HTML・CSSの仕様バグと、ブラウザの対応 : blog::tani.masaru
このブログでも何度か取り上げたが、ユーザー行動ターゲティングとプライバシーの問題についてMozilla Japanのブログでエントリーがあったために取り上げる。 元記事:Mozilla Japan ブログ - CSS によるブラウザ履歴の漏えいを防ぐ取り組みより Mozilla では日頃からユーザのプライバシー保護に注力しており、誰でも簡単に利用できる 様々なプライバシー機能 を Firefox に追加してきましたが、このたびブラウザの履歴漏えい問題についての対策を本格的に行うことになりましたのでご紹介します。 ここで取り上げられているのはHTMLやCSSの仕様バグを用いたブラウザ閲覧履歴をユーザーに無断で抜き出す問題であり、具体的にはドリコムが作成し楽天やライブドアが利用している「ad4U」というユーザー行動ターゲティング広告で利用されているものである。 ユーザー行動ターゲティングって?
【レポート】Black Hat USA 2007 - 外部からイントラネット内を攻撃 - JavaScriptなしで再現 | エンタープライズ | マイコミジャーナル
昨年のBlack Hat Briefingsでは、WhiteHat SecurityのJeremiah Grossman氏が「外部からイントラネット内のWebサイトをハッキング (Hacking Intranet Websites form the Outside)」というタイトルの講演を行った。一般的に安全と思われているイントラネット内の環境であっても、XSS (Cross-site Scripting)攻撃が仕掛けられたWebサイトにアクセスするだけで外部からアクセスされてしまう可能性を指摘した。今年のBriefingsでも同氏は同じテーマを取り上げた。ただし「JavaScriptマルウエアを使わなくても……(Fun With and Without JavaScript Malware)」という副題がついている。 WhiteHat SecurityのJeremiah Grossman
CSSによるWeb訪問履歴の漏洩に具体的対策、楽天ad4Uなど無効化へ
Mozillaは、CSSを利用することで利用者の訪問履歴が漏洩する可能性のあるWebブラウザの機能を改善することを明らかにしました。これは、楽天ad4Uのような、CSSやJavaScriptを用いて利用者の履歴を取得しているインターネット広告への対策として考えられたものです。 利便性のための機能から訪問履歴が漏洩 Webブラウザ上のリンクは、訪問したことのあるリンク先に対して色や文字の大きさなどのスタイルを変更することができます。これは、Webブラウザの画面上でどのリンクが訪問済みなのかを知らせるための、ユーザーの利便性を想定して作られた機能です。 しかし一部のインターネット広告では、これを利用して広告の中に大量のリンクを埋め込み、そのリンクの中から訪問済みのスタイルになっているリンクを自動的に探しだすことでユーザーの訪問履歴を取得。履歴情報をいわゆる行動ターゲティング広告の手段としている
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://neta.ywcafe.net/000930.html
