« 外部からロードしたJPEGに、ビットマップスムージングがかからないバグ | main | メディアアーティスト専用のSNS CodeTree »
2005年12月17日
MIXIを使った、トラフィックの個人追跡システム
というのが可能だと考え付いて、ちょっと愕然とした。
自分のサイトに、隠しiframeでMIXIの自ページを読み込ませておくの。
そうすると、自分のサイトを訪れたログイン中のMIXI会員は、足跡がついちゃうの。あとは定期的に足跡キャッシュする。誰がウチのサイトを見てるかバレバレ(注:実装してないよ)。
一見、アホネタだけど。これ凄いシリアスな問題だよな。だってさ、エロサイトとかにそういう仕組みがあったら、最悪の場合一瞬で個人情報特定されるぜ?サイトのクッキーと、MIXIのアカウントとかが結びつけられた日には、何がおこるかわかったもんじゃないですよ。
100万超過の巨大コミュニティとなった今、MIXIの持っていた知り合いとの人間関係を担保とした安全性ってのは、もうとっくに崩壊してる。さらにザバサーチのようにネット上に分散する情報をかき集めれば、かなりの精度で個人情報が筒抜けになる危険性も増してきてる。MIXI内だって実は物凄い量のクローラーやロボットが巡回してると思うよ。
最大のリスクは、本人がどんなに注意してようと、周囲の人間がウッカリ変な情報をのっけただけで、一瞬でプライバシーが崩壊することが容易に起こりえるってことだ。
怖い世のなかになったなぁ。
<<追記>>
コメント欄のにとよん様の指摘を受けて実際に検証してみた。どうやらIEの場合はフレームのセキュリティが高く自動ログインされない。しかし、FireFoxとOperaはやはり可能みたい。 最新の情報によると、imgタグなどに仕込むことでIEでも足跡がつくそうです。
投稿者 Taka : 2005年12月17日 02:22
book
bookmark
trackbacks
this entry's trackback URL:
http://www.fladdict.net/cgi-bin/mt3/mt-tb.cgi/417
このリストは、次のエントリーを参照しています: MIXIを使った、トラフィックの個人追跡システム:
» mixiねた from 俺様用チラシの裏
[http://www.fladdict.net/blog-jp/archives/2005/12/mixi.php:title] FirefoxだったらOp... [read more]
トラックバック時刻: 2005年12月17日 15:52
» mixiを使った個人追跡の可能性 from Kyan's BLOG II
【choiris??ちょいりす??】様経由で,fladdict.net blog: MIXIを使った、トラフィックの個人追跡システム
なるほど,これは恐ろ... [read more]
トラックバック時刻: 2005年12月20日 21:34
» MIXIの足跡トラップ from 日々カタルシス
fladdict.netより
MIXIを使った、トラフィックの個人追跡システム
なんだか盲点をつかれたというか、怖いですね、これ。
mixiの会員... [read more]
トラックバック時刻: 2005年12月22日 01:29
» 足跡逆探知 from 生存証明処「凹」
ブックマーク整理中に訪れたサイトのLink先より
MIXIを使った、トラフィックの個人追跡システム
思いもよらなかった事だけど、Mixiのアカウントとクッキ... [read more]
トラックバック時刻: 2005年12月24日 09:26
» mixiのIDが悪用される危険性 from Ars longa vita brevis.
> MIXIを使った、トラフィックの個人追跡システム 「mixiにオートログイ... [read more]
トラックバック時刻: 2005年12月25日 06:28
» Mixiにて from CRYSTAL-STYLE
MIXIを使った、トラフィックの個人追跡システム やろうとすると、こうゆう使い方... [read more]
トラックバック時刻: 2005年12月25日 23:32
» mixi怖い from garcons palace blog
mixiってやっぱり怖いと思ったのが、http://www.fladdict.net/にあった記事。
iframeは無理だけど、imgタグの読み込みで、ページを... [read more]
トラックバック時刻: 2006年01月13日 00:56
» mixiも追跡されるらしい from 此処カラ何ガ見エル
あけましておめでとうございます。たまには書いてみます。
で、更新頻度が低下した一因でもあるmixiな話。
MIXIを使った、トラフィックの個人追跡システム
... [read more]
トラックバック時刻: 2006年01月13日 03:02
» Mixiを利用してサイト訪問者の個人情報を探る from ラッキーカードの中のヒトなどいない!
