フィンガープリンティングについて  フィンガープリンティングとは、ネットでサイトにアクセスした際等に、ブラウザ等から伝わる情報を収集・記録し、個人を特定する技術の事。  2013年春現在、これを防ぐ方法は無いとされている。(あるいは、隠されているのか?(注1))  下記は、フランスのinriaというグループ(メディア? 企業?)が、2013年3月から行っていた調査において、ブラウザのアドオンから収集していた情報。「フィンガープリントを止めよう」というプロジェクトの一環らしい?  ただし、この inria が良い者か?悪者か? 私には全く分からない。 以下、収集される情報 HTTP data UserAgent IP address HTTP headers sent to the server JavaScript data UserAgent reported by navigator object Browser plugin details Date and time information Navigator language Screen resolution Color and pixel depth System fonts Cookie enabled Java enabled DoNotTrack enabled Mime types Math constants Flash data IP as reported by flash to the server (it ignores proxy settings). If accessibility is enabled. Vidio driver compatibily with Flash Player. Locales avialable in the system. Cameras information including their name, bandwidth. Microphones information including their codecs, gain, silence level, noise suppression level, and more. If DRM is supported. If there is an accelerometer enabled. If Flash’s security settings are working in stricter (aka “exact”) mode. If there are virtual and physical keyboards. The default mouse cursor mode. If Flash context menu APIs are available. The list of fonts as reported by Flash. If Flash Local Shared Storage is available. Information about GPU video acceleration capabilities. If multitouch is enabled, how much touchpoints and which gestures does it support. CPU architecture. Flash player’s version, manufacturer and debugging options information. The system language as reported by Flash. The OS and its version as reported by Flash. The screen size, resoluction, color depth and pixel density as reported by Flash. Video and audio codecs information.  つまり、普通にブラウザでサイトに繋ぐだけで、サイト側はこれだけの情報を収集可能であるということ。サイト側では、この差異を記録して、比較し、個人を特定し、ネット上での行動を逐一追跡する。ただサイトにアクセスするだけで、個人を特定されてしまう。  以下はFirefoxが保存したり/サーバーに送る事がある、個別識別や追跡に使われやすい情報。