web-dev-qa-db-ja.com

HPKPを使用してユーザーを追跡できますか?

「スーパークッキー」とブラウザのフィンガープリント方法の大規模なフローラがすでに世に出ています。 HPKPがユーザーを追跡するためのさらに別の方法を提供するかどうか疑問に思っていますか?

サーバーは、公開鍵としての使用を意図したものではなく、その訪問者の一意の識別子である追加のバックアップ鍵を送信できます。ブラウザはそれを喜んで保存し、閲覧履歴とCookieがフラッシュされても保持します。キーがクライアントから何らかの方法で回復できる場合(検証するキーが見つかるまですべての可能なキーを試す必要はありません)、ユーザーの追跡に使用できます。

だから私の質問は:

  • これはできますか?
  • 実際に野生で使用されていますか?
  • HPKPを完全にオフにする以外に、自分を保護する方法はありますか?
httpcookiesuser-trackingfingerprintinghpkp
5
Anders

HPKPにはレポートURIがあるため、大規模な追跡に使用できます。

  1. IncludeSubdomainsが設定されたHPKPヘッダーと、ランダムに生成された一意のパラメーターが設定されたreport-uriを送信します。
  2. 無効な/固定されていない証明書を使用するサブドメインの非表示画像を埋め込みます。
  3. ブラウザは、一意のパラメータを使用してreport-uriを呼び出します。

私が目にする唯一の問題は、ユーザーがUIDを設定するサイトにアクセスするたびに新しいUIDが発行される新しいレポートURIです。

HPKP RFCのプライバシーに関する考慮事項のセクション も参照してください。

4
you