論文の概要: COOKIEGUARD: Characterizing and Isolating the First-Party Cookie Jar

• arxiv url: http://arxiv.org/abs/2406.05310v2
• Date: Wed, 21 May 2025 23:57:45 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-05-23 17:12:47.607792
• Title: COOKIEGUARD: Characterizing and Isolating the First-Party Cookie Jar
• Title（参考訳）: COOKIEGUARD: ファーストパーティクッキージャーのキャラクタリゼーションとアイソレーション
• Authors: Pouneh Nikkhah Bahrami, Aurore Fass, Zubair Shafiq,
• Abstract要約: サードパーティ製スクリプトは、サードパーティ製スクリプトを含むサードパーティ製のクッキーにアクセスし、公開することができる。 2万のウェブサイトにまたがる第1のクッキーへのクロスドメインアクセスの大規模な測定を行った。 ブラウザベースの実行時実行機構であるCookieGuardを提案する。
• 参考スコア（独自算出の注目度）: 14.314375420700504
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: As third-party cookies are being phased out or restricted by major browsers, first-party cookies are increasingly repurposed for tracking. Prior work has shown that third-party scripts embedded in the main frame can access and exfiltrate first-party cookies, including those set by other third-party scripts. However, existing browser security mechanisms, such as the Same-Origin Policy, Content Security Policy, and third-party storage partitioning, do not prevent this type of cross-domain interaction within the main frame. While recent studies have begun to highlight this issue, there remains a lack of comprehensive measurement and practical defenses. In this work, we conduct the first large-scale measurement of cross-domain access to first-party cookies across 20,000 websites. We find that 56 percent of websites include third-party scripts that exfiltrate cookies they did not set, and 32 percent allow unauthorized overwriting or deletion, revealing significant confidentiality and integrity risks. To mitigate this, we propose CookieGuard, a browser-based runtime enforcement mechanism that isolates first-party cookies on a per-script-origin basis. CookieGuard blocks all unauthorized cross-domain cookie operations while preserving site functionality in most cases, with Single Sign-On disruption observed on 11 percent of sites. Our results expose critical flaws in current browser models and offer a deployable path toward stronger cookie isolation.
• Abstract（参考訳）: サードパーティのクッキーは、メジャーなブラウザによって段階的に廃止されるか、制限されるため、サードパーティのクッキーは追跡のために徐々に再利用されている。 以前の研究によると、メインフレームに埋め込まれたサードパーティ製スクリプトは、他のサードパーティ製スクリプトを含むサードパーティ製のクッキーにアクセスし、公開することができる。 しかし、同じ-Originポリシー、Content Security Policy、サードパーティストレージパーティショニングといった既存のブラウザセキュリティメカニズムは、このタイプのドメイン間の相互作用をメインフレーム内で防ぐことはできない。 近年の研究ではこの問題に注目が集まっているが、総合的な測定と実践的な防御の欠如が残っている。 本研究では,2万のWebサイトにわたるサードパーティ製クッキーへのクロスドメインアクセスを,初めて大規模に測定した。 ウェブサイトの56%には、設定していないクッキーを流出させるサードパーティ製スクリプトが含まれており、32%は不正な上書きや削除を許可しており、重大な機密性や整合性のリスクが明らかになっている。 これを軽減するために、ブラウザベースのランタイム実行機構であるCookieGuardを提案する。 CookieGuardは、サイト機能を維持しながら、無許可のクロスドメインクッキー操作をすべてブロックする。 我々の結果は、現在のブラウザモデルに重大な欠陥を露呈し、より強力なクッキー分離へのデプロイ可能なパスを提供します。

関連論文リスト

• OpenAgentSafety: A Comprehensive Framework for Evaluating Real-World AI Agent Safety [58.201189860217724]
