パスワードを忘れた? アカウント作成
38092 story
プライバシ

楽天・ドリコムの行動ターゲッティング広告、HTML/CSS仕様の不備を突いて訪問先サイトを調査 122

ストーリー by hylom
bug fixされたらどうするんだろうか 部門より

あるAnonymous Coward 曰く、

6月27日のストーリー「行動ターゲティング広告とプライバシー」で、「閲覧情報の照会範囲が世界中のウェブサイトへと拡大」というのが謎とされていた、楽天とドリコムの新型広告システムについて、その仕組みがNIKKEI NETの記事「行動ターゲティング広告はどこまで許されるのか」で明らかにされた。

記事によると、「ブラウザ側の欠陥を突くことによって閲覧履歴を取得するもの」で、「Flashオブジェクトの中に数千個の隠しリンクが埋め込まれており、JavaScriptによってそのリンクの訪問の有無を調べ、どんなカテゴリーのサイトに多く訪問しているかを集計」しているのだという。

記事では「合法ではあるが、企業のビジネス行為として倫理的に許されるものだろうか」と疑問を投げかけているが、スラッシュドットのみなさんはどう思われるだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • どうにも (スコア:4, すばらしい洞察)

    by Anonymous Coward on 2008年10月20日 12時58分 (#1440631)
    楽天ってそういう企業ですから。
  • by switch720 (30495) on 2008年10月21日 0時34分 (#1441141) 日記
    楽天の個人情報保護方針 [rakuten.co.jp]を見ていたら、そのページの中段に
    行動ターゲティング広告の説明とその無効化について [rakuten.co.jp]というページへの
    リンクがありました。

    > 本サービスの無効化をご希望される方は、
    > お手数ですが以下の手順に従い無効化してください。
    > なお、本サービスはクッキーの設定が「オフ」になっている
    > お客様には提供されておりませんのでご注意下さい。

    だそうですので「無効化をする」というフラグを Cookie に書いておいて、
    広告表示の際にそのフラグを見に行く、という仕組みらしい。

    とりあえず無効化の手段も用意しましたよ、問題ある? といったところでしょうか。
    こんなものに気付く人はほとんどいないわけで、ややせこい感じは否めません。
  • 正直 (スコア:3, 興味深い)

    by Anonymous Coward on 2008年10月20日 13時45分 (#1440673)
    記事上のドリコム担当者の言うことを鵜呑みにすればの話だが、プライバシーが漏れてるんじゃなければどうでもいいや。
    関係ない広告よりは興味ある広告の方がマシだし。

    職場でエロ広告さえ表示されなければな。
    • by token (7668) on 2008年10月20日 14時48分 (#1440730) 日記
      激しく同意するよ、その意見には。

      それにプライバシーの範囲にしても、精神的や社会的な被害を受けるレベルでなければ侵害されてもいいよ。スパムメールが送られてくるとかは嫌だけど、どこどこでどんなエロ動画を落とした、くらいのレベルまでなら気になるあの子 知人に知られても平気さ。

      --
      俯瞰しよう。何事も俯瞰しなくちゃ駄目だ。
      親コメント
  • やってみました (スコア:3, 参考になる)

    by Anonymous Coward on 2008年10月20日 14時54分 (#1440742)
    試しに実証コードを作って遊んでみました。 これ、自分で作って試してみる分には、やってることが外にばれないし、もちろんネットワークに負荷もかからないしで気楽に試せるのがおもしろいネタですね。

    で、そこそこ程度の性能のデスクトップマシンで1時間ほど総当たりをぶん回すと、最近見たニコ動リストが完成しました。 その間CPUコアの内1個が使用率100%で振り切ったままでしたから、ここままだと目立ちすぎてこっそり使うのは無理そうですが。 ある程度探索するターゲットを絞った上で、 滞留時間の長いミニゲームやらの裏あたりでこそっと回せば、楽しいマーケティング情報が集められそうです。 ミニゲームの動作でCPU負荷をごまかせますし。

    ユーザ側でガードするのは、最初に試しやすいと書いたのと同じ理由で外から挙動を観察する方法では難しそうです。 やるとしたら、ウィルスチェッカ辺りが割り込んで、極端にリンク数が多い、もしくは、リンク先が頻繁に書き換わるのを検出するぐらいでしょうか?
  • by Anonymous Coward on 2008年10月20日 13時52分 (#1440682)
    タレコミでは
    > 「ブラウザ側の欠陥を突くことによって閲覧履歴を取得するもの」で、「Flashオブジェクトの中に数千個の隠しリンクが埋め込まれており、
    と正確に書かれているのに、なんでタイトルが
    > Flash Playerのバグを突いて
    になるんですか? Flashを使わなければならない理由は(難読化以外に)何もありません。JavaScriptさえ不要です [bakera.jp]。
    • 確かにそうですね。修正しました。
      ご指摘ありがとうございました。
      親コメント
      • by Anonymous Coward on 2008年10月20日 14時10分 (#1440693)
        勝手に変えるなよ。
        タレコミ時のタイトルでは「Flashの脆弱性を突いて」だったはず。
        上のACの指摘はおかしいだろ。
        一般論と、ドリコムの事例を混同してる。
        このストーリーはドリコムの広告という具体的特定事例の話なんだから、
        「Flashの脆弱性を突いて」で正しい。

