水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 楽天メールマガジン情報漏洩の話・続き

楽天メールマガジン情報漏洩の話・続き

2008年9月30日(火曜日)

楽天メールマガジン情報漏洩の話・続き

更新: 2008年10月1日

楽天メールマガジンの件ですが、どうもソーシャルブックマークから拾われた可能性が高いようですね (みなさん情報ありがとうございます)。OK Wave のこのやりとりは衝撃的です。

楽天市場から届くメールを毎回配信停止にしても、次から次へとメールが届くのですがどうすれば届かないようになりますか。

(~中略~)

私は、毎日ここで一発で「配信停止」をしています。

http://emagazine.rakuten.co.jp/ns?act=chg_rmail&k=%25CIlD-u0Lwi...​

以上、楽天市場について -OKWave より

イタタタタ……。

楽天で買物をすると、確認画面の一番下の方にメールマガジン配信のチェックボックスがあります。気づきにくい上に、デフォルトでチェックONなのですよね。メールマガジンを受け取りたくない場合、買うたびにこのチェックを外す必要があります。それに気づかないと、「何度配信停止しても、買い物するたびにメールマガジンの送信が再開されてしまう」という現象が起きることになり、そうなっても簡単に配信を停止できるように、「配信停止画面をブックマークしておく」ということが行われていたと……。

ブラウザのブックマークではなく、ソーシャルブックマークを使ってブックマークしたら、それはクロールされますよね。ブックマークするなよ……と言いたくなるところですが、一般のユーザが「このURLを他人に知られてはマズイ」ということに気づくのは難しいでしょう。

URLにセッション追跡や認証のための情報を埋め込む手法については、ずっと前から「Refererから漏洩する」という危険性が指摘されてきました。逆に、「ユーザが自分で積極的にリンクする」なんてことはあまりないだろうと思っていましたが……ソーシャルブックマークの普及によって気軽にリンクができるようになり、ユーザが自分でリンクしてしまう可能性も増しているわけですね。

※そういえば、WASForum Conference 2008 の「携帯電話向けWebのセキュリティ」でも、セッション追跡パラメータつきのURLを貼ってしまうユーザが多いという話が出ていましたね。

※2008-10-01追記: タイトルについて「そんなにしょっちゅうやらかしてたのかと思ってしまった (slashdot.jp)」というご意見をいただきましたので、タイトル変更しました。

関連する話題: セキュリティ / Web / 楽天 / WASForum Conference

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーションウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト