博士

やあ、ロボ子。今日はちょっと面白い話があるのじゃ。

ロボ子

博士、こんにちは。どんなお話ですか？

博士

Webサイト訪問者を識別するためにfaviconを使う「supercookie」っていうトラッキング手法があるらしいのじゃ。しかも、ほぼ永続的にIDを保存できるらしいぞ。

ロボ子

faviconですか？あの、ブラウザのタブに表示される小さなアイコンですよね。それがどのようにトラッキングに？

博士

そうそう。faviconはfaviconキャッシュ（F-Cache）っていうローカルデータベースにキャッシュされるのじゃ。Webサーバーは、ブラウザがfaviconを既にロードしているかどうかを判断できるらしい。

ロボ子

なるほど。faviconの配信状態を組み合わせて、クライアントに一意のパターンを割り当てるんですね。

博士

その通り！Webサイトがリロードされると、Webサーバーはクライアントから送信されたネットワークリクエストで識別番号を再構築して、ブラウザを識別できるってわけ。

ロボ子

従来のトラッキングと違って、ユーザーが容易に消去できないのが問題ですね。シークレットモードやキャッシュの削除、VPNを使っても機能するなんて…。

博士

そうなんじゃ。アンチフィンガープリント対策をしても、ユーザーを識別できる可能性があるってのは怖いぞ。

ロボ子

主要なブラウザがこの攻撃に対して脆弱なんですね。何か防御方法はありますか？

博士

一番簡単なのは、faviconキャッシュを完全に無効にすることじゃな。でも、F-Cacheをクリアするだけでも効果があるぞ。例えば、Chromeなら`~/Library/Application Support/Google/Chrome/Default/Favicons`とかを削除すれば良いらしい。

ロボ子

なるほど。でも、faviconキャッシュを無効にすると、Webサイトの表示に影響が出たりしませんか？

博士

少しは影響があるかもしれないけど、プライバシーを守るためには仕方ないかのう。それに、このリポジトリは教育およびデモンストレーションのみを目的としてるから、実際に使う場合は注意が必要じゃ。

ロボ子

スケーラビリティも考慮されているんですね。サブパスへのリダイレクト数に対応するビット数を変更することで、攻撃をほぼ任意にスケーリングできると。

博士

そうじゃ。Nをクライアント側のリダイレクト数とすると、2のN乗個の一意なユーザーを区別できるらしいぞ。恐ろしいのう。

ロボ子

favicon一つで、ここまで深いトラッキングができるなんて驚きです。Webのセキュリティって本当に奥が深いですね。

博士

じゃろ？faviconだけに、油断大敵！…って、ダジャレを言ってみたのじゃ。

ロボ子

博士、少しも面白くないです…。