「プライバシー」カテゴリーアーカイブ

SocialSharePrivacy – ソーシャルメディアの埋め込みボタンに訪問を追跡させないライブラリ

SocialSharePrivacy は、ウェブサイトの提供者が、利用者に対してプライバシーが保たれるソーシャルメディアボタンを提供するためのライブラリです。

デモページを動かしてみました。スライダーでボタンを有効にしない限り、フェイスブックやツイッターのサーバに情報は送られません。

まずボタンを有効にするアクションを起こすと、初めてメディアが提供するボタンが有効となり、この時点でそのページに訪問したことは各サービスにも伝わります。そして、有効になったボタンをクリックすると、「イイネ」等をすることができます。

2回クリックをしなければならなくなった代わりに、そのページに訪問したことは各ソーシャルメディアサービスには知られずに済む、ということになります。

サイト訪問をしていることをソーシャルメディアから常時されるのは困る、しかし、イイネ等をしたい時にはできるようにしてほしい、という多少込み入った要件のサイトがあれば、このライブラリが一つの解決法となるでしょう。

SocialSharePrivacy のコードはすべてGitHub で公開されています。

Nefarious LinkedIn – リンクトインに監視されてるブラウザ拡張を確認できるツール

ビジネスSNSの LinkedIn のサイトが、ユーザーの使っているブラウザ拡張を監視する JavaScript のコードを埋め込んでいるそうです。

発見者のダン・アンドリュース氏(Dan Andrews, GitHub @dandrews)は、これがユーザーのプライバシーを侵害した、スパイ行為だと書いています。

Hacker News のコメントでは、スパイ行為というより、LinkedIn のユーザー情報を集めてスパムを送ろうとする悪質な業者の拡張をリストする、つまりユーザーを守るためにやっているのではないか、という反論もあります。

リンクトインのビジネスモデルの一つは、有料ユーザーになると他の多数のメンバーに直接連絡が取れるというものですから、ユーザー情報を抜き出して直接連絡されては商売の邪魔だ、という指摘もあります。

リンクトイン側が問題なのか、各ブラウザ拡張の提供側が問題なのかはわかりませんが、リンクトインがブラウザ拡張の存在を知るためには2つの仕組みが使われているそうです。

一つ目は、拡張が使うリソースの存在から調べるという方法。ローカルに展開された画像などのリソースにアクセスしてみて、そのファイルが存在すればブラウザ拡張がインストールされているとわかる、というものです。

二つ目は、監視対象の拡張が動作することで使われるデータを調べる方法。たとえば、html のid や class の存在を読んでみて当てるというもの。

リンクトインのウェブサイトは、これらの情報から監視対象のブラウザ拡張の有無を調べ、localStorage に拡張名を暗号化した上で保存しているようです。

ブラウザ拡張でチェックされているものを確認

アンドリュース氏が作成したChrome拡張 Nefarious LinkedIn は、LinkedIn が存在を追跡している Chrome拡張のリストを表示してくれるというものです。現在は、38個のブラウザ拡張がチェックされているよう。

インストールして LinkedIn を開きログインすると、右上のアイコンから実際に監視されている拡張のリストを表示することができます。

via Hacker News

Fuzzify.me – フェイスブックでどんな広告のターゲットにされてるか一覧・管理できるブラウザ拡張

オープンソースのブラウザ拡張fuzzify.meは、Facebook が表示するターゲット広告の種類や内容を把握しやすくし、必要であればターゲットから自分を外すこともできるツールです。Mozillaフェローのハン・ド・チー・ダックさん(Hang Do Thi Duc)らが開発・公開したものです。

拡張は Firefox 向けと Chrome 向けが提供されていて、GitHub でソースコードも公開されています。拡張機能のインストールには、Facebook にアクセスした時の情報を与える必要がありますが、これは機能を考えると仕方のないところでしょう。

広告ブロッカーが入ってると動きません。また、シークレットモードでも動作しません。

拡張を入れてからフェイスブックを開くと、広告の上下に紫の線が表示されます。

数分間フェイスブックのタイムラインを眺めてからFuzzify.me のボタンを押すと、専用のタブが開き、表示された広告がずらずらと列挙されます。

それがターゲット広告であれば、広告のスポンサー名や写真・本文の他に、「フェイスブックがこの広告を自分向けに表示した理由」がグレーのボックス内に表示されます。たとえば「プロフィールや位置情報から、日本に住む18歳~60歳と判断して出した」「likeしたページやクリックした広告の種類から、テクノロジーに興味があると判断して出した」といったもの。

これらのターゲット化の根拠情報は、実は通常のFacebookサイト上で、広告の右上のメニューから「このメッセージが表示される理由」を選べば読めるものです。

この拡張機能が何か特別なことをして読めるデータというわけではないのですが、自分でどれが広告か認識し、メニューからわざわざ開いて見に行くのと、こうやって一覧して表示されるのでは、使い勝手は全く違うものになりますね。まあ、Facebook や広告主としてはあまりチェックしてほしい情報ではないのかもしれませんが。

拡張からは広告設定のページに飛び、複数の被ターゲット状態をチェックボックスでまとめて削除することもできるようになっています。

via Venture Beat

ウェブ広告を片っ端からクリックすることで広告ネットワークの追跡に抵抗するブラウザ拡張 Adnauseam

AdNauseam は、ブラウザ上に表示された広告を、自動的に見つけてクリックしてくれるというブラウザ拡張機能です。

広告ブロックをする拡張 uBlock をベースに作られた AdNauseam は、ブロックした広告に対して、間隔を空けて(=人間がクリックするかのように、ということでしょう)一つずつ、クリックして背後で広告を読み込んでいきます。

