人気のFirefox拡張機能「Stylish」がポリシー違反でブロック、すべての閲覧履歴を収集か 39
ストーリー by hylom
当時の対応も怪しかった 部門より
当時の対応も怪しかった 部門より
指定したWebページに対し任意のCSSを適用させる拡張機能「Stylish」がユーザーのWeb閲覧履歴を収集・送信しているとして、Firefoxからブロックされた(窓の杜)。すでにこの拡張はFirefox Add-onsページからは閲覧できないようになっている(Internet Archiveにアーカイブされている該当ページ)。また、Chrome Web Storeで公開されていたChrome版のStylishについても同様にアクセスできなくなっている。
Stylishについては昨年1月にユーザーデータの収集を始めて騒動になっていた。当時の説明では「個人を特定できない形で情報を収集する」「匿名化された情報を第三者に提供する」とされていたが、実際にはすべてのURLが収集されており、認証トークンなどを含んだURLも送信されていたという。
そりゃ SimilarWeb の本業だからね (スコア:5, 参考になる)
この拡張機能は SimilarWeb が買収したので、閲覧したWebサイトのURLを収集するようになったというのはごく自然なことです
SimilarWeb は漫画村事件で被害金額を推計するのにも使われたアクセス解析(推計)サービスで、アクセス解析タグが張られていないサイトでも推計できるのがウリですが、こういうクロール(被リンク数などから推計)などによる推計の他、提携する拡張機能がインストールされたブラウザなどから情報収集をやってるわけです
> 実際にはすべてのURLが収集されており、認証トークンなどを含んだURLも送信されていたという。
とありますが、
「個人を特定できない形で情報を収集する」「匿名化された情報を第三者に提供する」
とは特に矛盾しないように思えます。
ユーザIDと関連付けなければ「個人を特定できない形で情報を収集」しているわけだし、匿名化の作業はサーバサイドで行っているわけですからね。
認証トークンを URL に含めるのはそもそもウェブアプリケーションの脆弱性です
Google Drive などでURL共有(URLを知っている人だけとデータ共有)なんていう簡易認証もあったような気もしますが、
それはサービス自体に問題があります。
プライバシー上の問題とセキュリティ上の問題は切り分けて考えるべきです。
SimilarWebのやってることはプライバシーの侵害ですが(利用規約に書くだけでなくURLを送信している事実の個別承諾を得るべき)、URLに機密情報を含めているというのはウェブサイト側に問題があります。
今は認証トークンを Cookie に入れるのですらやめて Authorization ヘッダーを使おう [qiita.com] と言われている時代です。
URLなんていうのは、Webサーバのログその他に残るし必ずしも機密として管理されるわけではないので、URLに認証トークンを入れるのは論外です。
Re: (スコア:0)
特に内容に異議はないのですが、
>利用規約に書くだけでなくURLを送信している事実の個別承諾を得るべき
これは何か根拠があるのですか。
Re: (スコア:0)
利用規約は勝手に変えられる(条文が入っていることが多い)んじゃないかな。
これではオプトインとみなせない。
Re: (スコア:0)
こういうのこそ「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令」だろうに、海外まで捜査に行くなんて面倒なことはもちろんしないで安易な点数稼ぎに走る
Re: (スコア:0)
それは関係ない。
規約に書いてあるからユーザーは同意したものとみなせるし、規約が変更されうることも書いてあるから確認していないユーザーの方が悪いというのがサービサーの言い分。
で、それは法律に違反しているとまでは言えないし、規約や契約およびその変更が有効か無効かは個別に裁判で判断することになるから。
Re: (スコア:0)
変更が有効か無効かは個別に裁判で判断するなら法律に違反しているとまでは言えないとは言えないじゃん。
民事で無効と判断されたら「その意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令」だったことになる。
Re: (スコア:0)
匿名化はサーバー側でやるから全履歴まるっと送信しても問題ないという説明で納得するやつがいたらお花畑にもほどがあるだろ
プライバシー侵害企業からデータを買ってる企業にも抗議すべき (スコア:3, 興味深い)
漫画村や保守速報に広告を出稿していた企業が非難されるべきなのと同様、
反社会的・プライバシーの侵害な方法で収集した情報を購入している企業も社会的に批判されるべきでは
SimilarWebPRO(シミラーウェブ)日本語サイト によると下記の企業を含む3000社以上が、SimilarWeb PROサービスを購読して、プライバシーを不当に侵害する方法で取得したデータを購入している
https://www.similar-web.jp/ [similar-web.jp]
* 株式会社ディー・エヌ・エー
* eBay Inc.