自分のサイトに訪問者からは隠した形で自分のMixiアカウントを読み込んでおく。
そうすると、自分のサイトを訪問したヒトがMixiに加入してれば(かつログインし... [read more]
トラックバック時刻: 2006年01月13日 10:53
» MIXIに個人情報をさらすな(第2弾) from biaslookの日記
先日、「[http://d.hatena.ne.jp/biaslook/20051228#1135725093:title=MIXIに個人情報をさらすな]」を... [read more]
トラックバック時刻: 2006年01月15日 07:58
» mixi/GREE使っている人に警告 from mumble & murmur blog
ちょっとびっくりするような記事を見つけたのでご紹介。
fladdict.net blog: MIXIを使った、トラフィックの個人追跡システム
自分のサイ... [read more]
トラックバック時刻: 2006年01月15日 18:53
» mixi is NOT closed. from エレクトラ号
なんだかつい安心しがちだが、mixiもちょっと考えれば追跡されてしまうわけで。 これとか見れば、結構怖い感じ。自動ログインにしてあればこのサイトに足跡が残って... [read more]
トラックバック時刻: 2006年01月20日 19:21
» 本日のアンテナ from ワレメ
■色々な種類がある「恐怖症」リスト | everything is gone ■... [read more]
トラックバック時刻: 2006年01月24日 18:10
» 本日のアンテナ from ワレメ
... [read more]
トラックバック時刻: 2006年01月24日 18:11
» Lasik from Lasik
Lasik [read more]
トラックバック時刻: 2006年01月26日 09:22
» iPod User's from mixi(ミクシィ)ブログ
mixiコミュ紹介です♪
iPod User's
http://mixi.jp/view_community.pl?id=112 [read more]
トラックバック時刻: 2006年01月31日 22:10
» mixi 依存 赤文字大好き♪ from mixi(ミクシィ)ブログ
ログインした時に赤い文字があると妙に嬉しくなりませんか?
ないと寂しくなっちゃうアナタと赤文字フェチのあなたへ朗報です。
mixi内の幸せお届け便♪
... [read more]
トラックバック時刻: 2006年02月01日 03:24
» Pay Day Loans EZ from Pay Day Loans EZ
Pay Day Loan provider for [read more]
トラックバック時刻: 2006年02月01日 07:14
» mixiの落とし穴 from distacks
MIXIを使った、トラフィックの個人追跡システム
俺はmixiやってないから対岸の火事として紹介出来るんだが、
やってる人にとっては怖い隣家の火事かもし... [read more]
トラックバック時刻: 2006年02月01日 14:39
» mixi を使うときだけIEで from AUSGANG SOFT
[read more]
トラックバック時刻: 2006年02月07日 14:17
» 「マイミクの人は必ず見て」mixiの危険性 from first challenge
最近自分の周りでもmixiをしてる人が増えてきました。非常に嬉しい事だしメッチャ楽しい。 [read more]
トラックバック時刻: 2006年02月08日 15:27
» mixiの足あとをmixi以外のページでも取られちゃうらしい from 乗りログ
結構前からあったみたいだけど知らなかったorz もう各所で解説されていて、どこを紹介しようか迷いま... [read more]
トラックバック時刻: 2006年02月10日 23:12
» 「マイミクの人は必ず見て」mixiの危険性 from first challenge
最近自分の周りでもmixiをしてる人が増えてきました。非常に嬉しい事だしメッチャ楽しい。嬉しい事だしメッチャ楽しい。ついつい見てしまいますよね [read more]
トラックバック時刻: 2006年02月13日 19:30
» Memory Foam Mattress from Memory Foam Mattress
Memory Foam Mattress [read more]
トラックバック時刻: 2006年02月20日 08:38
» Retirement Planning from Retirement Planning
Retirement Planning [read more]
トラックバック時刻: 2006年02月20日 23:25
» Barbecue Secrets from Barbecue Secrets
Barbecue Secrets [read more]
トラックバック時刻: 2006年02月21日 03:47
» Color Contacts from Color Contacts
Color Contacts [read more]
トラックバック時刻: 2006年02月23日 05:13
» [警告]mixiの危険性 from 玩具箱
ちょっと前の話題ですけどこういう情報キャッチしにくい人もこのBlogを見てると思うので書いておきます。
mixiには自分のところに訪れた人の足あとが記録さ... [read more]
トラックバック時刻: 2006年02月24日 11:59
» real estate investing from real estate investing
real estate investing [read more]
トラックバック時刻: 2006年02月25日 05:48
» real estate investing from real estate investing
real estate investing [read more]
トラックバック時刻: 2006年02月26日 00:14
» color contacts from colorcontacts
color contacts [read more]
トラックバック時刻: 2006年02月27日 01:49
» Life Insurance from Life Insurance Hints
Life Insurance [read more]
トラックバック時刻: 2006年03月03日 16:01
» Life Insurance from Life Insurance Hints
Life Insurance [read more]
トラックバック時刻: 2006年03月05日 07:45
» mixi系ツールのまとめ リンク集 from 一日一杯
mixi用アプリケーション 外部拡張など、公開されている各種mixi用ツールなど... [read more]
トラックバック時刻: 2006年03月06日 17:59
» mixi 専用ブラウザ mixiCat 。 from ケセラセラBrand-new!
