アカウント名:
パスワード:
この拡張機能は SimilarWeb が買収したので、閲覧したWebサイトのURLを収集するようになったというのはごく自然なことです
SimilarWeb は漫画村事件で被害金額を推計するのにも使われたアクセス解析(推計)サービスで、アクセス解析タグが張られていないサイトでも推計できるのがウリですが、こういうクロール(被リンク数などから推計)などによる推計の他、提携する拡張機能がインストールされたブラウザなどから情報収集をやってるわけです
> 実際にはすべてのURLが収集されており、認証トークンなどを含んだURLも送信されていたという。とありますが、「個人を特定できない形で情報を収集する」「匿名化された情報を第三者に提供する」とは特に矛盾しないように思えます。ユーザIDと関連付けなければ「個人を特定できない形で情報を収集」しているわけだし、匿名化の作業はサーバサイドで行っているわけですからね。
認証トークンを URL に含めるのはそもそもウェブアプリケーションの脆弱性ですGoogle Drive などでURL共有(URLを知っている人だけとデータ共有)なんていう簡易認証もあったような気もしますが、それはサービス自体に問題があります。プライバシー上の問題とセキュリティ上の問題は切り分けて考えるべきです。
SimilarWebのやってることはプライバシーの侵害ですが(利用規約に書くだけでなくURLを送信している事実の個別承諾を得るべき)、URLに機密情報を含めているというのはウェブサイト側に問題があります。今は認証トークンを Cookie に入れるのですらやめて Authorization ヘッダーを使おう [qiita.com] と言われている時代です。URLなんていうのは、Webサーバのログその他に残るし必ずしも機密として管理されるわけではないので、URLに認証トークンを入れるのは論外です。
特に内容に異議はないのですが、
>利用規約に書くだけでなくURLを送信している事実の個別承諾を得るべき
これは何か根拠があるのですか。
利用規約は勝手に変えられる(条文が入っていることが多い)んじゃないかな。これではオプトインとみなせない。
こういうのこそ「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令」だろうに、海外まで捜査に行くなんて面倒なことはもちろんしないで安易な点数稼ぎに走る
それは関係ない。規約に書いてあるからユーザーは同意したものとみなせるし、規約が変更されうることも書いてあるから確認していないユーザーの方が悪いというのがサービサーの言い分。で、それは法律に違反しているとまでは言えないし、規約や契約およびその変更が有効か無効かは個別に裁判で判断することになるから。
変更が有効か無効かは個別に裁判で判断するなら法律に違反しているとまでは言えないとは言えないじゃん。民事で無効と判断されたら「その意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令」だったことになる。
匿名化はサーバー側でやるから全履歴まるっと送信しても問題ないという説明で納得するやつがいたらお花畑にもほどがあるだろ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
そりゃ SimilarWeb の本業だからね (スコア:5, 参考になる)
この拡張機能は SimilarWeb が買収したので、閲覧したWebサイトのURLを収集するようになったというのはごく自然なことです
SimilarWeb は漫画村事件で被害金額を推計するのにも使われたアクセス解析(推計)サービスで、アクセス解析タグが張られていないサイトでも推計できるのがウリですが、こういうクロール(被リンク数などから推計)などによる推計の他、提携する拡張機能がインストールされたブラウザなどから情報収集をやってるわけです
> 実際にはすべてのURLが収集されており、認証トークンなどを含んだURLも送信されていたという。
とありますが、
「個人を特定できない形で情報を収集する」「匿名化された情報を第三者に提供する」
とは特に矛盾しないように思えます。
ユーザIDと関連付けなければ「個人を特定できない形で情報を収集」しているわけだし、匿名化の作業はサーバサイドで行っているわけですからね。
認証トークンを URL に含めるのはそもそもウェブアプリケーションの脆弱性です
Google Drive などでURL共有(URLを知っている人だけとデータ共有)なんていう簡易認証もあったような気もしますが、
それはサービス自体に問題があります。
プライバシー上の問題とセキュリティ上の問題は切り分けて考えるべきです。
SimilarWebのやってることはプライバシーの侵害ですが(利用規約に書くだけでなくURLを送信している事実の個別承諾を得るべき)、URLに機密情報を含めているというのはウェブサイト側に問題があります。
今は認証トークンを Cookie に入れるのですらやめて Authorization ヘッダーを使おう [qiita.com] と言われている時代です。
URLなんていうのは、Webサーバのログその他に残るし必ずしも機密として管理されるわけではないので、URLに認証トークンを入れるのは論外です。
Re: (スコア:0)
特に内容に異議はないのですが、
>利用規約に書くだけでなくURLを送信している事実の個別承諾を得るべき
これは何か根拠があるのですか。
Re: (スコア:0)
利用規約は勝手に変えられる(条文が入っていることが多い)んじゃないかな。
これではオプトインとみなせない。
Re: (スコア:0)
こういうのこそ「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令」だろうに、海外まで捜査に行くなんて面倒なことはもちろんしないで安易な点数稼ぎに走る
Re: (スコア:0)
それは関係ない。
規約に書いてあるからユーザーは同意したものとみなせるし、規約が変更されうることも書いてあるから確認していないユーザーの方が悪いというのがサービサーの言い分。
で、それは法律に違反しているとまでは言えないし、規約や契約およびその変更が有効か無効かは個別に裁判で判断することになるから。
Re: (スコア:0)
変更が有効か無効かは個別に裁判で判断するなら法律に違反しているとまでは言えないとは言えないじゃん。
民事で無効と判断されたら「その意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令」だったことになる。
Re: (スコア:0)
匿名化はサーバー側でやるから全履歴まるっと送信しても問題ないという説明で納得するやつがいたらお花畑にもほどがあるだろ