リプライがないようなので、場つなぎ的に......。
自分は一介のエンドユーザーなので専門的な知識はありませんが、エンドユーザーなりの一般教養として、Canvas Fingerprinting のことは耳にしています。
例示されている2つの参照先のうち、前者「セキュア Web サイト証明書」は、Firefox におけるサイト証明書のフィンガープリントについての記述が含まれていますが、これは後述する Canvas Fingerprinting とは無関係な話です。
サイト証明書のフィンガープリントは、文字通りその証明書の正当性・本人性を検証するために使われる「指紋」データのことなので、フィンガープリントの取り扱いを "防御"(=実行不可能に)してしまってはダメでしょう。
後者「Canvas Fingerprintを試してみる」は、新しいトラッキング(ユーザーの行動追跡)手法としての Canvas Fingerprinting について書かれています。とくに後半はサンプルコードを使ったテスト結果を示しつつ Canvas Fingerprinting の作用が説明されています。
こちらは、Canvas 機能(後述)の特性を利用してデバイス/ブラウザの固有性を識別するために使われるので、"Canvas を使った「指紋」" といった意味で呼ばれます。
質問者が「防御できていますか」と仰っているのは、トラッキング手法としての Canvas Fingerprinting だと思われますが、証明書のフィンガープリントを引き合いに出されている点から両者を混同なさっている可能性も考えられ、ご質問の趣旨がいまひとつハッキリしません。
さしあたり Canvas Fingerprinting に関していえば、従来からある Cookie などを使った手法とは異なり、Canvas + JavaScript で実現されているトラッキング手法だと自分は認識しています。
Firefox をはじめ HTML5 に対応しているブラウザ(デスクトップ版)であれば、Canvas という描画機能が実装され、有効になっています。同時に JavaScript も有効になっています(個々のブラウザで実装上多少の差異はありますが...)。
このような各ブラウザの標準状態であれば、Canvas Fingerprinting の手法を回避することができず、そのようなトラッキングがおこなわれていることをユーザー側で感知することもできないといわれています。
"実行を回避できない" 、"ユーザー側では感知できない" という点が、いかにも秘密裏に情報を盗んでいるかのような印象でクローズアップされていますが、ブラウザが持つ Canvas や JavaScript の機能を無効化すれば、Canvas Fingerprinting を防御(=実行不可能に)することは簡単です。
単純に "できる/できない" でいえば、Firefox でも他のブラウザでも、ブラウザ単体で Canvas Fingerprinting の防御は "できる" といえるでしょう。
しかし、Canvas や JavaScript は今日の Web において欠くことのできない重要な技術です。とくに JavaScript を無効化した状態では多くの Web サイトが正常に使えなくなるため、現実的な Canvas Fingerprinting 対策にはなりえません。
その意味では、Canvas や JavaScript の有効/無効の二択でしか対処できないブラウザ単体での Canvas Fingerprinting 対策は現実的でなく、ブラウザとしての基本機能を維持したまま Canvas Fingerprinting だけを選択的に防御することは、ブラウザ単体では "できない" あるいは "難しい" ということになろうかと思います。
で、Canvas Fingerprinting の手法が明らかになってすぐ、各ブラウザに対策用のアドオンが登場しました。
Firefox では CanvasBlocker が有名です。
https://addons.mozilla.org/ja/firefox/a ... asblocker/これは、HTML5 の Canvas 要素をブロックする機能を提供しています。ただ、機械的にすべての Canvas 要素をブロックしたのでは、問題がないサイトも利用できないケースが出てくるため、ホワイトリストとブラックリストでユーザーが調整するようになっています。
また、NoScript など既存のセキュリティ系アドオンを駆使して、JavaScript その他の要素の実行を仔細にコントロールすることで、Canvas Fingerprinting を回避するという方法もあるようです。
Canvas Fingerprinting のコードを提供してトラッキング情報を扱っている企業のサイトが現状で限られていることと、その占有率が高いことをふまえ、Adblock Plus など既存の広告ブロック系アドオンで、対象サイト(例:addthis.com など)をブロックすることにより、Canvas Fingerprinting による追跡を遮断する方法もあります。
このように、ブラウザとしての基本機能を維持しつつ(Canvas や JavaScript を使えるようにしたまま)、Canvas Fingerprinting によるトラッキングだけを回避したい場合、ブラウザ単体で対応するよりは拡張機能・プラグインといった付加機能で対策したほうが合理的かつ現実的というのが、各ブラウザにおける現状のようです。
Firefox に限っていえば、プライベートブラウジングモードがあり、トラッキング保護機能が強化されています。
Firefox 43.0 からは、Disconnect.me のブロックリストを利用したトラッキング保護がおこなわれています。詳細は下記をご参照ください。
(参考)・プライベートブラウジングのトラッキング保護機能 | Firefox ヘルプ
https://support.mozilla.org/ja/kb/track ... ection-pbm(参考)・Firefox がより強力なプライベートブラウジングの提供を開始 | Mozilla Japan ブログ
https://www.mozilla.jp/blog/entry/10511/(参考)・Firefox でプライベートブラウジング中のデータをよりコントロールできるようになります | Mozilla Japan ブログ
https://www.mozilla.jp/blog/entry/10518/Mozilla から公式に "Firefox 単体で Canvas Fingerprinting を防御できる" といったアナウンスがあるか否かは把握していませんが、Disconnect.me のトラッキングブロックは、Canvas Fingerprinting への対策(addthis.com などのブロック)を含んでいます。
Canvas Fingerprinting を含め全般的にトラッキングが気になるなら、プライベートブラウジング機能(とくに「厳重ブロック」)を使うことで、アドオンなしでも Firefox 単体でハイレベルなトラッキングブロックを期待できると思います。
ただし、Canvas Fingerprinting が登場したときもそうだったように、新しい手法が登場する可能性は常にありますし、既存のトラッキング手法が改良・変更され、既存のブロック手段が効かなくなることもありえます。
「firefoxは、2016年現在、アドオンなしで、fingerprintを防御できていますか?」を確認して何をなさりたいのかは存じませんが、あるトラッキング手法に対して、ある時点でブラウザ本体の設定や各種アドオンの利用で "防御" できたとしても、そのブロック手段が通じないトラッキング手法が出てくる可能性があることは、念頭に置いて考えたほうがいいように思います。
「これで安心」と思考を停止してしまうことから油断が生じ、その油断がセキュリティやプライバシーに関する "穴" を広げてしまうことは、これまでに起こった様ざまなセキュリティ事故が示してる教訓ですから......。
以上、自分が理解している観点で述べましたが、もし間違ったことを書いていたら遠慮なく訂正のツッコミをお願いいたします。正しい知識や情報を、みんなで共有できればと思います。
ログイン
ユーザー登録
FAQ
検索
