水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2012年のえび日記 > 2012年9月 > 2012年9月6日(木曜日)

2012年9月6日(木曜日)

「永久不滅プラス」がモニター以外のインターネット行動履歴情報も収集していた

公開: 2012年12月6日19時5分頃

こんなお話が。

この「永久不滅プラス」というツールバーの存在は私も以前から知っていたのですが、明示的にモニター登録して情報の送信に同意した場合だけ情報が送信されるものと思っていました。ということで、少し前にこんなつぶやきもしていたわけです。

なのですが、実はモニター登録していなくても情報を送信していたというお話ですね。しかも、バグではなく意図された仕様であるという旨の返答があったという。

ただ、その後方針が変わったのか、モニター登録していない人の情報を全て削除するのだそうで。

これでモニター登録していない人の情報は収集されなくなるわけで、ひとまず問題はなくなると思います。

ただ、個人的に気になっているのは、行動履歴が送られることの意味がどこまで理解されているのか、という点です。「行動履歴が送られる」ということは理解していても、「行動履歴が送られると何が起きるのか」というところまで理解しているとは限らないのではないか、ということです。

たとえば、WikiのURLにはページ名が含まれていることがしばしばあります。イントラネットのWikiに業務に関する情報をまとめている、というケースは実際にあると思いますが、社外に知られてはまずいようなページ名をつけていると、URLが送信されたときに漏洩する可能性があります。また、HTTPSでアクセスしているページや、ログイン後画面のURLも容赦なく送信されます。ウェブアプリケーションのつくりによってはURLにさまざまな情報が入っている場合がありますので、それが送られてしまう可能性があります。

そういうあからさまなケースを置いておくとしても、URLからは意外に多くのことが読み取れます。URLを見られてもたいしたことは分からないだろう、と思われるかもしれませんが、実際に収集されたURLのデータを見ると、だいぶ印象が変わってくるのではないかと思います。

関連する話題: セキュリティ / プライバシー

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト