クッキーより怖いcanvas fingerprintingって何?迂回方法は?

140724trackingtool.jpg

問題:ホワイトハウスとYouPornが共通でもってるもの、なーんだ?

こたえ:canvas fingerprinting

「canvas fingerprinting(canvasの指紋採取)」というのは、最近大手サイトで採用が広まってる新手のオンライン追跡ツールのことです。クッキーと違って、ユーザー側からは探知もブロックもできないという、とんでもない野郎です。

まさにユーザーの知らぬ間にウェブの閲覧行動がサイトに筒抜け、というマジックミラー状態。その現状をProPublicaが記事にしていますよ。

「canvas fingerprinting」を最初に発見したのはプリンストン大学と英ルーヴェン大学の研究チームです。ここが発表した「The Web Never Forgets(ウェブは絶対忘れない)」というタイトルの論文によると、今や人気上位10万件のウェブサイトのうち5%はこの技術をユーザー行動追跡に採用しているのだそうですよ?

採用しているのは例えば、Whitehouse.gov、ペレズ・ヒルトン、PlentyOfFish、Rap Genius、CBS、YouPornなどなど。

どういう仕組みなの?

「canvas fingerprinting」という名前は、このツールがウェブブラウザに命じて隠れ画像を描かせるところからきています。レンダリングで描き出す画像はパソコン1台1台で微妙に異なるため、これが指紋、つまりその端末固有のイメージとなるんですね。

ブラウザ側が隠れ画像を描くと、その情報はウェブサイトに送信されます。するとサイト側では、そのユーザー固有の画像を使って、ある番号をそのコンピュータに割当て、ユーザーのプロファイリングを行い、それをターゲット広告を売る際に活用する…とまあ、こういう流れなわけですな。

canvas fingerprinting技術は2012年、UCサンディエゴの研究者が開発しました。後にAddThis社が開発したコードが、今回調べた事例の実に95%で使われていることもわかりました。

指紋採取が嫌な人はどうすれば?

Canvas fingerprintingは厄介です。AdBlock Plusでもブロックできないし、ウェブブラウザに標準でついてるプライバシー設定をいじっても迂回できないので、その薄気味悪さはクッキーの比じゃありません。

シークレットモードでやってもダメ。足がつきます。匿名モードのボタンを押してネットのポルノをウシシと楽しんでる人も…視聴履歴は筒抜けです。

先述のProPublicaには、回避する方法もいくつか出てます。

まず、Torネットワークを使ってオンラインに匿名でアクセスすれば、どんな種類の追跡でも回避できます。

Firefoxのウェブ拡張機能「NoScript」も追跡を交わせることは交わせる。ただし、Javaやら他のスクリプトをブロック解除するたびに、そこが安全なサイトかどうか確認しなきゃならないので、手間だし、100%の確証ももてません。

今現在このcanvas fingerprintingを採用しているサイトの一覧を晒してるサイトも早速出ました。これと照合すれば間違いないんですが、更新が追いつかないスピードで採用が進む懸念もありますよね。

この種の追跡を交わすようデザインされたブラウザ「Chameleon」をダウンロードする方法もあります。が、このブラウザはまだ地味な実験段階なので、Githubで何か設定できるぐらいのレベルの人でもない限り、一般ユーザーが楽に使いこなせるようなものではありません。

残るはブラウザからJavaScriptをまるごと消去するぐらいしか打つ手ナシ。でもそれやっちゃうと、使いものにならないサイトも多いので、これはあんまり薦めたくないオプションですわなあ…。

そんなわけで、「追跡されるのはしょうがない。だが、その情報を広告ターゲティングとかプロファイリングに使われるのは勘弁だ」という人は、追跡やってる会社のサイトで直接オプトアウトする手もあります。やるならAddThisがてっとり早いでしょう。既知のfingerprintingは粗方ここのコード使ってるので。

迂回がこれだけ手間で不完全だということ自体、この機能がどういうものかを如実に物語ってる気がしますね。もっと有効な対処が出るまでは、プライバシーを犯すサイトの一覧でも睨んでることにしましょ~。

source: ProPublica

Kate Knibbs - Gizmodo US[原文

(satomi)