安全、便利に mixi を楽しむ。 最近、mixi以外のページにタグをはりつける... [read more]
トラックバック時刻: 2006年03月12日 18:00
» mixi 専用ブラウザ mixiCat 。 from ケセラセラBrand-new!
安全、便利に mixi を楽しむ。 最近、mixi以外のページにタグをはりつける... [read more]
トラックバック時刻: 2006年03月12日 18:07
» mixi 専用ブラウザ mixiCat 。 from ケセラセラBrand-new!
安全、便利に mixi を楽しむ。 最近、mixi以外のページにタグをはりつける... [read more]
トラックバック時刻: 2006年03月12日 18:08
» mixi 専用ブラウザ mixiCat 。 from ケセラセラBrand-new!
安全、便利に mixi を楽しむ。 最近、mixi以外のページにタグをはりつける... [read more]
トラックバック時刻: 2006年03月12日 18:11
» Real Estate Investing from Real Estate Investing
Real Estate Investing [read more]
トラックバック時刻: 2006年03月12日 22:58
» Memory Foam Mattress from Memory Foam Mattress
Memory Foam Mattress [read more]
トラックバック時刻: 2006年03月14日 00:44
» Retirement Planning from Retirement Planning
Retirement Planning [read more]
トラックバック時刻: 2006年03月15日 04:33
» cricket news from cricket
cricket news [read more]
トラックバック時刻: 2006年03月19日 12:01
» Closet and Room Organizer from Closet and Room Organizer
Closet and Room Organizer [read more]
トラックバック時刻: 2006年03月23日 08:03
» lawyer information from lawyer information
lawyer information [read more]
トラックバック時刻: 2006年03月27日 12:24
» acne treatment from acne treatment
acne treatment [read more]
トラックバック時刻: 2006年03月30日 04:35
» basketballhoop from basketballhoop
basketballhoop [read more]
トラックバック時刻: 2006年03月30日 14:36
» cricket scores from cricket scores
cricket scores [read more]
トラックバック時刻: 2006年04月01日 11:29
» lif insurance from lifeinsurance
lif insurance [read more]
トラックバック時刻: 2006年04月02日 00:18
comment
こんばんは。
「勝手にフォーム送信」はいろいろ騒がれましたが、
個人特定できるアクセス履歴とは恐ろしいですね。
mixi は 200万人を突破したそうです。
大きな都市の人口みたいなもんですね!
by ゆうすけ : 2005年12月17日 02:58
なるほど~、足跡を使ってそんなことができるとは思いつきませんでした。SNSって本当に普及して便利になったなぁと感じますが、いいことばかりではないのですね。
by 木本達朗 : 2005年12月17日 08:42
http://internet.kill.jp/d/200502.html#d14_t2
ちなみにこの時点でその裏技は提唱されていましたが、まだ実際にやっているひとは見かけた事が無いですね。
by otsune : 2005年12月17日 13:22
iframeなどで読み込んだページは、直で開いたページと異なったものと判断され、Cookieは読み込めないと思うのですが。
by fedoro : 2005年12月17日 19:30
>fedoroさん
いえiframeを持ったサイトのクッキーと、mixiのアカウントが紐づけられるのが、ヤバイという意味です。iframeで読んだ先のクッキーを盗むわけではないっす。
by Taka : 2005年12月17日 19:38
こわいですね。
せめて、mixiには「自分がアクセスした(足跡をのこした)人」リストを見る機能をつけてもらわないと…。
by sugi2000 : 2005年12月17日 20:58
> Taka 様
iframe や別フレームで mixi.jp のページを開いても、クッキーが mixi.jp のサイトに送信されることはありません。
つまり、クッキーがない状態で mixi のページを表示したのと同じ結果になり、mixi の自ページを表示してもログインの画面が表示されることになります。
だから、隠し iframe で開いたとしても、mixi の自ページに足跡がつくこともありませんよ。
by にとよん : 2005年12月17日 22:28
>にとよん様
情報ありがとうございます。
ちょっと今、気になって検証してみたのですが、IEでは外部フレームだとトップに転送されますが、FireFoxやOperaではやっぱり中に移動できました。
ローカルで検証しただけですが、
なんかブラウザ毎に挙動が違うみたいですね。
by Taka : 2005年12月17日 23:07
知り合い向けに運営してる自サイトで予め断った上で試してみたんですけど、OPERAユーザーはしっかり足跡残していきますね。あと、妙な結果が出ちゃったので誰か追加検証お願いします。
IEユーザーの足跡なんですけど、
足跡を見ると1時間前に足跡踏んでいるのに、
その人のトップページを見ると最終ログインは4時間前と表示されてて、単なる勘違いかとも思ったのですが、本人に聞いてみたら確かに1時間前に自サイトを訪問したけど、mixiにログインしたのはもっと前と言ってたので、何か妙な結果になりました。誰か実際に検証してみてくれませんか?
