減って有利だし。問題はresistFingerprintingを使う人が少なすぎることだな。Torと違って、使う人が少ないこと自体が指紋になっちゃうんだ。もっと広まればいいのに。デメリットは、bot検知サイトが変な反応すること。別プロファイルにするか、privacy.resistFingerprinting.exemptedDomainsでホワイトリストに入れるしかないね。Firefoxにコンテナオプションがあればいいのに。ウィンドウサイズ変更の件だけど、Torも標準サイズで使われてるはずだよな?
ChromiumでUBoを強制的にロードする方法があるぞ。GitHubから手動でダウンロードして、拡張機能の設定で「developer mode」でロードするんだ。あと、about:flagsで拡張機能関連のレガシーオプションも有効にする必要があるぜ。
ブラウザがユーザーのタイムゾーンを知って、ウェブサイトに報告するタイムゾーンと自動で変換してくれればいいのに。
もっとコメントを表示(1)
いや、それはないね。ブラウザでやるとか最悪だよ。それはめちゃくちゃ悪いアイデア。ウェブサイト側でやるべき。
OPは指紋採取を「プライバシーの悪夢」って言うけど、それが存在する理由を考えるべきだよ。ビジネス用インターネットと趣味用インターネットって全然違うのに、同じプロトコルで動かしてるのが問題。ビジネス用では本人確認がないと詐欺師やbotと区別できないから指紋採取が必要なんだ。Legoサイトには匿名でアクセスしたいけど、銀行と同じブラウザやIPを使ってるから、趣味用インターネットがビジネス用インターネットのセキュリティと収益化の「巻き添え被害」を受けてるんだね。無料のすごいツールと引き換えにビジネス用インターネットのSLAを受け入れたんだから、100%の匿名性を求めるのは、ビジネス用インフラをタダで使うのと同じ。現代のウェブでは匿名性ってセキュリティ上の脅威に見えるから、対策は難しいんだ。
「本人確認なしでビジネス用インターネットは無理」って?できるよ。スーパーに買い物に行く客の身分証をいちいち確認しないのと同じさ。むしろ、個人プライバシーがしっかり守られないと、自由で民主的な社会や効率的な自由市場は成り立たないんだ。プライバシーは、弱い者が強い者に搾取されるのを防ぐ最高の盾だよ。「無料のツールと引き換えにビジネス用インターネットのSLAを受け入れた」ってのも違う。同意なんてしてないし、追跡は隠れて行われるから、選ぶ機会も奪われてる。これは消費者の合理的な選択を妨げるごまかしだね。「匿名性はセキュリティ脅威に見える」って言うけど、普通にサービス使うだけの匿名ユーザーはセキュリティ脅威じゃないでしょ。
俺が住んでたほとんどのスーパーには監視カメラがあるから、何か違法なことしたらすぐ特定されるよ。小さい商店でもそうだね。それに、詐欺師は地球の裏側から俺のスーパーにフラッと入ってきて大混乱させるなんてできないでしょ。結局、プライバシー強化ツールを使ってもいいし、サーバー側でそれをブロックする選択肢もあるんだ。もっと良いシステムがあればいいんだけど、今はこれしかないね。
じゃあ、ビジネス用インターネットなんてなくしちゃえばいいじゃん。ネットで嫌いなこと全部、追跡、Cookie、指紋採取、SPA、過剰なJavaScript、エンゲージメント最適化、データブローカーとか、全部ビジネス用インターネットのせいだね。「XYZがなくて困らない?」って?いや、全然困らない。なくなってほしい。お店に行って自分で取りに行くのが面倒なら、そもそもそんなに重要じゃなかったってことさ。
俺としては、上記のようなことを一切しないサイトだけをリストする検索エンジンがあれば十分なんだけどね。でもそれには、サイトが「追跡してる?」っていう質問に正直に答える必要があるでしょ。企業はしないよ。自分たちが排除しようとする犯罪者と同じ考え方をしてるからね。サイト運営者に正直な回答を義務付ける法律があれば、ユーザーは選択肢を得て、そんな検索エンジンも作れるはず。でも国も指紋採取に興味があるから、そんなことは絶対起きないだろうな。
