水無月ばけらのえび日記

Web バグは画像とは限らないはず

ヨスケ先生に言われて気づいたのですが、Webバグもしくは Web ビーコンについて検索すると、多くの用語集ではこれらを「きわめて小さな画像」であると定義しているようですね。

確かに多くの Web バグは小さい画像として実装されていますが、それは必須ではないはずです。巨大な透明 GIF であっても良いですし、普通に見える画像であってもかまいません。実際、HTML メールに埋め込まれたロゴ画像 (大きいし、明らかに見える) の URL にメールアドレスと関連づけられたクエリを埋め込んでアクセス情報を収集する、というものがありました。最近の Outlook Express では、外部リソースを含む HTML メールに「このコンピュータが送信者に識別されることを予防するため、画像がブロックされています」という警告が出たりしますが、これも当然画像の大小に関係なく出ます。

もっと言えば、そもそも画像でなくても良いはずです。スクリプトでも CSS でも、HTML のレンダリング時に自動的に参照される外部リソースであれば何でもかまいません。ほとんどの場合には画像が使われますが、それは単にその方が楽だからであって、画像でなければ Web バグではないという事にはならないはずです。

結局のところ、Web バグが「バグ」(=盗聴器) と呼ばれるゆえんは、

• 利用者の知らないうちに
• どこかのサーバに
• 利用者のアクセス情報を通知する

というものでしょう。

これらの条件をすべて満たすものであれば、たとえそれが「小さな画像」でなかったとしても「Webバグ」と呼んで差し支えないと思います。

• 「Web バグは画像とは限らないはず」へのコメント (1件)

関連する話題: セキュリティ

うまくいかなかった事例

「脆弱性情報の取扱い - JPCERT/CCとオープンソースソフト開発者が意見交換 (pcweb.mycom.co.jp)」。

「うまくいかなかった」事例その2、って……。取扱番号は伏せられていますが、そもそも JVN で公開されている脆弱性自体少ないですし、「複数開発者にコンタクト」かつ「オープンソース」という時点で相当絞り込まれてしまうような気がしますね。

※JVN#465742E4 (jvn.jp)だろうなぁ。Hiki0.6.6は 17日リリースなので。

• 「うまくいかなかった事例」にコメントを書く

関連する話題: セキュリティ / IPA