パスワードを忘れた? アカウント作成
13639411 story
Chrome

人気のFirefox拡張機能「Stylish」がポリシー違反でブロック、すべての閲覧履歴を収集か 39

ストーリー by hylom
当時の対応も怪しかった 部門より

指定したWebページに対し任意のCSSを適用させる拡張機能「Stylish」がユーザーのWeb閲覧履歴を収集・送信しているとして、Firefoxからブロックされた(窓の杜)。すでにこの拡張はFirefox Add-onsページからは閲覧できないようになっている(Internet Archiveにアーカイブされている該当ページ)。また、Chrome Web Storeで公開されていたChrome版のStylishについても同様にアクセスできなくなっている。

Stylishについては昨年1月にユーザーデータの収集を始めて騒動になっていた。当時の説明では「個人を特定できない形で情報を収集する」「匿名化された情報を第三者に提供する」とされていたが、実際にはすべてのURLが収集されており、認証トークンなどを含んだURLも送信されていたという。

  • by Anonymous Coward on 2018年07月05日 18時25分 (#3437923)

    この拡張機能は SimilarWeb が買収したので、閲覧したWebサイトのURLを収集するようになったというのはごく自然なことです

    SimilarWeb は漫画村事件で被害金額を推計するのにも使われたアクセス解析(推計)サービスで、アクセス解析タグが張られていないサイトでも推計できるのがウリですが、こういうクロール(被リンク数などから推計)などによる推計の他、提携する拡張機能がインストールされたブラウザなどから情報収集をやってるわけです

    > 実際にはすべてのURLが収集されており、認証トークンなどを含んだURLも送信されていたという。
    とありますが、
    「個人を特定できない形で情報を収集する」「匿名化された情報を第三者に提供する」
    とは特に矛盾しないように思えます。
    ユーザIDと関連付けなければ「個人を特定できない形で情報を収集」しているわけだし、匿名化の作業はサーバサイドで行っているわけですからね。

    認証トークンを URL に含めるのはそもそもウェブアプリケーションの脆弱性です
    Google Drive などでURL共有(URLを知っている人だけとデータ共有)なんていう簡易認証もあったような気もしますが、
    それはサービス自体に問題があります。
    プライバシー上の問題とセキュリティ上の問題は切り分けて考えるべきです。

    SimilarWebのやってることはプライバシーの侵害ですが(利用規約に書くだけでなくURLを送信している事実の個別承諾を得るべき)、URLに機密情報を含めているというのはウェブサイト側に問題があります。
    今は認証トークンを Cookie に入れるのですらやめて Authorization ヘッダーを使おう [qiita.com] と言われている時代です。
    URLなんていうのは、Webサーバのログその他に残るし必ずしも機密として管理されるわけではないので、URLに認証トークンを入れるのは論外です。

    ここに返信
    • by Anonymous Coward

      特に内容に異議はないのですが、

      >利用規約に書くだけでなくURLを送信している事実の個別承諾を得るべき

      これは何か根拠があるのですか。

      • by Anonymous Coward

        利用規約は勝手に変えられる(条文が入っていることが多い)んじゃないかな。
        これではオプトインとみなせない。

        • by Anonymous Coward

          こういうのこそ「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令」だろうに、海外まで捜査に行くなんて面倒なことはもちろんしないで安易な点数稼ぎに走る

          • by Anonymous Coward

            それは関係ない。
            規約に書いてあるからユーザーは同意したものとみなせるし、規約が変更されうることも書いてあるから確認していないユーザーの方が悪いというのがサービサーの言い分。
            で、それは法律に違反しているとまでは言えないし、規約や契約およびその変更が有効か無効かは個別に裁判で判断することになるから。

            • by Anonymous Coward

              変更が有効か無効かは個別に裁判で判断するなら法律に違反しているとまでは言えないとは言えないじゃん。
              民事で無効と判断されたら「その意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令」だったことになる。

    • by Anonymous Coward

      匿名化はサーバー側でやるから全履歴まるっと送信しても問題ないという説明で納得するやつがいたらお花畑にもほどがあるだろ

  • by Anonymous Coward on 2018年07月05日 20時20分 (#3438005)