君のコメントからすると、旅行もあまりしないし(ホテルやフライトのオンライン予約)、移動に困ることもない(食料品などのオンライン注文)、オンラインバンキングも使わないみたいだね(小切手とか現金を持ち歩くの?毎週ATMに行くの?)。映画やTV番組もストリーミングしないし、地元の新聞で賃貸物件を探したり、紙の地図で移動したりするのを好むんだね。挙げればキリがないけど、文字通り「使えるもの」は全部ビジネス用インターネットで動いてるんだよ。近所のローカルビジネスがどうやって運営されてると思う?1900年代みたいに電話で連絡し合ってるわけじゃないでしょ。サプライヤーから在庫を注文してるんだ。今のグローバルなサプライチェーンでは、これは避けられないことだよ。個人的に全てをゆっくり対面でやるのが好きで、ビジネス用インターネットの利便性を重視しないのは別にいいんだ。でも、それが簡単な移行だとか、ほとんどの人がそうしたいと思うとか、そんなふうに思わないでほしい。俺としては、GDPRよりもっとよく考えられてて、ちゃんと施行される合理的なプライバシー規制を導入する方がずっと理にかなってると思うな。公式な「コミュニティ」版のインターネットもアリかもしれないね。
「旅行しない?」うん、しない方が好きだし、できれば航空運賃が高くなって、みんな旅行できなくなればいいとすら思ってる。「移動に不便がない?」うん、現代のインターネット以前から移動に不便な人はいたよ。「オンラインバンキング使わない?」いや、使ってるけど小切手も現金も使うし、Venmoとかは使わないね。いずれは信用組合に口座作って、スマホのバンキングアプリは完全にやめようと思ってる。「ストリーミングしない?」たまにはするけど、もうやめようとしてるんだ。Linuxだと真っ暗な画面になることがあって、これはLinuxをブロックしてるんじゃないかって思ってる。もしそうなら、もうストリーミングは見ないつもり。「新聞で賃貸物件探すの?」悪くないでしょ。物件リスト自体は匿名でいいし、申し込みは対面でやればいいんだから。その時に本人確認すればいい。「紙の地図使うの?」車に古いGPSがあるからそれ使ってるよ。スマホのGPSと違って追跡されないからね。「ビジネス用インターネットなしでは無理」って言うけど、人類の歴史のほとんどの期間、これなしでやってきたんだ。まるで最初の追跡Cookieが出た途端に、在庫注文や倉庫、サプライチェーンが突然現れたみたいに言うね(皮肉)。
君の意見は全くもって合理的だと思うよ。ただ、それがどれだけ世間一般からかけ離れてるかってことに気づいてくれてるといいな :)
「バラ色の眼鏡」だね。電力料金の支払いのために小切手を持って市役所まで行く必要がないのは、すごい進歩だよ。
小切手は郵送できるんだぜ。
小切手を郵送する生活に戻るくらいなら、喜んでブラウザの指紋採取を許すよ。ほとんどの「HN以外の」人たちもそうだろうな。
違うね。指紋採取は広告ネットワークが俺の広告価値のある側面を特定するための機能だ。ボットを排除するために使われるってのは、ごく小さな副次的な効果にすぎない。
君はボット対策業界の人じゃないんだろうな。Cloudflareのような会社の暗号化されたCookieは多次元データを含んでいて、正規のブラウザで生成されたものをボットネットが使っても検出・ブロックされるんだ。
ブラウザ指紋採取の対策には、仕事用と娯楽用でブラウザを分けるのがおすすめ。ビジネスサイトはChromeで、バンキングやSaaSに。BraveやOperaはシークレットモードで娯楽用に使い、広告ブロッカーやTorでプライバシー保護だね。「プロジェクト用」には別のサンドボックス、特にVMを使うと、アプリインストールリスクも減ってバックアップも楽だよ。
ブラウザを分けるだけじゃ、あまり効果的な対策じゃないと思うな。同じマシン、同じIPアドレスから、同じメールアドレスや2FAの電話番号を使ってログインしてたら、両方のブラウザが同じ人だってバレバレだよ。デバイス間の身元追跡だって現実にあるんだから。
基本的に「娯楽用サイト」にはログインすべきじゃないね。もしログインするなら、使い捨てメールアドレスとサイトごとに別々のログイン情報(パスワードももちろん)を作るべきだ。「娯楽用インターネット」の多くは2FA不要だけど、必要なサイト(増えてるソーシャルメディアとか)にはGoogle Voiceの番号を使うのを強くおすすめするよ。そうすれば信頼の境界がGoogleに移るんだ。Googleはどっちみち君の情報全部持ってるしね。
IPアドレスはVPNやTorでカバーできる。
