mala氏 @bulkneets
https://twitter.com/bulkneets/の高木浩光批判記事について。
最近twitter始めたと言え、両者をフォローしているからには、ということで確認しつつ補足してみる。
- 2011年 10/20 GmailのスキャンとAdsenseの話
通常のウェブサイトのAdsenseやAmazonなどのインタレストマッチ広告は、
- 掲載しているサイト管理者の推薦
- javascriptで取得したページurlと、それに紐付けられたクロール済みページ内容
- cookieに保存されたトラッキングIDと、それに紐ついたユーザの検索履歴などによる興味分析(オプト・アウトしていない場合)
を元に広告内容を瞬時にサーバー側で処理して表示している。もちろんGeoIPやUserAgentやもっと細かい情報も使っているだろうが、外から見える範囲ではこれが利用されている。
Gmailのインタレストマッチも同様に、
- javascriptで取得した表示中のメールID/urlと、それに紐ついたサーバーに保存されたメール内容
- トラッキングIDとログインユーザー、それに紐ついた検索履歴などによる興味分析(オプト・アウトしていない場合)
を利用していると考えられる。
mala氏が指摘したように、もし
https://twitter.com/HiromitsuTakagi/status/126885716553760769が正しいなら、
- 大量の広告をブラウザに送って、ブラウザ側で取捨選択する機能
- ブラウザ側でキーワードを抽出して送信する機能
のいずれかが実装されている必要があるが、ちょっと通信を見たくらいではそのような機能は見つからない。
なお、難読化されたjavascriptを読めるほどjavascriptを扱ってないのでわからないことは、お断りしておく。
従って、GmailもYahooも、サーバー側に保存されたメール内容を(機械的に)クロールし、分析していることが推定される。
ブラウザ側でなくサーバー側での分析が違法なら、両方共違法と考えられる。
前後関係不明
window.postMessage()はjavascriptで他のフレームへデータを送るAPI。
たいていは読み込まれた広告やブログパーツに必要なデータを送り込むためのAPIだが、
http://adc.medibaad.com/public/js/medibaad-localstorage-base.jsは何も考えずにトラッキングIDを親フレーム(つまり広告を表示しているサイト)に提供してしまう。
つまりユーザー追跡情報を(恐らく意図せず)第三者に漏洩している。
というjavascriptセキュリティホールの一つに気づかなかった、という事らしい。
注目している対象とそれ以外で温度差があるとという話。
はてなとtwitterは、はてブボタンやつぶやくボタンを生成するためのjavascriptに、ユーザートラッキングコードをあとから追加した。
twitterは基本的にwebで完結しているが、はてなは課金関係で機密情報が多い分より脅威的と考えるべき、と思う。
有料サービスをしていない個人にとっては同じ程度のリスクと思われる。
Facebookには、ユーザの情報の一部を第三者に提供するAPIがあり、他のウェブサイトからも、ユーザの入力を省略するためなど使うことが出来る。
この場合、myappee側はユーザーの同意の元、性別・メールアドレス・誕生日を取得するもので、フェイスブックアカウントそのものへのアクセスはできない。
なお、スクリーンショットでは難読化されておらず、javascriptを知っている人なら誰でも確認できたようだ。
もちろん、取得したメールアドレスなどから紐つけることは出来るだろうが、それはAPIを使うこととは関係なく出来るため、APIを使うことでユーザーが嘘を付く確率を減らすことが出来るかもしれない、程度のリスクと考えられる。
https://twitter.com/HiromitsuTakagi/status/231045813353197571では、Facebookアカウントと紐つけることでより情報を集積したいのではないか、と指摘しているが、このAPI利用からそれを推定するのは邪推というべきだろう。
メッセサンオー事件では、URLに機密情報を載せるという前時代的な危険なウェブショップアプリを利用していたために、漏れたURLを検索サイトがクロールし、そのページに含まれる機密URLが〜と連鎖的に機密情報が漏れてしまった事件だ。
URLが漏れた経路は様々考えられる。高木先生が指摘したPathtraqをはじめ、Googleツールバーほか各種ツールバーアドイン、ウイルスチェックソフトの一部もURLを取得して外部に送信する機能がある。
mala氏の指摘する通り、Pathtraq経由で漏れたという根拠は乏しい。少なくとも、最初の発覚より以前に機密URLがPathtraq上に公開されたという根拠は見当たらない。
また、最初の漏洩がHTTPSアクセスなら、Pathtraqはそれを公開し得なかったとする指摘もある
https://twitter.com/bulkneets/status/234146798472663040
posted by ko-zu at 22:33|
Comment(0)
|
TrackBack(0)
|
セキュリティ
|
|