* 株式会社カカクコム
* Microsoft Corporation
* Intel Corporation
* Samsung
* The Procter & Gamble Company
* ライオン株式会社
* 田辺三菱製薬株式会社
* 大韓航空
* 株式会社アドベンチャー
* Booking.com
* Adidas AG
* L'Oreal S.A.
* 弥生株式会社
* HSBC Holdings plc
* パーソルキャリア株式会社
* パナソニック株式会社
* 株式会社 朝日新聞社
* 東洋証券株式会社
* コニカミノルタ株式会社
* クルーズ株式会社
* グリー株式会社
* 三井物産株式会社
* 株式会社ビズリーチ
* 株式会社ドワンゴ
* 株式会社 山田養蜂場
* 阿里巴巴集団
Re: (スコア:0)
中にはスパイウェアで収集されたデータなことを知らなかった企業もあるかもしれんが
ドワンゴ(笑)、グリー(笑)、ディー・エヌ・エー(笑)、カカクコム(笑)、Microsoft(笑)、Intel(笑)
あたりはIT企業だし事情分かってスパイデータ買ってそう
「悪意の第三者」なら共犯では
Re: (スコア:0)
それ日本語サイトじゃなくて、ただの代理店ですよ
言ってることとやってることが (スコア:1)
スタイリッシュじゃないね
せめてここでは最初に言ってやる (スコア:1)
Spylish
GoogleもMicrosoftも同じことやってる (スコア:1)
Windows 10でEdgeやIEのデフォルト設定だと、SmartScreen(フィッシングやマルウェア対策)として閲覧している全WebサイトのURLをMicrosoftに送信している
Google Chromeは流石にそれはやってなくて悪意のあるURLの一部のリストのハッシュの一部と照合して疑わしいと判断したURLのみ(容量節約のためローカルにDLするのはハッシュ値の一部のみなのでハッシュの衝突が発生して送信されるケースも結構あるらしいが)送信するものの、勝手にGoogleにURLが送信されることには変わりない
また、別経路でのURL送信として、最近はどの9割ぐらいのサイトでソース見るとGoogleアナリティクスのアクセス解析タグ入ってるよね(無論スラドにも入ってるよ)
全世界のWebサイトの9割ぐらいは、アクセスしたページのURLがGoogleに送信されているしURLに認証情報が入っていたらそれも送信されるわけで、SimilarWebだけ叩くのはおかしいと思う
もっと大規模に情報収集しているGoogleやMicrosoftの方がevilでは。被害者の人数という意味でもNSAとのつながりという意味でも。
同じどころかGoogleはキータイプやマウスカーソルの動きまで収集してるぞ (スコア:0)
GoogleはreCAPTCHA(画像認証)でロボットかどうかを正確に判定するためという名目で
解析JavaScriptタグを含むページにアクセスしたときにキータイプやマウスカーソルの動きまで収集してる
これだとIPアドレスやCookieが異なる別ブラウザでのアクセスだろが、Torを使おうが、
スクリプトさえ有効ならキータイプの癖とかで同一人物判定されかねない
たかがURLぐらいで騒いでいる人は、今すぐDisconnectやScriptSafeなどの拡張を入れてプライバシーを侵害するアクセス解析をブロックした方が良い
Re: (スコア:0)
GoogleやMSがやっているのは(Analytics除いて)ユーザーにもメリットがあるけど、Stylishのは無いよね。
Re: (スコア:0)
訓練されていないでAppleも仲間にいれてやれよ
Re: (スコア:0)
お前が自分で言ってる通りフィッシングやマルウェア対策は同じことじゃないじゃん
Re: (スコア:0)
利用者の利益に資する合理的な目的があり、事前告知しているうえに設定でオフにもできるSmartScreen(や同等機能)と同列に扱うのはさすがに雑すぎでは。
後継のStylusは? (スコア:0)
Stylishは旧式でStylusに移行した利用者が多数だと思ってたが…Stylusでも同様の問題はあるのかな?