銀行がブラウザの指紋採取を必要とする理由が全く分からないな。過去10年で持ったクレジットカードは全部二要素認証が必要だったし。もし君の理論が正しければ、新しいブラウザで買い物しようとしても機能しないはずだよね。
素晴らしい洞察だ。「ビジネスインターネット」と「娯楽用インターネット」でIDの扱いを分ける技術的解決策はまだ期待できるね。GoogleのWEI [1] やAppleのPrivate Access Tokens [2]、GoogleのPrivate State Tokens [3] などがその提案だよ。ただ、IP保護のような基本機能ですら、不正防止やボット対策を妨げることがある。CDNを使うサイトでは、VPNやシークレットモードのユーザーがボットと誤認され不便になるケースもあるんだ。難しい問題だね。
[1]: https://en.wikipedia.org/wiki/Web_Environment_Integrity
[2]: https://developer.apple.com/news/?id=huqjyh7k
[3]: https://privacysandbox.google.com/protections/private-state-…
「フィンガープリンティングは商用ウェブが人間確認するための免疫システムだ」って意見あるけど、俺はそう思わないな。
確かにそういう目的もあるけど、もともとは広告ネットワークがもっと効果的な広告を出すためユーザーを追跡してたんだよ。今も「パーソナライゼーション」が主な動機だと思うね。
それだけじゃなくて、Webアプリが必要とする正当なデータや分析データを得るのがどんどん難しくなってるんだ。全部ごまかされてて、iOSやAndroidのネイティブアプリとは状況が全然違う。
俺はWebAssemblyとカメラを使うモバイル製品をいくつか開発してるけど、必要なワーカー数、安全なメモリ制限、デバイスのメモリ容量、最適なカメラの選択とか、信頼できる情報が手に入らない。特にiOSはひどいね。
顧客から「製品がクラッシュする」ってクレームが来るんだけど、結局は(iPhone)の再起動でSafariがメモリを積極的に管理しなくなることで解決するんだ。デバイスのフィンガープリンティングができれば、SO MANY(すごくたくさんの)問題が解決するのに。これはネイティブアプリならできることなんだよ。
「プライバシーの悪夢」って言われても、ちょっと共感しにくいな。
俺はウェブを27年間使ってるけど、そんなことを心配したことは一度もないし、彼が心配してるようなことから悪影響を受けたこともない。
広告ブロッカーを使ってるから広告は見えないし、俺の広告がターゲットされているかどうかもわからないね。多分、悪夢に対する答えは、自分に影響しないことを心配しないってことじゃないかな?
保険会社が心臓病の閲覧履歴を知るとかいう件については、俺もそういう経験が時々あったよ。最初は保険会社とか航空会社、レンタカーが安い値段を提示してきて、また訪れると値上げするんだ。別のブラウザからアクセスすれば、より良い条件でいけることもあるよ。俺はそれを、割引価格を得るための「ハック」だと思ってるから、プライバシーの悪夢とは見てないけど、まあ、人それぞれだよね。
ターゲット広告の話だけじゃなくて、自分の情報に対する権利がどれだけ少ないかってことだよ。政治的に、自分のデータに対する権利があることをマジで気にするべきだよ!
みんなオンライン活動で大量のデータを作ってるのに、みんなが同意するプライバシーポリシーで、データが知らぬ間に収集、販売、分析されてる。今は問題ないかもしれないけど、企業が君のデータを悪用するインセンティブはどんどん増えてるんだ。
例えば、車のメーカーが顧客情報をデータブローカーに売ったの知ってる? それからそのデータと、彼らが買える、手に入れられるあらゆる情報を組み合わせて「リスクスコア」を計算するんだよ。それが自動車保険会社に売られて、保険料が上がるんだって。https://youtu.be/X6UW4CFz71s
こんなくだらないことがあるから、みんなプライバシー権に関心を持って主張する必要があるんだ。企業には君のデータに対する権利はないのに、インフォームド・コンセント(十分な説明を受けた上での同意)を強制されてないし、データブローカーが合法なのも意味不明だよ。なんで俺のデータがインフォームド・コンセントなしで売られてるんだ?