縦横1ピクセルのiframeで試してて、フレーム内のページはid指定して自分のmixi内のページが開くようにしてます。
by 名無しです : 2005年12月18日 00:11
はてブからきました。
確かに一見恐いですけど、mixiの誰であるかを特定したとして、それからどんなアクションを起こすのでしょう?あぁ、この人が見にきたのかぁっていう自己満足で終わりそうな気がします。
トラフィックの多いサイトだとmixiの足あとは頻繁に更新されてしまうのであまり意味ないですし。
by まったりん : 2005年12月18日 01:42
>まったりんさん
こんばんは。
ウチみたいな弱小個人サイトがこれをやっても意味がありませんが、仮にここが違法ポルノサイトだったらどうでしょう?それもチャイルドポルノなどの社会的地位を確実に破壊する類のモノです。MIXIから個人情報が紐つけられてしまえば、脅迫なんだろうとなんだろうとやり放題です。トラフィックが多かろうと、ユーザーの訪問と動機して足跡を保存すればいいことですし。
こういう系は1000人ひっかけて1人特定できれば、そいつからウン百万というトラップなので、やっぱ怖いっすよ。
by Taka : 2005年12月18日 02:01
ちょっと疑問。
どうやって自サイトに埋め込んだmixiページへのアクセスか
mixiページそのものへのアクセスかを見分けるんでしょう?
それ専用のmixiアカウントを作ったところで、
ソーシャルネットワークなので、必ず紹介している誰かがいます。
そこから流れてくる可能性は0じゃないはずです。
まぁ、この場合も「100%の判別は出来ない」ってだけで
「ほぼ100%近い特定は可能」なんで、
スパムより怖い何かの格好のターゲットにはなり得るはずですが。
by 通りすがり : 2005年12月18日 11:16
>通りすがりさん
僕自身はMixiの偽装アカウントの作り方に詳しくないのですが、捨てメアドを何度も招待して中間のアカウントを削除してしまえば事実上は検索でしかヒットしないアカウントが作れるんじゃないでしょうか。
あるいは複数回足跡をつけた人を、サイトのクッキーと時間で照合して絞り込むとか。
by Taka : 2005年12月18日 13:32
cssのbackground-imageに指定するだけでいけますよ。
by 通りすがり : 2005年12月18日 13:39
imgタグでもいけますね。なので、IEでも実行可能です。
by kusigahama : 2005年12月19日 16:23
>通りすがりさん
>kusigahamaさん
うわ、ほんとだ。これ思ったよりヤバイですね。
厳密にはセキュリティホールというわけではないと思ってたんですが、こりゃmixiに属していること自体が(情報公開してる人にとって)セキュリティホールになりかねませんね。
mixiにちゃんと通報しておこうかな。
by Taka : 2005年12月19日 20:41
こりゃエロサイトを見るブラウザやマシンは分けておけって話ですかね。
他サイトからのリファラーがあったら、一旦ログインページを経由させるとかにしてもらうと大丈夫なんでしょうか?そもそも会員制の割に認証がオープンすぎるなぁとは思ってましたが。やっぱり問題あるもんですね。
by f-shin : 2005年12月20日 21:05
>f-sinさん
エロと違法サイト好きは注意しろって話っすね。
mixi側が妥当な対策をするとしたら、サイト外からのリファラは、クリックしてmixi内部に移動(外部日記の処理の逆)をやるってことっすかねぇ。
by Taka : 2005年12月21日 00:22
phpで書かれたら、クライアントサイドからは全く見えない形で踏ませる事が出来るね。
対策のしようもないように思える
by Test : 2006年01月13日 09:13
ブラウザで可能であるならばHTML形式のメールに仕込む事も可能かと・・・
by 謝謝 : 2006年01月14日 06:42
毎回ログアウトすればいいじゃない。
そうしてるよ。
by こめこ : 2006年01月18日 01:09
この問題に対処するFirefox拡張を作ってみました。
http://kaede-software.com/xpi/mixiexsblock.html
mixi外からのmixi内の特定ページ移動がかなり制限されるので不便になりますが、しかたないかなと。
by じん : 2006年01月20日 21:53
Hi everyone! I think this article is very interesting and useful. I always bookmarked it.
Thank You very much!!! If interesting please visit my site: http://ubtt.org/ or
ubtt
by mp3 downloads : 2006年03月16日 09:09