  OpenAgentSafetyは,8つの危機リスクカテゴリにまたがるエージェントの動作を評価する包括的なフレームワークである。 従来の作業とは異なり、我々のフレームワークは、Webブラウザ、コード実行環境、ファイルシステム、bashシェル、メッセージングプラットフォームなど、実際のツールと対話するエージェントを評価します。 ルールベースの分析とLSM-as-judgeアセスメントを組み合わせることで、過度な行動と微妙な不安全行動の両方を検出する。
  論文  参考訳（メタデータ） (2025-07-08T16:18:54Z)
• Navigating Cookie Consent Violations Across the Globe [20.150326701271364]
  本研究では,クッキーバナーの動作を検出し解析するConsentChkというエンドツーエンドシステムを提案する。 世界中の8つの英語圏を調査し,世界中の1,793のウェブサイトでクッキーバナーの挙動を分析した。 我々の評価によると、同意管理プラットフォーム(CMP)とWebサイト開発者は、地域プライバシー法の解釈に基づいてクッキーバナーの設定をカスタマイズする可能性が高い。
  論文  参考訳（メタデータ） (2025-06-10T17:15:12Z)
• VPI-Bench: Visual Prompt Injection Attacks for Computer-Use Agents [74.6761188527948]
  完全なシステムアクセスを持つコンピュータ利用エージェント(CUA)は、セキュリティとプライバシの重大なリスクを負う。 我々は、悪意のある命令がレンダリングされたユーザーインターフェイスに視覚的に埋め込まれた視覚的プロンプトインジェクション(VPI)攻撃について検討する。 実験により,現在のCUAとBUAは,それぞれのプラットフォーム上で最大51%,100%の速度で騙すことができることがわかった。
  論文  参考訳（メタデータ） (2025-06-03T05:21:50Z)
• AutoAdvExBench: Benchmarking autonomous exploitation of adversarial example defenses [66.87883360545361]
  AutoAdvExBenchは、大規模言語モデル(LLM)が敵の例に対する防衛を自律的に活用できるかどうかを評価するためのベンチマークである。 我々は,CTF様(ホームワークエクササイズ)の75%を破壊できる強力なエージェントを設計する。 このエージェントは、我々のベンチマークの現実世界の防御の13%でしか成功できないことを示し、実際の"コードを攻撃することの難しさとCTFライクなコードとの間に大きなギャップがあることを示します。
  論文  参考訳（メタデータ） (2025-03-03T18:39:48Z)
• PC-Agent: A Hierarchical Multi-Agent Collaboration Framework for Complex Task Automation on PC [98.82146219495792]
  本稿では,PC-Agentという階層型エージェントフレームワークを提案する。 認識の観点からは,現在のMLLMのスクリーンショットコンテンツに対する認識能力の不十分さを克服するために,アクティブ知覚モジュール(APM)を考案する。 意思決定の観点から、複雑なユーザ命令や相互依存サブタスクをより効果的に扱うために、階層的なマルチエージェント協調アーキテクチャを提案する。
  論文  参考訳（メタデータ） (2025-02-20T05:41:55Z)
• On the Differential Privacy and Interactivity of Privacy Sandbox Reports [78.85958224681858]
  GoogleのPrivacy Sandboxイニシアチブには、プライバシ保護広告機能を実現するAPIが含まれている。 これらのAPIのプライバシを分析するための抽象モデルを提供し、それらが正式なDP保証を満たすことを示す。
  論文  参考訳（メタデータ） (2024-12-22T08:22:57Z)
• Red Pill and Blue Pill: Controllable Website Fingerprinting Defense via Dynamic Backdoor Learning [93.44927301021688]
  Webサイト指紋(WF)攻撃は、訪問するWebページを特定するために、ユーザーのコミュニケーションを秘密裏に監視する。 既存のWFディフェンスは、ユニークなトラフィックパターンを乱すことで攻撃者の精度を低下させようとする。 バックドア学習に基づく新しい防衛視点である制御可能なWebサイトフィンガープリントディフェンス(CWFD)を紹介した。
  論文  参考訳（メタデータ） (2024-12-16T06:12:56Z)
• Differential Privacy on Trust Graphs [54.55190841518906]
  差分プライバシー(DP)は、各当事者がそのデータで他の当事者の(既知の)サブセットのみを信頼するマルチパーティ環境で研究する。 我々は、DPのローカルモデルよりもはるかに優れたプライバシーとユーティリティのトレードオフを持つ集約のためのDPアルゴリズムを提供する。
  論文  参考訳（メタデータ） (2024-10-15T20:31:04Z)
• Browsing without Third-Party Cookies: What Do You See? [5.181502547611254]
  サードパーティのWebクッキーは、プライバシーを侵害する行動追跡によく使用される。 サードパーティのクッキーレスブラウジングの効果を理解するために、私たちはTrancoのトップ1万のウェブサイトをクロールして測定しました。 我々は,サードパーティ製クッキーを除去するフレームワークを開発し,これらのクッキーを使用せずにWebページの外観の違いを分析する。
  論文  参考訳（メタデータ） (2024-10-14T17:47:43Z)
• To Be or Not to Be (in the EU): Measurement of Discrepancies Presented in Cookie Paywalls (LONG) [0.0]
  本研究では,1)クライアントブラウザ,2)デバイスタイプ(デスクトップまたはモバイル),3)クッキーペイウォールの存在と動作に対する地理的な位置の影響について検討する。 クッキーペイウォールを提示する804のWebサイトで構成されたデータセット上の自動クローラを用いて,クッキーペイウォールの存在がユーザの地理的な位置に影響されていることを確認した。
  論文  参考訳（メタデータ） (2024-10-09T14:18:12Z)
• Dissecting Adversarial Robustness of Multimodal LM Agents [70.2077308846307]