俺も時々これについて考えるんだ。一方で、個人的なデータをできるだけ漏らしたくないっていう本能的な気持ちがあるし、できるだけプライベートに保つのが得策だって直感的にわかるんだ。ここにいる多くの人が同じように感じてるんじゃないかな。
でも一方で、自分が漏らしてる全てのデータを追跡するのってすごくエネルギーがいるし、ちょっとしたプライバシーの向上のために、より良いツールやワークフローを諦めなきゃいけないこともよくあるんだ。
これって意味あるのかな? たとえ俺が全て「正しく」やったとしても、周りの誰もやってないんだから。買い物の好みとか検索履歴をプライベートに保とうとしても、これを気にしない他の人たちから集められるデータが多すぎて、俺の努力はほとんど無駄になる可能性が高いんだ。俺のクッキーがなくても、大手トラッカーみたいにたくさんのデータがあれば、俺の好きなものなんて余裕で推測できるだろうね。
これに対するいつもの答えは、「もしみんながプライバシーを気にしたら、状況は変わる」ってやつだ。でも俺はFirefoxのシェアの話で、これと全く同じ議論をここ15年くらいずっと聞いてるんだけど、今のFirefoxの市場シェアを見てみろよ…。
FirefoxにArkenfox user.jsを使えば、プライバシー保護に関しては多分これが最高峰だよ。この設定だと、終了時にクッキーを破棄したり、タイムゾーンをUTCに標準化したり、canvas fingerprintを偽装したり、他にも色々な便利なことをしてくれるんだ。基本的には、Torブラウザと同じ情報をFirefoxが晒すようにしてくれる。
それに加えて、俺はほとんどの既知の広告/トラッキングドメインをDNSレベルでブロックしてるんだ(自分でサーバーを立てて、Hagezi’sのブラックリストを使ってる)。
最後に、もう一つの提案は、uBlock OriginやuMatrixを使って、デフォルトで全てのサードパーティコンテンツをブロックすることだね。これは多くのウェブサイトを壊すことになるけど、GoogleやAdobeなどがホストするフォントなどを通じたほとんどの形態のトラッキングを自動的に排除できるんだ。俺は頻繁に訪れるウェブサイトについては、必要なサードパーティドメイン(CDN)を手動でホワイトリストに入れてるよ。
これらのツールを使っても、大多数の人が使わないと意味がないよ。君のIPアドレスで、このマスキングされたフィンガープリンティングの設定を使ってるのは君だけ、ってことになるから、それが逆にフィンガープリントになっちゃうんだ。
だから、Torを使うときには確かに有用なんだ。ベースのIPアドレスで特定されないからね。だけど、これを文化の一部にしない限り、ブラウザのフィンガープリンティングに対してはTorを使う以外、ほぼ何の対抗策もないんだ。Tor自体も、状況によってはまだ有用なフィンガープリントになる可能性もあるけど。
EDIT: 言い忘れたけど、これらのツールを通常のブラウジング以外の目的で使うのは、誰が特定のブラウジングをしてるのかを隠すのに役立つこともあるよ。でも、フィンガープリンティングのマスキングを単独でずっと使ってても、使わないのとほとんど同じくらいしか効果がないってことは強調しておくべきだね。
基本的にはXKCDのライセンスプレートのコミックだね: https://xkcd.com/1105/
WebGL/WebGPUで晒されるGPU名や、WebRTC経由で利用可能な内部IPアドレスは隠せるのかな?
「サードパーティコンテンツを全てブロック」してもダメだと思うよ。フィンガープリンティングのスクリプトって、ファーストパーティドメインから提供されることも多いんだから。
それに、もしブラウザがcanvasの描画APIを提供しなくて、wasmレンダリングライブラリを自分で提供するしかなかったら、canvasはフィンガープリンティングには使い物にならなくなるし、その利用も激減するだろうね。そうすればブラウザのコードも減って、攻撃対象も小さくなるはずだよ。
こんな記事が出るたびに、関連するXKCDコミックを自動で表示するソフトウェアって誰か書いたことあるのかな?
