セーフブラウジングレポートからGoogleがアクセスしたURLを推測できますか?
Google Chromeプライバシーホワイトペーパー には、セーフブラウジングに関する部分があります。
リストに表示されているURLに移動すると、Chromeは、URLフィンガープリントの一部(URLのSHA-256ハッシュの最初の32ビット))をGoogleに送信して、URLが確かに危険です。Chromeは、サイトが潜在的に危険な許可をリクエストしたときに部分的なURLフィンガープリントも送信するため、サイトが悪意のある場合にGoogleがあなたを保護することができます。Googleこの情報から実際のURLを特定できません。
便利だと思えば、ハッシュをGoogle側のリストと比較する必要があり、これを有効にするには、このURLにアクセスして、実際に悪意があるかどうかを確認する必要があります。そこから、部分的なハッシュと完全なURLの間のマッピングを維持するのは簡単なようです。
Googleがこの部分ハッシュからURLを特定できないのは本当ですか?
確かに私はセーフブラウジングについて話しているのであり、Chrome設定で有効にできるオプションの「セーフブラウジングの改善を助ける」ではありません。後者は可能です。プレーンURLをGoogleに送信します。
ハッシュを悪意のあるURLに属するものとしてマークするために、Googleは過去にそのURLにアクセスしたことが必要であることを決定し、悪意があった。
彼らが悪意のあるものとして分類したURLを保持することは、彼らにとってかなり合理的です。実際、それらに意味がある場合、蓄積するハッシュが多いほど、同じハッシュを持つURLが多くなります偶然。ハッシュリストが100万ハッシュになるまで成長したとします。その場合、どのURLでも、「悪意のある」ハッシュを持つ可能性は4,000分の1になります。 Googleは時々「悪意のある」サイトを再スキャンする必要があるか、たとえば40ビットのハッシュに変更する必要があります。どちらの場合も、元のURLが必要になります。
したがって、あなたにとって、3つの可能性があります。
URLの32ビットハッシュがGoogleのリストにありません。その場合、GoogleはアクセスしたURLについて何も知りません。
または、URLの32ビットハッシュがGoogleのリストに含まれています。その場合、GoogleはあなたのURLが悪意のあるURLと等しいと推測できます。
a。彼らは正しいかもしれません。
b。それらは間違っている可能性があり、URLはまったく異なるものになる可能性があります。
Googleは、(あなたが引用した説明に基づいて)2aと2bを区別する方法がありません。
要約すると、GoogleはあなたのURLについて直接何も知ることはできませんが、ハッシュをチェックして悪意があると思われる場合に限り、悪意のあるURLであると判断します。
...そこから、部分的なハッシュと完全なURLの間のマッピングを維持するのは簡単なようです。
あなたの主張は基本的にGoogleが悪意のあるURLのハッシュだけでなく関連するURLも保存することを気にかけていればハッシュからURLを再構築することが技術的に可能であるということです。これが可能であることを否定することはできませんが、同じように、意思決定を行う必要がないため、Googleが関連付けを実際のURLに破棄する可能性があります。
結局のところ、それは何を誰が信頼するかということになります。Googleが技術的に行うことができるすべてのことは、彼らがそうではないと主張しているとしても、技術的にも行われる可能性があると思う場合は、Googleを使用しない方がよいでしょう。これらはあなたについての親密な詳細を得るために使用できるので、製品。これはGoogleに固有のものではありませんが、OSベンダー、ISP(またはVPNプロバイダー)、ソーシャルネットワークなどにも影響します。
これらのベンダーやサービスプロバイダーが常に完全な真実を伝え、盲目的にそれらを信頼できることを意味しているわけではないことに注意してください。技術的に簡単に実行できるからといって、それが実際に実行されるという意味ではありません。