(オプションからGUIで個別に止められるといいのにネ)  keywords lookup, auto suggest in the search bar  form filling  google safebrowsing blacklist  search engines updating  reporting of crash URL  geolocation  Add-ons cache  IndexedDB client-side storage  pings sending  google spdy protocol  referrer sending  WebGL, WebSocket and WebRTC  passwords saving  TLS session tickets  telemetry and datareporting upload  system battery charge level and status  system connection type  device orientation  DNS prefetch ---------------------------- 参考:  下記の有名セキュリティチェックサイトにアクセスすれば、貴方のブラウザ が、どれだけの情報を吐き出しているか(吐き出していないか。吐き出さない のも、個別特定に好都合である)が分かる。ページの左側に並ぶリンクのそれ ぞれの項目をクリックして見れば良い。 http://browserspy.dk/  他のブラウザ情報表示サイト http://www.whatsmyip.org/more-info-about-you/ http://www.syscape.com/showbrow.aspx?bhjs=0  これらのサイトが良い者か?悪者か? 私には全く分からないが。ほら、 筒抜けであるな(^^;)。 参考: http://techracho.bpsinc.jp/morimorihoge/2014_07_29/18555 『Canvas Fingerprintingはクッキーより怖いのか技術的に調べてみた』 ----------------------------  このフィンガープリンティング技術を利用すれば(現に殆どのネット企業がこれを利用している)、例えばGoogle何たら機能を使っているあらゆるサイトから、追跡が可能となるワケである。ツールバーからも情報収集される。  よくこんな情報だけでは何も分からないという人が居るが、ネットショップで買い物をすれば、確実にショップに貴方の個人情報が伝わるわけで、例えば、楽天やAmazonやGoogleといった貴方の個人情報を知っている企業が主催、提携するサイトで同じブラウザを使えば、関連する全てのサイトで、貴方個人を特定して追跡できるわけである。今やGoogleに関わらないサイトやブラウザの方が少数派であるという事実を考慮すれば、Googleがその気なら・・・  ネットに繋いでいる間中、個人を特定して追跡されるって事だよネ。  「GoogleやAmazonは超偉大な大企業だから、そんなチンケなことはしない!」ですか? GoogleやAmazonは、「アクセスログを取っていて司法当局からの要請にはログを渡すと宣言している国内のフリーのVPNサーバー」を排除する(排除してきた)。彼らは絶対に“どの機器が、どこから繋いだか、どのページを見たか”知りたいわけ(^^;)。そして“どの機器が、どこから繋いだか、どのページを見たか、絶対に知りたい彼ら”は、その機器を所有している貴方の個人情報と、趣味と嗜好と、購入物を知っている。  (Adobeもネット追跡業をやっている。そりゃ当人達は絶対否定するだろうけれど、国家安全保障だとか言いつくろって↑彼ら米国企業が裏で全部繋がっているとしたら、もうほとんどどんなサイトでもスクリプトをオンすりゃ全員グルの追跡に一役買うわけであるな)  HTTP data の項目が少ないが、その3つの内容だけでも、ほぼ個別の特定は可能。adobe Flash や JAVA Script を使用すれば、100%個別特定・追跡が可能である他に、ブラウザの閲覧履歴やクリップボード等の情報も収集され兼ねない(注2)。ブラウザのプラグインからは、簡単にそれが出来るので、個人情報を収集されても構わないと貴方が信じる相手以外のプラグインやツールバーは、使わない方が良い。「タダほど高い“ネット企業がくれる物”は無い」が基本。(ウソだという方は、ツールバーのインストールの際に承諾させられる文章をよくお読み下さい) ---------------------------- 参考: 「警告:ブラウザ拡張機能は貴方をスパイしている」 http://www.howtogeek.com/180175/warning-your-browser-extensions-are-spying-on-you/ ----------------------------  IPアドレスを隠す「プロキシサーバ」を通してサイトにアクセスしても、IPアドレスという重要では有るが、何十あるチェック項目の1つが変わるだけであるから、個別特定率の低下は少なく、殆ど変わりなく特定されてしまうし、誰が何の目的で公開しているのか? 得体の知れないフリーの「プロキシサーバ」を使えば、邪悪な人達に直接貴方の行動を教える危険性も増す。もちろん、HTML文章を読むというブラウザの基本機能以外の拡張機能を使えば、高率でIPアドレスを特定され、「プロキシサーバ」を使う効果は、貴方に対する危険性を増した事だけになってしまう。  