    漫画村や保守速報に広告を出稿していた企業が非難されるべきなのと同様、
    反社会的・プライバシーの侵害な方法で収集した情報を購入している企業も社会的に批判されるべきでは

    SimilarWebPRO(シミラーウェブ)日本語サイト によると下記の企業を含む3000社以上が、SimilarWeb PROサービスを購読して、プライバシーを不当に侵害する方法で取得したデータを購入している
    https://www.similar-web.jp/ [similar-web.jp]

    * 株式会社ディー・エヌ・エー
    * eBay Inc.
    * 株式会社カカクコム
    * Microsoft Corporation
    * Intel Corporation
    * Samsung
    * The Procter & Gamble Company
    * ライオン株式会社
    * 田辺三菱製薬株式会社
    * 大韓航空
    * 株式会社アドベンチャー
    * Booking.com
    * Adidas AG
    * L'Oreal S.A.
    * 弥生株式会社
    * HSBC Holdings plc
    * パーソルキャリア株式会社
    * パナソニック株式会社
    * 株式会社 朝日新聞社
    * 東洋証券株式会社
    * コニカミノルタ株式会社
    * クルーズ株式会社
    * グリー株式会社
    * 三井物産株式会社
    * 株式会社ビズリーチ
    * 株式会社ドワンゴ
    * 株式会社 山田養蜂場
    * 阿里巴巴集団

    ここに返信
    • by Anonymous Coward

      中にはスパイウェアで収集されたデータなことを知らなかった企業もあるかもしれんが
      ドワンゴ(笑)、グリー(笑)、ディー・エヌ・エー(笑)、カカクコム(笑)、Microsoft(笑)、Intel(笑)
      あたりはIT企業だし事情分かってスパイデータ買ってそう
      「悪意の第三者」なら共犯では

    • by Anonymous Coward

      それ日本語サイトじゃなくて、ただの代理店ですよ

  • by Anonymous Coward on 2018年07月05日 18時21分 (#3437920)

    スタイリッシュじゃないね

    ここに返信
  • by Anonymous Coward on 2018年07月05日 18時39分 (#3437932)

    Spylish

    ここに返信
  • by Anonymous Coward on 2018年07月05日 20時10分 (#3438002)

    Windows 10でEdgeやIEのデフォルト設定だと、SmartScreen(フィッシングやマルウェア対策)として閲覧している全WebサイトのURLをMicrosoftに送信している
    Google Chromeは流石にそれはやってなくて悪意のあるURLの一部のリストのハッシュの一部と照合して疑わしいと判断したURLのみ(容量節約のためローカルにDLするのはハッシュ値の一部のみなのでハッシュの衝突が発生して送信されるケースも結構あるらしいが)送信するものの、勝手にGoogleにURLが送信されることには変わりない

    また、別経路でのURL送信として、最近はどの9割ぐらいのサイトでソース見るとGoogleアナリティクスのアクセス解析タグ入ってるよね(無論スラドにも入ってるよ)
    全世界のWebサイトの9割ぐらいは、アクセスしたページのURLがGoogleに送信されているしURLに認証情報が入っていたらそれも送信されるわけで、SimilarWebだけ叩くのはおかしいと思う

    もっと大規模に情報収集しているGoogleやMicrosoftの方がevilでは。被害者の人数という意味でもNSAとのつながりという意味でも。

    ここに返信
    • GoogleはreCAPTCHA(画像認証)でロボットかどうかを正確に判定するためという名目で
      解析JavaScriptタグを含むページにアクセスしたときにキータイプやマウスカーソルの動きまで収集してる
      これだとIPアドレスやCookieが異なる別ブラウザでのアクセスだろが、Torを使おうが、
      スクリプトさえ有効ならキータイプの癖とかで同一人物判定されかねない

