Mozilla Foundation セキュリティアドバイザリ 2008-63

タイトル: XUL の persist 属性を通じたユーザトラッキング
重要度:
公開日: 2008/12/16
報告者: Hish
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 3.0.5

概要

XUL 要素の persist 属性を利用して、Web サイトが Cookie のような情報をユーザのコンピュータ上に保存し、後で読み取れることが、セキュリティ研究者の Hish 氏によって報告されました。これは、初期設定とは異なる Cookie 設定を行っていて、自分のコンピュータ上に Cookie が保存されるのを避けたいユーザにとって、プライバシー問題となります。Cookie を無効にした状態でも、この問題を利用すれば、Web サイトが永続的なデータをユーザのブラウザに書き込み、ブラウジングセッションを越えてそのユーザをトラッキングすることが可能でした。さらに、この問題は、Cookie のサイズや数について通常課されている制限を Web サイトが回避することを許容するものでした。

参考資料