フリーの「VPN」も、匿名「プロキシサーバ」と同じ問題点を持っている。VPNサーバを公開している人・業者が何者で何の目的なのか、裏で何をしているのか全く分からない(注3)。フリーのVPNを使用して正しく接続したとしても、もしISPの中の人と、貴方がよく行くサイトの管理者がグルなら、個別の接続のタイミングで貴方の通信を特定されてしまう(注4)。サーバーが米国内に在り、かつ中国で制限しているコンテンツにアクセス出来たとしても、実は中国系の囮サーバーかもしれないし、犯罪組織のハニーポットかもしれないし、NSAかもしれないし、東京政府かもしれないし、他人をつけ回して喜ぶ異常者かもしれない。世界一普及している機能限定版がフリーのVPNクライアントソフトには、かつてキーロガーもどきが仕込まれていた。また「毎週コイツの通信ログを送ってくれたら、毎回千円振込む」という程度の取引でも、貴方の通信ログをキチガイさんに送るサーバー管理者も居るだろう。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−  参考:筑波大学と東京政府機関と企業による、フリーVPN用設定ソフト   http://ja.softether.org/  この東京と韓国が噛む↑ソフトが実際にどんな事をしているのか、裏の意図が  在るのか(例えば反東京政府者ホイホイの様な(^^;))、私には分からない。  実際に使う場合は↓ここを見ると便利   http://www.vpngate.net/ja/ 日本語   http://www.vpngate.net/ English   http://ja.softether.org/9-about/SoftEther_VPN_%E3%81%A8_VPN_Gate_%E3%81%A8%E3%81%AE%E9%81%95%E3%81%84  ソフトを使うのが嫌なら↓の通りすれば良いがL2TP/IPsecのサーバは少ない   http://www.vpngate.net/ja/howto_l2tp.aspx  フリーVPNを使うと、最初のISP機器より向こう側の第3者/接続先では  付け回したり通信を覗いたりし辛くなる。ただし上記の通り、VPNサーバの  管理者がその気なら、付け回す/覗く/ログを取る/通信内容を公開できるし  暗号化やり取りへの中間者なりすまし攻撃に対策されているか不明である。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−  もし貴方がNSAの幹部で、仮想敵国からの通信を傍受したいとすれば、ちょいとTORやフリーVPNのサーバーを立てるだけで、“暗号化されているから安心”と信じている向こうから勝手に“秘密の情報”を送ってくれるのである。反ワレワレホイホイである(何?)。もう貴方、絶対に立てまくるでしょう(^^;)?  「私は日本国内に住む日本人だからアメリカの対外諜報組織=NSAやCIA等が何をしようが関係ない」と言っている方は、根本的に誤解している。2013年に一般の米国人がNSAの「PRISM」作戦に対して大騒ぎしたのは“米国民である自分達すら監視対象”になっていると知ったからで、つまり、海外から米国への“米国永住権の有る米国内在住者”以外同士の通信や、米国内を通る海外各国間同士の通信は、元から物凄く“米国諜報機関の監視対象”なのである、日本国民の貴方や日本企業の貴社こそNSAやCIAのメインターゲットなのだ! イッヒッヒ(^^;)。  話を戻して、何たらメディアプレイヤー等で、音楽やら映像やらコーディックやら字幕を検索したりすると、上記と同じ位、色々な情報を収集されてしまう事が有る。ネット上のツールで自分のパソコンを検索させたり、何らかのチェックをさせたりすると、やっぱり色々な情報を収集される。  普通にリンクをクリックすれば可能な事を、わざわざスクリプトを使わせるサイトは、貴方の使用機器の「個別特定情報」を収集していると見れば良い。大手サイトなどは「収集してるけど、別に使わネーヨ」と言っているのだが、「使わネー」のに何で収集するんだ? サーバー資源の超ムダじゃん。  サイトに対して本当に悪さをする人間は、自宅や職場や自分所有だと分かる機器からはアクセスしないので、「個人を延々と追跡・収集・記録・保存する」事がサイトを守るために致し方ないと言う理屈は、殆どの場合、個人情報を集めて利用したい企業のエクスキューズである。  そして、その企業が集めた情報を扱う権限を持つ人の中に、一人のキチガイさんが居れば、貴方の行動はアングラネット上のネタや玩具にされるだろうし、金銭的、物理的、肉体的な実害に発展するかもしれない。個人情報収集部門全部がキチガイさんだとか、キチガイさんが頭目のネット企業もあるかもしれない。特定の政治がらみの宗教団体が、ネット企業に居る信者の各職業上の立場や特権を利用して、信者以外の無関係の個人を監視しているという話も絶えない。  大企業も結局個人の集合に過ぎないのに、個人がやればストーカー。