なぜそんなことをさせるのか? AdNauseam の作者たちの主張はこうです。

ブラウザの”Do not track”(私を追跡しないで)ヘッダは、多数の企業が協力しなかったため、使い物にならなくなった。広告ネットワークが我々の閲覧情報を売り渡し続けるのであれば、広告をブロックした上で、その広告をすべてクリックするしかない。すべてをクリックすることで、あなたを追跡しようとする企業は混乱するだろう。

adnauseam-io-1

何に対して興味を持っているのか、追跡して分析されたくない、という意思表明(Do not track)をしても追跡されてしまうなら、全部の広告を押すというのは確かに効果があるのかもしれません。すべてに興味を示すユーザーは、何に興味を示しているのかわからなくなるのですから。

# ただ、いろんなものを「買うかもしれない」判定しちゃう広告ネットワークもあるかもしれませんが

2017年には、このAdNauseam拡張、Chrome の拡張Store から「利用規約違反」という理由で削除されています。違反してるとされた規約にどう違反してるかの詳細な説明は受け取ってないとこの作者たちは言っていますが。

ウェブサイト上の広告での儲けが主要な売り上げであるGoogle社としては、普及すると都合の悪い拡張機能でしょうね。

開発者モードで頑張ればChromeでもインストールできなくはないですが… Firefox版Opera版は、それぞれの公式ストアからインストールできます。

現状のウェブと広告に対する抗議の意味を持った拡張機能ですが、議論を呼ぶものだし大なり小なり広告収入を得ている人にとっては迷惑と感じられるのかもしれません。

トランプ大統領夫人のメールアドレスをFacebookから探し当てたハッカーの手法

ベルギーの「倫理的な」ハッカーが、フェイスブックのアカウント回復フォームを使って、メラニア・トランプ大統領夫人のメールアドレスを特定し、メールを送った、というニュースです。

ベルギー北部の人口8万人の町アールストを愛する Inti De Ceukelaire さん(@intidc)は、トランプ大統領のベルギー訪問にあわせて、夫人に「ベルギーのラスベガス、ただし金持ちとカジノとホテルは無い」アールストを訪問することを薦めたメールを送ったそうです。

昔からある「メールアドレスからFacebookアカウントを見つける」話ではなく、「Facebookアカウントを持ってる人のメールアドレスを当てる」話です。

必ずアドレスがわかるわけではなく、人によってはアドレスがわかってしまうかもしれないヒントが得られるということなのですが、その手順はこんな感じ。

ログインしてない状態で、「アカウントを忘れた場合」をクリックします

「アカウントを検索するには、メールアドレスまたは電話番号を入力してください。」と言われるのですが、ここでメールでも電話番号でもなく、名前を入れます。

そうすると、合致したり似ているユーザーが出てくるので、

ターゲットを選ぶと、こんな風に、アスタリスクで色々隠されたメールアドレスが表示されるというわけ。

ドメイン名の方は、@gmail.com などだとそのまま表示されるようですし、@y****.c*.jp みたいに隠されていても、よくある無料メールのドメインなら「あ、@yahoo.co.jp だなこれ」とわかることもあるでしょう。

アカウント名の方はというと、 c******8@ みたいに、先頭と最後の文字が表示されるようです。

メラニア夫人のメールアドレスがどんなものだったか、は@intidc さんもモザイクで隠しているのですが、当てることができたということは、ドメインはトランプ氏の関連のものかアメリカ政府関係のものか、あるいはgmail や yahoo mail 等のメジャーなものだったのかもしれません。

そして、アカウント名の方も、たとえば m*****a@ みたいな名前そのままとか、m*******1@ のように名前+数字数桁、が推測できるようなものだったのかもしれません。@intidc さんはスクリプトを回してメールが届くアドレスを探したようなので、後者のように総当たり可能なレベルで明らかなアカウント名だったのでしょうか。

名前等から推測できず、同じ人がツイッターやインスタグラム等別のサービスで使っているアカウントと同一でもなく、極端に短く(3文字で先頭と最後がばれたら後は簡単です)もなければ、必ずメールアドレスがばれる、という話ではなさそうですが、人によっては隠しているつもりのアドレスがまったく知らない他人に推測されてしまうこともありそうです。

via HLN.be via TheNextWeb

フェイスブックCEOマーク・ザッカーバーグ氏のプライバシー防衛術

Facebook社が大金をはたいて買収した、スマートフォン写真共有サービス Instagram の月間ユーザー利用数5億人突破したということで、Facebook 創業者でCEOでもあるマーク・ザッカーバーグ氏がFacebookアカウントで祝意を寄せています。

More than 500 million people now use Instagram every month — and 300 million every day. The Instagram community has…

Mark Zuckerbergさんの投稿 2016年6月21日火曜日

この写真を見てChris Olsonさん(@topherolson)がツイッター上で指摘したのは、ザッカーバーグ氏の使っているラップトップの様子。

  • カメラがテープで塞がれている
  • マイクがテープで塞がれている
  • メールクライアントは Thunderbird

zuckerberg-laptop-with-camera-taped

ソーシャルでの写真の共有を、そして最近は動画の共有を強力に推進しているフェイスブックの長としてどうなんだ、という話もあるでしょうけど、常に注目される富豪&有名人としては、身の回りの情報が間違っても他者に収集されないように気を配る必要があるのかもしれませんね。

セキュリティのチェックをしてくれる有能なスタッフがまわりにたくさんいるであろう氏がここまでの注意を払っているのですから、大事な情報を扱っている人はラップトップやスマートフォン等のカメラやマイクは塞いで置くことも検討したほうがいいのかもしれません。