Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる
twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。結論として、当該ツールバーを導入すると、利用者のアクセス履歴(SSL含む)が平文で送信され、盗聴可能な状態になります。 追記(2012/08/10 20:10) たくさんの方に読んでいただき、ありがとうございます。一部に誤解があるようですが、ツールバーが送信している内容はURLだけで、Cookieやレスポンスまでも送信しているわけではありません。URLを送信するだけでも、以下に示す危険性があるということです。 追記終わり 追記(2012/08/13 23:50) ポイントツールバーにバージョンアップがあり、WEB閲覧履歴の送信がSSL通信に変更されました。従って、WEB閲覧履歴が盗聴可能な状況は回避されました。本日22:50頃確認しました。
ソフトウェア開発プロジェクトをとりまく6つの誤解〜プログラミングを経験しないとわからないこと | Social Change!
続きを書きました → 伝えなければ伝わらないという当たり前の話 ソフトウェア開発に関する相談を受ける中で、どうもソフトウェアというものの特性について誤解をされているな、という思いを持つことがあります。 そうした場合、聞いてみるとプログラミングの経験が無かったり、殆どプログラミングには携わったことがないという方が多いです。 ソフトウェアを開発しようとするならば、ソフトウェアという特性をよく知った上で、プロジェクトは運営した方が良いし、うまくいくはずです。そしてソフトウェアならではの特徴を知るのに、プログラミングの経験はとても重要です。 この記事では、プログラミング経験の無い方が陥ってしまいがちな、ソフトウェア開発にまつわる誤解について考えてみました。 Harry Potter is Ready for Divination / weekbeforenext 誤解:既にあるソフトウェアを流用し
WEB履歴全部収集しちゃう系ブラウザ拡張は作るべきではない、絶対に。 - キモブロ
なぜか。それは社内インターネットや社内システムに対するクエリなんかのログも意識せずに送信されてしまう可能性が高いこと。アプリケーションの側からはアクセス先が社内システムであるかどうかはわからないからだ。 たとえば社内システムでその会社の"お客様"の個人情報が扱われていたとしてそれがQUERYパラメーターに付加されていたとする。それがログに残ってしまう。"そんなデータ使わねぇよ"って感じではあるかもしれないけどもこれが送られてしまっている事自体に気持ち悪さを感じる。そして平文のHTTPであれば中間者攻撃によりそのログは取得可能であり、すべてのWEBクエリを中間者攻撃により搾取しやすいということでもある。 また無知なユーザーは当然そういうのもよくわかってないわけだし、たとえば"お客様のWEB閲覧履歴を取得・利用することについて同意してください"みたいな規約に同意することが、"社内インターネット
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Mozilla Connect
/ WSJ日本版 - jp.WSJ.com - Wsj.com
hamano's gist: 3303697 — Gist