大企業や政府がやれば正統な行為、いや公共の利益だ!という欺瞞がまかり通っているのがネットの世界である。  ネット企業は、四六時中、貴方個人を特定して追跡し、貴方の情報を収集、記録保存、利用している。ということだけは、忘れないように。 参考例:楽天がカード会員に、楽天が事業に利用しても良いことを同意させる、楽天の主張する「個人情報」と、それを楽天が営利目的で利用する事業  ・楽天が利用する事を明言している個人情報   氏名   年齢   性別   生年月日   住所   電話番号   携帯電話番号   メールアドレス   勤務先(お勤め先内容)   資産   収入   負債   家族構成   住居状況   運転免許証保有の有無   映像・音声   その他会員が申告した情報及びその変更情報  ・楽天が個人情報を利用する事を明言している事業   クレジットカード事業   ローンカード事業   融資事業(証書貸付事業及び有担保ローン事業を含む。)   信用保証事業(銀行提携保証事業及び生保提携保証事業を含む。)   個別クレジット事業   プリペイドカード事業   リース事業   広告事業   決済代行事業   保険事業   タクシーチケット事業   集金代行事業   その他当社が行うことができる事業(今後取り扱う業務を含む)  あらまあ、貴方の全て、ですネ(^^;) 注1.下の注3と4を含めて考えるに、キャッシュを使用せず、同時に複数    のフリーVPNサーバーと接続をキープできて、サイト毎(あるいは    ページ毎)に、完全にコネクションを切ってから別のVPNサーバー    を通して接続し、一々プロファイルを変えるブラウザがあれば(VP    Nサーバー管理者も含めて)かなり追跡をかわせるかも?     しかもVPNサーバーに記録が残るので、犯罪行為には使いにくく    東京政府や大企業に因縁つけられにくいでしょ? なんかNSAとか    とっくに作って使ってそう(^^;)     学校や企業で外部とプロキシ通す所だと、なりりすまし的な方法で    暗号化通信やメールを覗いてる(普通にそういうサーバー売ってるよ    ネ)ところが多いから意味無いかもしれないけれど。     プロバがウイルスチェックするから安心と謳うプロキシも、通信を    解析しているわけで、仮に接続先にはIPアドレスが漏れなくても、    プロバにとっては“覗き見用サーバー”と同様に使えるだろうし。     とはいえ、そういう貴方に対して直に繋がる連中以外には、かなり    の追跡防止になると思うなぁ。あれば 注2.現在の報告されたウィルス感染の割合を見ると、OSの脆弱性を利用    は1割あるなしで、ブラウザのJAVA、スクリプト、FLASHを    通して感染する場合が大半だそう(後はメール)。ともかくブラウザ    の拡張機能を悪用されると、PC覗かれる・操作される・壊される、    とロクなことが無いので、通常は切っておく方が無難だと思う。 注3.何者か?何の目的か?が公開されていたとしても、裏で何をしている    かは、犯罪が発覚して告発でもされない限り相変わらず分からない。    (2014年2月現在)試しに2〜3日の間、フリーで公開している    VPNサーバーをWHOISで調べたら、マイクロソフトやGoog    leやAmazonのサーバーが幾つも有った。彼らはフリーVPN    を排除してるのに、なぜ(^^;)?     一例:2014年2月に鯖立ててた。まだ他にもあった。       157.55.235.145 Microsoft Corporation USA       54.199.200.249 Amazon.com Inc. Japan       203.216.227.245 YAHOO Yahoo Japan Corporation       173.194.73.27 GOOGLE - Google Inc. US    ↓業者の広告だけど、有料VPNでも怪しいと言っている    http://www.interlink.or.jp/aff/ppc/myip_proxy.html?bp=5&ad=ppc_adwords_myip 注4.仮に、ISPの管理者と楽天の管理者がグルで貴方を見張るとする。    何時何分何秒にVPN−Aに繋いだと同時に、楽天にそのVPN−A    からページの閲覧があった。これを数ページ程度行えば、殆ど貴方の    通信だと推定できてしまう。Googleやamazonや楽天なら    貴方の趣味や閲覧パターンを既に知っているし、ブラウザが吐き出す    情報が同じなら、上記フィンガープリンティングで即バレてしまう。    ログを突き合わすだけで済む。あくまで“たとえ”(^^;)    なお、貴方は地元の契約しているISPと通信しているつもりでも、    日本のネットは、地元←→地元の通信ですら、東京の幹線業者を介し    ている場合が多く、そこからも普通に追跡+覗き見できる。