2

Githubで Evercookie プロジェクトを発見しました。

Evercookie は、ブラウザーで非常に永続的な Cookie を生成する Javascript API です。その目標は、クライアントが標準の Cookie、Flash Cookie (ローカル共有オブジェクトまたは LSO) などを削除した後でも、クライアントを識別することです。

これは、Cookie データを可能な限り多くのブラウザ ストレージ メカニズムに保存することによって実現されます。いずれかのストレージ メカニズムから Cookie データが削除された場合、evercookie は、1 つのメカニズムがまだ無傷である限り、各メカニズムでそのデータを積極的に再作成します。

LSO メカニズムが利用可能な場合、Evercookie は同じクライアント マシン上の異なるブラウザ間で Cookie を伝播することさえあります!

このサンプルページでオンラインでテストしまし。「Create evercookie」ボタンをクリックして、すべての閲覧データを削除し、ページを更新しました。そこに閲覧データの削除で削除されたCookieが再び戻ってきました。

このことでブラウザのセキュリティはどこにありますか? これは安全ですか?

4

3 に答える 3

1

Evercookie を作成するために必要なものは次のとおりです。

  • JavaScript (または Flash やおそらく Java などの他のアクティブ コンテンツ) を実行する機能。と
  • Cookie データのコピーが保存されているさまざまなクライアント側の場所にアクセスする機能。

すべてのストレージ メカニズムへのアクセスを完全に無効にすると、それらのほとんどが役に立たなくなります。ほとんどの場合、それらが存在する理由は、スクリプトがそれらを使用できるようにすることです。したがって、リモートで実行可能な唯一のオプションは、ドメインごとにアクセスを制限することです。ただし、そのような粒度を許可するブラウザー (存在する場合) はわかりません。ほとんどの場合、特定のドメインから JS 全体を許可またはブロックできますが、特定のドメインのスクリプトで使用できる機能については...? 少なくとも、Chrome 26 または IE 10 ではその機能は見られません。

于 2013-05-10T11:48:24.987 に答える