      たかがURLぐらいで騒いでいる人は、今すぐDisconnectやScriptSafeなどの拡張を入れてプライバシーを侵害するアクセス解析をブロックした方が良い

    • by Anonymous Coward

      GoogleやMSがやっているのは(Analytics除いて)ユーザーにもメリットがあるけど、Stylishのは無いよね。

    • by Anonymous Coward

      訓練されていないでAppleも仲間にいれてやれよ

    • by Anonymous Coward

      お前が自分で言ってる通りフィッシングやマルウェア対策は同じことじゃないじゃん

    • by Anonymous Coward

      利用者の利益に資する合理的な目的があり、事前告知しているうえに設定でオフにもできるSmartScreen(や同等機能)と同列に扱うのはさすがに雑すぎでは。

  • by Anonymous Coward on 2018年07月05日 18時38分 (#3437931)

    Stylishは旧式でStylusに移行した利用者が多数だと思ってたが…Stylusでも同様の問題はあるのかな?

    ここに返信
    • by Anonymous Coward on 2018年07月05日 21時17分 (#3438035)

      https://addons.mozilla.org/ja/firefox/addon/styl-us/ [mozilla.org]
      ここにある通りで、Stylishが買収されて情報分析機能が追加されたからforkしたのがStylusですので。

    • by Anonymous Coward

      旧式とかではなく、売却されてまさにこうした恐れがあったから移行が推奨されてたはず

      • by Anonymous Coward

        stylusで全然問題ないんだけど、
        about:〇〇~なページ弄れないのだけが不満
        やたら白い背景をグレーにしたいだけなのに・・・

        • by Anonymous Coward

          それはWebExtensionというかFirefoxの制限なんだけど、マウスジェスチャ系も効かなくなるので凄く困っている

          • by Anonymous Coward on 2018年07月06日 4時12分 (#3438129)

            about:configで「privacy.resistFingerprinting.block_mozAddonManager」と
            「extensions.webextensions.restrictedDomains」を弄れば制限解除出来るらしい

          • by Anonymous Coward

            cyberと52ESRで使ってるからアドオンの問題なのね
            実際spylishではちゃんと弄った表示にできるので

            • by Anonymous Coward

              制限が入ったのは57以降だったはず

  • by Anonymous Coward on 2018年07月05日 18時48分 (#3437937)

    まさかアドオン切り捨てが遠因で助かるとは思ってもいなかった

    ここに返信
    • by Anonymous Coward

      Quantumリリース前にすでに切り替えてたわ。

      StylishはたまにChromeのメジャーアップデートでデータ消されたりしてたし、
      バックアップ取ろうとjsonファイルで保存したら日本語が文字化けしたりで面倒くさかったし。
      設定名とか注釈とかならともかく、フォント名まで文字化けしてたから修正が大変だった。

  • 二度とスパイしようなんて思えなくなるだろ

    ここに返信
    • by Anonymous Coward

      異常値としてはじかれるだけじゃね?

    • by Anonymous Coward

      「あなたが流行らせたい物のサイトを多くの人が見ているかのような偽の閲覧履歴をボットネットから送らせます」みたいなサービスが既にありそう

  • by Anonymous Coward on 2018年07月05日 20時02分 (#3437996)

    茶色いスラド、こんにちは。

    ここに返信
  • by Anonymous Coward on 2018年07月05日 20時41分 (#3438013)

    GoogleやAppleやMSとは違うの?

    ここに返信
    • by Anonymous Coward

      GoogleとM$がやってるのは周知の事実だけど
      りんごはやってなくなくない?

      • by Anonymous Coward

        appleもやってるでしょ。apple idが同じだとiphoneでもmacでも同じ閲覧履歴見れる。こういう便利機能名目でね

        • by Anonymous Coward

          GoogleのアクティビティとiCloudの履歴とブックマーク共有から止めれられる。MSは知らん

      • by Anonymous Coward

        りんごのユーザ情報収集はきれいな収集

  • by Anonymous Coward on 2018年07月06日 7時25分 (#3438141)

    アドオンの審査と署名では阻止できなかったん?

    ここに返信
  • by Anonymous Coward on 2018年07月06日 11時45分 (#3438242)

    業務用サイトなどを自分の端末で使いやすくするためのカスタムに使ってた人は、サイトのセキュリティゆるゆるだった場合悲惨だな...

    ここに返信
typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...