Unicodeの空白文字を使ってクリックトラッキング

訪問するユーザー毎に、あるいはリンク元ごとに異なるURLを表示することで、どのリンクをクリックされたかを判別するクリックトラック。URL の末尾に ?utm_source= などで始まる長いパラメーターがついてれば、サイトの訪問者から見ても追跡していることは明らかですね。

コードとしては存在するんだけどちょっとあるように見えない文字、たとえば Unicode の幅の無い空白文字や幅がとても狭い空白文字を使うことで、気づかれにくいトラッキングができるのではないか、というブログ記事が Hacker News で上がっていました。

サンプルリンク

上のリンクの末尾には「幅ゼロのスペース(U+200B)」がつけられていますが、ブラウザでリンクを指してもパッと見にはわかりません。

20個以上あるという空白文字を組み合わせて使えば、一見何もついてないのにリンク元毎に追跡できるようなページやメールも作れるということでしょう。

これらの空白文字をもしホスト名の部分に使っているとしたら、それはフィッシング等悪用の可能性が高いため、ブラウザのブラックリストに入れられるだろう、という元記事へのコメント欄での指摘もあり、ドメイン名だけでなくパスやパラメーターに使うのも同様に問題となる可能性もあります。まあ自分で使うかは慎重にということですが、他人がこういう手段を使ってくることもあるかも、というのは知っていてもいいのかもしれません。

via Hacker News

「Unicodeの空白文字を使ってクリックトラッキング」への5件のフィードバック

  1. “リンクの末尾には「幅ゼロのスペース(U+200B)」がつけられていますが、ブラウザでリンクを指してもわかりません” / Unicodeの空白文字を使ってクリックトラッキング | 秋元@サイボウズラボ http://t.co/5AR5jr4jQo Firefoxでは一目瞭然。

コメントを残す

メールアドレスが公開されることはありません。