YouTubeはどのようにして匿名ユーザーを識別できますか?
数日前にYouTubeを検索していたところ、「外れ値」のビデオが候補リストにポップアップ表示されていました。このビデオは、検索されているトピックとは関係ありませんが、2週間前に同じコンピューターから要求された以前の検索に基づいていました。
これは、フィンガープリンティングが困難な状況を考えると印象的でした。特に:
- 私もこのマシンの他の誰も、YouTubeや他のGoogleサービスにログインしていませんでした。
- ブラウザはデフォルトで「プライベート」モードで構成されているため、すべてのcookie/storage/websql/indexeddbファイルは、閉じられると削除されます。つまり、保存した情報はすべてオンラインでバックアップされました。
- IPは少なくとも1日に1回変更されるため、数百または数千のIPがこの地理的領域に関連付けられます。私はほぼ同じレベルの複数のユーザーのGmailのアカウントアクティビティページで観察できたものについてのみ、都市レベルにしかピン留めできないと確信しています。
- ブラウザは定期的に最新バージョンに更新されるため、ユーザーエージェントは一般的なものです。実際、これは100%検証されているわけではありませんが、彼らのプロファイリング手法がIPやユーザーエージェントの変更に何らかの形で耐性があると確信しています。
- インストールされているプラグインは通常のもので、非常に一般的です。
- インストールされているフォントと画面解像度についても同じです。
実際、ほとんど同じ設定(OS /ブラウザ/プラグイン)を備えたLANにより多くのコンピュータがあります。そして、それらは同じIPを共有します。彼らが2週間の期間にわたって正しいものを識別できたのは、どのように私を打ち負かしました。
コメントを読むことができないという犠牲を払って、google.comドメインのスクリプトを無効にするだけで解決しました。
私は panopticlickのサイト にアクセスしましたが、表に示されているものは、時間をかけて個々のユーザーを追跡する点に固有のものはありません。ただし、ページには、指紋が400万人の間で一意であると記載されています。これは、地理的領域の人口よりも多い数です(数百万のオーダー)。
質問:
- 大都市内のマシンを識別するのに十分ユニークなブラウザーの何かはありますか、それとも識別を可能にするいくつかの特性の組み合わせですか?
- Googleのフィンガープリント方法は知られていますか?スクリプトを分析した人はいますか?
これは ゾンビクッキー のように聞こえます。
Webサイトが状態を保存できる場所は多数あります。Cookie、Flashローカルストレージ、ETagなどです。Cookieをクリアしても、必ずしもすべての場所がクリアされるとは限りません。 Webサイトは、これらの他の場所に識別子を保存し、Cookieをクリアしてもユーザーを追跡できます。
ChromeシークレットモードやFirefoxのプライベートブラウジングなどの専用のプライベートブラウジングモードを使用している場合、ブラウザはこれを防ぐためにロックダウンされます。特に、ブラウザのプラグインが無効になり、Flashのローカルストレージが問題です。
標準のブラウジングモードを使用し、セッションの最後に履歴とCookieをクリアした場合、プライベートブラウジングモードが提供するロックダウンは取得されず、ゾンビCookieに対して脆弱です。