ゆきのぶ日記

■ mixi 足跡による個人追跡と，ブラウザのプロセス独立

mixi の足跡を使った個人追跡の話が書いてあった。

怖い話だけど，今の Web の仕組みを考えれば，当たり前にできてしまう。

解決策は「ログアウトをマメに」とか「Cookie を削除しよう」とか「ブラウザの拡張機能で防ごう」とか「信用できないサイトを見ない」とかあるのだけど，どうにもアドホックだ。そもそもの問題は，セッション Cookie や認証情報を，単一のブラウザのプロセスが管理している点にあると思う。そんな中で，プライベートなサイトとそうでないサイトを一緒に見ているのが良くない。

認証が必要な特定のサイトは，それぞれ独立したプロセス（ないしは，認証情報や Cookie の管理体系）で扱う事にすれば，こういう問題を，はじめから存在しないことにできる*1。

さらに考えを深めると，一つ一つのサイトを，一つ一つの仮想マシンの中で使用するのも良さそうだ。そうすれば，たとえゼロデイ攻撃を食らったって，仮想マシンを捨てれば済む*2。