Re:後継のStylusは? (スコア:2, 参考になる)
https://addons.mozilla.org/ja/firefox/addon/styl-us/ [mozilla.org]
ここにある通りで、Stylishが買収されて情報分析機能が追加されたからforkしたのがStylusですので。
Re: (スコア:0)
旧式とかではなく、売却されてまさにこうした恐れがあったから移行が推奨されてたはず
Re: (スコア:0)
stylusで全然問題ないんだけど、
about:〇〇~なページ弄れないのだけが不満
やたら白い背景をグレーにしたいだけなのに・・・
Re: (スコア:0)
それはWebExtensionというかFirefoxの制限なんだけど、マウスジェスチャ系も効かなくなるので凄く困っている
Re:後継のStylusは? (スコア:2, 参考になる)
about:configで「privacy.resistFingerprinting.block_mozAddonManager」と
「extensions.webextensions.restrictedDomains」を弄れば制限解除出来るらしい
Re: (スコア:0)
cyberと52ESRで使ってるからアドオンの問題なのね
実際spylishではちゃんと弄った表示にできるので
Re: (スコア:0)
制限が入ったのは57以降だったはず
Quantum移行時にStylusへ切り替え済み (スコア:0)
まさかアドオン切り捨てが遠因で助かるとは思ってもいなかった
Re: (スコア:0)
Quantumリリース前にすでに切り替えてたわ。
StylishはたまにChromeのメジャーアップデートでデータ消されたりしてたし、
バックアップ取ろうとjsonファイルで保存したら日本語が文字化けしたりで面倒くさかったし。
設定名とか注釈とかならともかく、フォント名まで文字化けしてたから修正が大変だった。
みんなでデタラメなデータを山ほど送りつけてやれよ (スコア:0)
二度とスパイしようなんて思えなくなるだろ
Re: (スコア:0)
異常値としてはじかれるだけじゃね?
Re: (スコア:0)
「あなたが流行らせたい物のサイトを多くの人が見ているかのような偽の閲覧履歴をボットネットから送らせます」みたいなサービスが既にありそう
ここを緑地にするのに使ってた (スコア:0)
茶色いスラド、こんにちは。
ユーザーのWeb閲覧履歴を収集・送信している (スコア:0)
GoogleやAppleやMSとは違うの?
Re: (スコア:0)
GoogleとM$がやってるのは周知の事実だけど
りんごはやってなくなくない?
Re: (スコア:0)
appleもやってるでしょ。apple idが同じだとiphoneでもmacでも同じ閲覧履歴見れる。こういう便利機能名目でね
Re: (スコア:0)
GoogleのアクティビティとiCloudの履歴とブックマーク共有から止めれられる。MSは知らん
Re: (スコア:0)
りんごのユーザ情報収集はきれいな収集
義務化された (スコア:0)
アドオンの審査と署名では阻止できなかったん?
業務目的の人はつらいな (スコア:0)
業務用サイトなどを自分の端末で使いやすくするためのカスタムに使ってた人は、サイトのセキュリティゆるゆるだった場合悲惨だな...