  我々は、VisualWebArena上に現実的な脅威モデルを用いて、200の敵タスクと評価スクリプトを手動で作成する。 我々は,クロボックスフロンティアLMを用いた最新のエージェントを,リフレクションやツリーサーチを行うエージェントを含む,壊すことに成功している。 AREを使用して、新しいコンポーネントの追加に伴うロバスト性の変化を厳格に評価しています。
  論文  参考訳（メタデータ） (2024-06-18T17:32:48Z)
• A first look into Utiq: Next-generation cookies at the ISP level [3.434440572295625]
  サードパーティ製のクッキーは長年にわたって広く使われてきたが、ユーザーのプライバシーに影響を及ぼす可能性があると批判されている。 多くのブラウザでは、ユーザーがサードパーティーのクッキーをブロックできるため、広告主にとっての有用性が制限される。 UtiqはISPが直接行う新しいユーザー追跡方式で、サードパーティ製のクッキーを置き換える。
  論文  参考訳（メタデータ） (2024-05-15T09:23:59Z)
• Towards Browser Controls to Protect Cookies from Malicious Extensions [5.445001663133085]
  クッキーは、それらを盗み、ユーザーアカウントに不正アクセスしようとする攻撃の貴重な標的だ。 拡張は、複数の特権APIにアクセスするサードパーティのHTML/JavaScriptアドオンであり、一度に複数のWebサイトで実行できる。 悪質なエクステンションからクッキーを保護する2つの新しいクッキー属性に基づいたブラウザ制御を提案する。
  論文  参考訳（メタデータ） (2024-05-10T22:04:56Z)
• Protecting Copyrighted Material with Unique Identifiers in Large Language Model Training [55.321010757641524]
  大きな言語モデル(LLM)のトレーニングに関する主要な公的な懸念は、著作権のあるオンラインテキストを悪用するかどうかである。 事前の会員推定法は、大量のトレーニングデータに類似した例によって誤解されることがある。 本稿では,Webユーザとコンテンツプラットフォームがtextbftextitunique 識別子を使用することを推奨する代替のtextitinsert-and-detection 手法を提案する。
  論文  参考訳（メタデータ） (2024-03-23T06:36:32Z)
• A Quantitative Information Flow Analysis of the Topics API [0.34952465649465553]
  トピックスAPIが導入した個々のインターネットユーザに対する再識別リスクを,情報と意思決定の枠組みの観点から分析する。 私たちのモデルは、APIのプライバシとユーティリティの両方の側面とトレードオフに関する理論的分析を可能にし、Topics APIがサードパーティのクッキーよりも優れたプライバシを持つことを示す。
  論文  参考訳（メタデータ） (2023-09-26T08:14:37Z)
• Tiered Reinforcement Learning: Pessimism in the Face of Uncertainty and Constant Regret [144.06550139857296]
  実世界のユーザインタラクションアプリケーションの階層構造をキャプチャする新しい学習フレームワークを提案する。 同時に、$pitextO$と$pitextE$の2つのポリシーを保持します。 Pessimistic Value It を $pitextE$ の生成アルゴリズムとして選択すれば,リスク回避ユーザに対して常に後悔の念を抱くことができることを示す。
  論文  参考訳（メタデータ） (2022-05-25T00:03:25Z)
• Cross-lingual Adaptation for Recipe Retrieval with Mixup [56.79360103639741]
  近年,大規模なペアリングデータの提供により,クロスモーダルなレシピ検索が研究の注目を集めている。 本稿では,ソース領域とターゲット領域のレシピが異なる言語で作成される画像からレシピ検索のための教師なし領域適応について検討する。 2つの領域間の移動可能な埋め込み特徴を学習するために,新しいレシピ・ミックスアップ法を提案する。
  論文  参考訳（メタデータ） (2022-05-08T15:04:39Z)
• One-shot Key Information Extraction from Document with Deep Partial Graph Matching [60.48651298832829]
  ドキュメントからキー情報抽出(KIE)は、多くの産業シナリオにおいて効率、生産性、セキュリティを改善する。 KIEタスクのための既存の教師付き学習手法は、多数のラベル付きサンプルを供給し、異なる種類の文書の別々のモデルを学ぶ必要がある。 部分グラフマッチングを用いたワンショットKIEのためのディープエンド・ツー・エンド・トレーニング可能なネットワークを提案する。
  論文  参考訳（メタデータ） (2021-09-26T07:45:53Z)
• User Tracking in the Post-cookie Era: How Websites Bypass GDPR Consent to Track Users [3.936965297430477]
  本研究では,クッキーを欲しがらないというユーザを追跡するために,Webサイトが永続的かつ洗練されたトラッキング形式を使用しているかを検討する。 以上の結果から,ユーザがクッキーを登録する以前にも,Webサイトはこのような現代的なトラッキング方式を使用していることが示唆された。 結果として、ユーザーの選択はトラッキングに関してほとんど役に立たない。
  論文  参考訳（メタデータ） (2021-02-17T14:11:10Z)
• UniConv: A Unified Conversational Neural Architecture for Multi-domain Task-oriented Dialogues [101.96097419995556]
  ユニコンブ」はタスク指向対話におけるエンドツーエンド対話システムのための新しい統合型ニューラルネットワークである。 我々は、MultiWOZ2.1ベンチマークにおいて、対話状態追跡、コンテキスト・ツー・テキスト、エンドツーエンド設定の包括的な実験を行う。
  論文  参考訳（メタデータ） (2020-04-29T16:28:22Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。