ブラウザの閲覧履歴を盗まれないようにする必要性 ― 2009/06/17 21:23
JavaScriptなしでブラウザの閲覧履歴を盗むでFirefox 3.5 Preview以降(現在RC1リリース)で防ぐ方法を記載しましたけど、なんで不便になるのにそんなことをする必要性があるのかというのを書いてなかったなぁと。
よく見られる説明では、趣味嗜好がばれてしまうからというものですが、個人情報と結びつかないなら利便性を落としてまで防ぐ程のものではないと思います。
だからこそ今まで大きく取り上げられなかったのでしょうけど、今は状況が異なり多くの人がWebサービスやアプリを使っています。
大抵の人はサービスにログインしたまま利用していると思いますけど、その状態で同サービスに履歴を盗まれると個人情報と簡単に結びつけられてしまいます。
例えば、Googleならログインしてなくても、Gmailを利用してれば定期的にPOPサーバにアクセスするでしょうから、Googleが持つ情報と履歴を結びつけるのは難しいことではありません。
(追記:あくまで例えです。その気があったらやれるという例え話)
次にフィッシングに利用される危険性です。実はこちらの方が深刻かもしれません。
エフセキュアブログ : フィッシング関連記事
みずほ銀行を使ってない人をみずほ銀行のフィッシングサイトに誘導しても意味ありませんけど、履歴から貴方が使ってるサービスが分かれば、より的確に引っかける事が可能になります。
こういう点を考えると、少々不便(やってみたけどかなり不便……)でも対策が必要な時期にきたのだろうなぁと思います。
あとね、この前の履歴を盗むテストサイトにアクセスしてみたら、E8400(3GHz)で20%くらいの負荷がかかったのですよ。
計算上、シングルコアなら40%くらい、北森3.06GHzなら80%くらいになるわけで、広告のためにこんな負荷を押しつけられるなんてまっぴらだと思ったのでした。
よく見られる説明では、趣味嗜好がばれてしまうからというものですが、個人情報と結びつかないなら利便性を落としてまで防ぐ程のものではないと思います。
だからこそ今まで大きく取り上げられなかったのでしょうけど、今は状況が異なり多くの人がWebサービスやアプリを使っています。
大抵の人はサービスにログインしたまま利用していると思いますけど、その状態で同サービスに履歴を盗まれると個人情報と簡単に結びつけられてしまいます。
例えば、Googleならログインしてなくても、Gmailを利用してれば定期的にPOPサーバにアクセスするでしょうから、Googleが持つ情報と履歴を結びつけるのは難しいことではありません。
(追記:あくまで例えです。その気があったらやれるという例え話)
次にフィッシングに利用される危険性です。実はこちらの方が深刻かもしれません。
エフセキュアブログ : フィッシング関連記事
Yahoo! JAPANのフィッシングサイトはたびたび出現していますが、それ以外にも次のように数多くの日本のサイトがターゲットになっています(括弧内は初出年月)。
UFJ 銀行(2005年3月)、Yahoo!オークション(2005年10月)、セントラルファイナンス(2006年10月)、新生銀行(2007年7月)、イーバンク銀行(2007年9月)、みずほ銀行(2007年11月)、mixi(2008年1月)、ゆうちょ銀行(2008年3月)、シティバンク (2008年3月)、オリコ(2008年7月)、ライフカード(2008年10月)、nifty(2008年10月)、ジャックス(2008年11月) など。
みずほ銀行を使ってない人をみずほ銀行のフィッシングサイトに誘導しても意味ありませんけど、履歴から貴方が使ってるサービスが分かれば、より的確に引っかける事が可能になります。
こういう点を考えると、少々不便(やってみたけどかなり不便……)でも対策が必要な時期にきたのだろうなぁと思います。
あとね、この前の履歴を盗むテストサイトにアクセスしてみたら、E8400(3GHz)で20%くらいの負荷がかかったのですよ。
計算上、シングルコアなら40%くらい、北森3.06GHzなら80%くらいになるわけで、広告のためにこんな負荷を押しつけられるなんてまっぴらだと思ったのでした。
最近のコメント