        by タレコミ人

        親コメント
        • by Anonymous Coward on 2008年10月20日 15時48分 (#1440807)
          とりあえず、どっちのACも他人への言葉遣いについて
          も少し配慮した方がいいよ。
          編集者が間違ったからと言って、罵詈雑言を浴びせる権利は誰にも無い。
          君らの発言を「指摘だ」と主張するのなら、あまりにも悲しすぎるね。
          親コメント
        • by Anonymous Coward on 2008年10月20日 14時39分 (#1440724)
          > タレコミ時のタイトルでは「Flashの脆弱性を突いて」だったはず。
          > 上のACの指摘はおかしいだろ。
          > 一般論と、ドリコムの事例を混同してる。
          > このストーリーはドリコムの広告という具体的特定事例の話なんだから、
          > 「Flashの脆弱性を突いて」で正しい。

          いや、そもそもドリコムが突いたのは「Flashの脆弱性」じゃなくね?
          一般論と具体的特定事例の違いじゃなくて、

          Flashのどの様な動作が今回言われている脆弱性なのか挙げてみて下さい。
          リンクが隠せる事? visitedが取得出来る事? それとも、この二つを合わせて?
          Flashが従う、より上位の仕様とは無関係にFlashが独自に持つ脆弱性ですか?

          これが新聞記者相手なら、そんな細かな事を言っても意味不明だろうけど...
          親コメント
    • by Anonymous Coward on 2008年10月20日 14時10分 (#1440694)
      たしかに。
      ブラウザのエンジンに問題があるわけで
      Flash自体にはまったく関係ない話しですよね。
      親コメント
  • 悪用を防止できるのが最善なのでしょうが、visited疑似クラスのビーコンを拾うサービスが登場 [bakera.jp]を読んでも、悪用を防止するという観点での対応は困難であるように思います。

    であれば、むしろ、History の制御機能を増やすべきように思います。cookie の制御機能に倣うと、たとえば

    • 特定のドメインについては History 保存期間を短縮したり 0 にしたりできる
    • 他ドメインに関する History へのアクセスを許可しない

    といった機能を用意し、あとはユーザの判断に委ねるのが次善策のように思います。上記が実現すれば、少なくとも、エロサイトへの訪問履歴が洩れて……といった事態は防止できる (ような設定が可能になる) ように思います。ぐぐってみたら、HistoryBlock [mozilla.org] というものもあるそうで。

    なお、個人的には、さきほど History の保存期間を 0 に設定しました。

    • 要するに、「見た目だけvisitedになるけどスクリプトからそれは見えない」にすれば良いんですが なかなか難しいところですね。 なるだけ影響が少なくなるよう、ブラウザ側の修正でこれを実現するとすれば次の組み合わせぐらいでしょうか。

      • a要素の描画時にvisitedが影響するのは色だけにする(a要素のサイズは変えない)
      • a要素のデザイン関連の属性をスクリプトから取得すると、visitedに関わらず標準(:link相当?)の値が取得される(a要素の色変化の検出禁止。サイズを取得できない要素が存在するのはスクリプトベースでレイアウトを行うページに対する影響が大きくなりすぎるので。前項と合わせて標準の値で固定することで変化を検出できなくする)
      これだと「visitedなリンクだけは巨大な文字で表示」が不可能になりますが、これは禁止せざるを得ないようです。 例え「a要素の大きさはスクリプトから取得できない」にしたところで、 「a要素の大きさが変わる」→「周りのレイアウトが変わる」を検出できてしまうので。

      この手の機能をon/off出来るぐらいでどうでしょう。

      # 外部リンクの場合は・・・とか条件を詰めればもっと詰められそうではありますが。
      親コメント
  • うーん (スコア:1, 参考になる)

    by Anonymous Coward on 2008年10月20日 12時54分 (#1440627)
    すでにgoogle先生とか、はてなブックマークで行動パターンとかだだもれ状態だしなー。
    洩れるもんだと思って行動するしかないかなー。
  • by Anonymous Coward on 2008年10月20日 12時55分 (#1440628)
    という、商売の根本が欠落してる身勝手な企業が多すぎ。

    合法非合法の前に、やっていいことと悪い事の区別ができない大人が増えたってことかしら
  • アドオン「FlashBlock」で問題のあるFlashをブロックし、「Objection!」でFlashのCookieをチェックして消しておけば、そこそこ対策出来るということでしょうか?
  • by Anonymous Coward on 2008年10月21日 1時32分 (#1441172)
    javascriptが馬鹿正直にリンクカラーを返すのをやめさせればいいわけで
    全部にtrueでも返しておけばトラッキングするという目的を果たさなくなるのでは?

    ついでに全部の広告自動クリックするextentionでもあればいいのに。
    クリックトラッキング全滅で楽しいことになりそう。
typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...