web-dev-qa-db-ja.com

YouTubeはどのようにして匿名ユーザーを識別できますか?

数日前にYouTubeを検索していたところ、「外れ値」のビデオが候補リストにポップアップ表示されていました。このビデオは、検索されているトピックとは関係ありませんが、2週間前に同じコンピューターから要求された以前の検索に基づいていました。

これは、フィンガープリンティングが困難な状況を考えると印象的でした。特に:

  • 私もこのマシンの他の誰も、YouTubeや他のGoogleサービスにログインしていませんでした。
  • ブラウザはデフォルトで「プライベート」モードで構成されているため、すべてのcookie/storage/websql/indexeddbファイルは、閉じられると削除されます。つまり、保存した情報はすべてオンラインでバックアップされました。
  • IPは少なくとも1日に1回変更されるため、数百または数千のIPがこの地理的領域に関連付けられます。私はほぼ同じレベルの複数のユーザーのGmailのアカウントアクティビティページで観察できたものについてのみ、都市レベルにしかピン留めできないと確信しています。
  • ブラウザは定期的に最新バージョンに更新されるため、ユーザーエージェントは一般的なものです。実際、これは100%検証されているわけではありませんが、彼らのプロファイリング手法がIPやユーザーエージェントの変更に何らかの形で耐性があると確信しています。
  • インストールされているプラ​​グインは通常のもので、非常に一般的です。
  • インストールされているフォントと画面解像度についても同じです。

実際、ほとんど同じ設定(OS /ブラウザ/プラグイン)を備えたLANにより多くのコンピュータがあります。そして、それらは同じIPを共有します。彼らが2週間の期間にわたって正しいものを識別できたのは、どのように私を打ち負かしました。

コメントを読むことができないという犠牲を払って、google.comドメインのスクリプトを無効にするだけで解決しました。

私は panopticlickのサイト にアクセスしましたが、表に示されているものは、時間をかけて個々のユーザーを追跡する点に固有のものはありません。ただし、ページには、指紋が400万人の間で一意であると記載されています。これは、地理的領域の人口よりも多い数です(数百万のオーダー)。

質問:

  1. 大都市内のマシンを識別するのに十分ユニークなブラウザーの何かはありますか、それとも識別を可能にするいくつかの特性の組み合わせですか?
  2. Googleのフィンガープリント方法は知られていますか?スクリプトを分析した人はいますか?
9
Mister Smith

これは ゾンビクッキー のように聞こえます。

Webサイトが状態を保存できる場所は多数あります。Cookie、Flashローカルストレージ、ETagなどです。Cookieをクリアしても、必ずしもすべての場所がクリアされるとは限りません。 Webサイトは、これらの他の場所に識別子を保存し、Cookieをクリアしてもユーザーを追跡できます。

ChromeシークレットモードやFirefoxのプライベートブラウジングなどの専用のプライベートブラウジングモードを使用している場合、ブラウザはこれを防ぐためにロックダウンされます。特に、ブラウザのプラグインが無効になり、Flashのローカルストレージが問題です。

標準のブラウジングモードを使用し、セッションの最後に履歴とCookieをクリアした場合、プライベートブラウジングモードが提供するロックダウンは取得されず、ゾンビCookieに対して脆弱です。

6
paj28