俺のHNリーダーに、今読んでる記事とXKCDが既に言ってるポイントが合致したら、下の方に赤いボタンが出る機能が欲しいな。
Randalは2016年頃までは良い意見を言ってたけど、それ以降は客観的に見てダメになったんだ。マジで冗談抜きで、彼が薬をやってたけどやめたんじゃないかと俺は思ってるよ。
もっとコメントを表示(2)
Orion Browser(Kagiの製品)は、デフォルトでフィンガープリンティングをブロックしてくれるんだ。
詳しい情報はこちら: https://help.kagi.com/orion/privacy-and-security/preventing-…
他人のPCに侵入してデータを秘密裏に抜き取ったら刑務所行きなのに、ウェブサイトの所有者が同じことしてもなんで検察は訴えないんだ?客観的に見て犯罪じゃんか!
どうやってフィンガープリンティングを確実に検出するんだ?停止性問題を解決したとでも言うのか?なんか怪しいな。
「Orionがやってるのが唯一の効率的なフィンガープリンティング対策だ。デフォルトでファーストパーティとサードパーティの広告・トラッキングスクリプトをブロックし、侵入的なフィンガープリンターはページ上で実行されない」って言うけど、これって結局「既知の」フィンガープリンティングスクリプトをブロックしてるだけじゃないの?
「WebGL/WebGPUで公開されるGPU名やWebRTCで利用可能な内部IPアドレスを隠すのか?」俺のGPUはhttps://abrahamjuliot.github.io/creepjs/で「Mozilla」って表示されるし、コア数もTorとか使うと4になってる。
「フィンガープリンティングスクリプトはファーストパーティドメインから提供されるからダメ」っていうけど、サードパーティコンテンツを許可するとGoogleとかがフォント配信システムとかで簡単に追跡できるのは事実だね。
「Randalは2016年頃までは良い意見を言ってたけど、それ以降は客観的に見てダメになった」って話だけど、具体的には2016年のこの時だね: https://xkcd.com/1756/
「薬をやってたけどやめたんじゃないか」ってのは知らないけど、何か変わったのは確かだ。
「Arkenfox user.jsを使ったFirefoxがプライバシー的には最高」って言うけど、いや、それはLARPだよ。気にしないか、Tor Browserか商用アンチディテクトブラウザを使うべきだね。でも、フィンガープリンティングの問題は誇張されすぎてるから(AIの問題とよく似てるね)、そこまで気にする必要はないと思うよ。
不正防止でこれらのツールを使ってる者として言わせてもらうと、FirefoxはChromeと同じか、それ以上に追跡されやすいよ(そもそもニッチなブラウザを使う時点で目立つからね)。Canvas、オーディオデバイス、機能検出とかで、Firefoxは大量の識別情報を晒してる。プライベートウィンドウや開発者コンソールの使用を検出する積極的な方法もあるし。
ウェブサイトを訪れると、任意の(サンドボックス化されてるけど)コードが実行されることに暗黙の同意があるってことなんだ。それに、コードを実行させてるのはウェブサイトじゃなくて、君のブラウザだよ。「ユーザーが知らないうちにコードが実行される」のがダメなら、JavaScriptを使ったどんなウェブページも違法になるか(CSSもチューリング完全だしね)、サイトが同意を求めてみんなが盲目的に受け入れるクッキーバナーみたいな状況になるだけだ。
Ublock origin / Privacy Badger / Ghostryを使ってたのを忘れてて、そのサイトの結果にちょっと困惑したよ。Ghostryが反応を偽装してると思うんだけど、それでもこのサイト(https://coveryourtracks.eff.org/kcarter?aat=1)によると、俺のフィンガープリントはかなりユニークらしいね。
“現代的”って言葉の意味にもよると思うけど、ヨーロッパにはGDPRがあるじゃん。まさにこういうことやってるよ。
JavaScriptベースのアンチフィンガープリンティングは全部検出可能だし、それ自体がユニークさの主要な原因になっちゃうんだよ!
Ghostryって、広告会社に買収されて、もうダメになったんじゃないの?
Arkenfox user.jsはよく知らないんだけど、これってFirefoxがprivacy.resistFingerprintingをオンにした時に標準で提供してるもの以上のことしてるの?
だって、君が言ってることは、ただフラグを切り替えるだけでできることばっかりみたいだけど。
これ、記事にも書いてあることだね。彼らが使ってた例え話がすごく気に入ったよ。
ショッピングモールにスキーマスクをつけて行けば、身元は隠せるけど、周りの人にはすぐに怪しまれるし、大抵の店では出て行けって言われそうだよね。
当たり前のこと聞くけど、フィンガープリンターをブロックすること自体がブラウザをフィンガープリントしない?
あと、『フィンガープリンター』って何?
収集されたデータに基づいて、ブラウザの手の届かないところでサーバーサイドで動くものじゃないの?
残念だけど、最近Tor Browserだと動かないサイトが増えてるんだ。特に、俺じゃない人たちから聞いたんだけど、Anna’s archiveとlibgenがそうらしいよ。
Arkenfoxはそれどころじゃないよ、user.jsを見てみてよ。タイムゾーン、コア数、ウィンドウサイズとか、フィンガープリンティングを助けるいろんな属性を偽装するんだ。基本的にはTor Browserの設定を真似してるって感じだね。
これって皮肉なことに、君を本質的に追跡可能にしちゃうんだよね。
誰も追跡不可能じゃないんだから、「痕跡なし」っていうのは、とんでもない追跡可能な属性なんだよ。
2014年4月18日の1357ってのが、かなりヤバいね。
(ボーナスポイントだけど、代替テキストの議論が「隠すことなし」の主張とそっくりなのもね。)
「もし、ユーザーが知らないうちにコードが実行されるのがダメだっていうなら、JavaScriptがあるウェブページだけじゃなくて、すべての現代の電子機器が違法になっちゃうぜ。」
もちろん、でももしウェブサイトごとにいつもユニークだったら、時間経過で追跡されることはないよね。
JA4+みたいなサーバーサイドのフィンガープリンティングもあるんだよ。
それに、もしフィンガープリンティングをなんとか回避できても、GoogleやCloudflareのすごく遅いCAPTCHAを解く覚悟が必要になるぜ。
フィンガープリンティングは識別特性と追跡に関して混乱があるみたいだけど、これらは別物。
タイムゾーンをUTCに設定しても、それは「ID」の一つの特徴を隠すだけ。GeoIPみたいにタイムゾーンより良い位置特定信号もある。機能を隠してもウェブが使いにくくなるだけで、追跡不可能にはならないんだ。
追跡可能性は、ブラウザの内外のいろんな要因の組み合わせから来るんだよ。
もし君が家族4人とIPを共有してて、リクエストヘッダを変えたりすると、かえって追跡されやすくなるんだ。
UTCタイムゾーンのリクエストと他のタイムゾーンのリクエストが同じIPから来た場合、私はこの単一IP上の単一ユーザーを追跡できるようになる。
家族が違うブラウザやデバイスを使っているともっと悪化する。
じゃあ何が重要なんだ? もし追跡されないことにこだわるなら、VPNを頻繁に変えるか、公開IPを頻繁に切り替えるかの選択肢がある。
さらに、すべてのリクエストでヘッダを変更する必要があるよ。50種類のヘッダセットを使い回してもいい。
これらを組み合わせれば、フィンガープリントは非常に難しくなるだろう。
もし識別されることだけを気にするなら、TorとTor Browserを使えば、多くのトラフィックが同一に見えるようになるよ。
記事の意見には賛成。どんなフィンガープリンティングも個人の自由にとって大きなリスクだ。
でも、コンテンツクリエイターがちゃんと報われるようにもしたい。
フィンガープリンティングを使う広告会社は、僕とクリエイターの間に立ちはだかってる。
とはいえ、たまに読むブログ全部に月5ドルも払いたくないし。
広告モデルは報酬へのより効率的なアプローチだけど、プライバシーっていう許容できない代償を払ってるんだよ。
何が正解なのか、よく分からないな。
「たまに読むブログ全部に月5ドルは払わない」って言ってたけど、ビューごとにお金払う?
僕も含め、ほとんどの人は、今まで払ってないことに慣れてるから、たぶん「はい」とは言わないだろうね。
でも、もしそれが広告モデルの廃止を意味して、商品価格に広告費が含まれなくなることで、全部の商品が安くなるならどうする?
PPVモデルは何度も試されてきたけど、結局、人々が1ビューあたりに支払ってもいいと思う金額じゃ、コンテンツ所有者にとって実行可能な収益源にはならないんだよ。
月5ドルの継続的な収益源を失った分を補うには、0.1ドルから0.25ドルのビューが大量に必要になるからね。
