2011年12月5日

高木浩光セソセイがconnectfreeに興味を持ったようです

インターネットセキュリティとプライバシーの研究の第一人者高木浩光氏によるconnectfreeの実地調査
43
Hiromitsu Takagi @HiromitsuTakagi

その通りです。amazon以外を含む全てで。RT @hamanako コネクトフリーを使ってインターネットに接続している間にAmazonで買い物をすると、コネクトフリーの人にtwitterとFacebookのアカウントと買い物の内容と、それを行った場所や時間まで全部送信されると…

2011-12-04 23:52:27
🌊🐳🐋🐬 @cetacea

と思ったら Connectfree の社長が同じ人だったでござる

2011-12-04 23:49:02
🌊🐳🐋🐬 @cetacea

traceroute すると Bit-isle にホストしてるっぽい。んでこの会社、 http://t.co/hnpcBfXq なんだろうけど、代取の名前が一致。一応パートナー会社扱いになってるけど、実態の程は?取引先にもDNPの名前が出てこない。なぜ?

2011-12-04 23:47:52
🌊🐳🐋🐬 @cetacea

んで、正引きすると http://t.co/3D3XVaNRhttp://t.co/i0LZSvs0 のCNAMEで、これのIPが 118.67.70.131 、割り当てはJPNIC直下で「CROSS BORDERS Inc」という会社

2011-12-04 23:44:26
🌊🐳🐋🐬 @cetacea

ふつー、商用サービスで dyndns をNSに据えるなんてあるの?

2011-12-04 23:41:13
🌊🐳🐋🐬 @cetacea

んで、 am6.jp も素性がよくわからんのだよな。登録はペパボで、NSがなぜかdyndns。流石にサブドメイン開放ではないだろうし、普通に考えれば運営元は http://t.co/8cWATASf なんだけど、am6のサービス自体がβ扱いでまともなページがないという

2011-12-04 23:40:22
🌊🐳🐋🐬 @cetacea

@HiromitsuTakagi 挿入されるというam6.jpからのスクリプトです。twitter のtwttrオブジェクト、facebookのEnvオブジェクトから読み出した後、ajaxで http://t.co/slOj25NH に送信してます

2011-12-04 23:37:15
🌊🐳🐋🐬 @cetacea

Facebook、twitterは端末・APのMACアドレスと紐付けた上、ユーザーIDを読み取って送信。amazonはアフィリエイトID仕込んでる。 RT @HiromitsuTakagi (略)そのSRC属性に http://t.co/c6vTEIQ0 が指定されている。

2011-12-04 23:05:49
🌊🐳🐋🐬 @cetacea

これアウトどころの話じゃねーぞ…

2011-12-04 22:56:29
🌊🐳🐋🐬 @cetacea

閲覧ページに無理矢理scriptを押し込めるので、ページ内グローバル変数はどこからでも参照可能というのを使ってえげつないことしてる

2011-12-04 22:56:20
🌊🐳🐋🐬 @cetacea

ひどいっていうレベルじゃねーぞ…

2011-12-04 22:55:30
🌊🐳🐋🐬 @cetacea

しかも amazon アクセスしたらアフィ勝手に仕込んでるぞ…

2011-12-04 22:52:20
Hiromitsu Takagi @HiromitsuTakagi

まあ、英国でPhormで起きた事案と似ているわけだが、それより遥か彼方に逝っている。

2011-12-04 23:51:06
Hiromitsu Takagi @HiromitsuTakagi

コネクトフリーで私の日記に来た人は、MACアドレスを私に見られる(ように私が仕掛けを仕込むことができる)という意味ですね。 RT @bulkneets ページ側に罠を仕掛けておけば訪問者の端末のMACアドレスを抜けるのでは

2011-12-04 23:49:58
Hiromitsu Takagi @HiromitsuTakagi

しかし、TwitterやFacebookのIDと紐付けて、どう利用するつもりなんだ。コネクトフリーの奴ら、絶対、個人的に見てニヤニヤしてるだろ。

2011-12-04 23:47:43
NIIDATE Kunitaka @nidate

心底見下げ果てたやつだ。そこまで酷いと思わなかった。

2011-12-04 23:47:15
Hiromitsu Takagi @HiromitsuTakagi

しかし、日本法において法的な対処は可能なのか? どうるんのこれ? とりあえず、良識ある大日本印刷株式会社様なら、提携解消だよな。当然。

2011-12-04 23:46:08
NIIDATE Kunitaka @nidate

@HiromitsuTakagi Twitterにアクセスしたらscreen_nameを収集していると?

2011-12-04 23:45:35
Hiromitsu Takagi @HiromitsuTakagi

信じられない。こんなことをやって許されると思ってるのか。

2011-12-04 23:44:24
Hiromitsu Takagi @HiromitsuTakagi

if ((document.location+"").match("://twitter.com/")){略 window.cfjs_jq.ajax({ 略 suname:twttr.currentUser.screenName

2011-12-04 23:43:02
NIIDATE Kunitaka @nidate

@HiromitsuTakagi これはページ内にAmazonのアフィリエイトが入っていたら置き換えて乗っ取っているということでしょうか。

2011-12-04 23:41:00
Hiromitsu Takagi @HiromitsuTakagi

if (!((document.location+"").match("://www.amazon.co.jp/"))) { (略) this.href = uri_rewrite(this.href+"", {'tag':'cfnetwork-22'} ) });

2011-12-04 23:36:34
Hiromitsu Takagi @HiromitsuTakagi

うわーーーーーーーまじだ。

2011-12-04 23:34:39
残りを読む(20)

コメント

椎路ちひろ @ChihiroShiiji 2011年12月5日
@bulkneets氏、@sakichan氏あたりの関連Tweetも収録されると嬉しいかなと。
0
西口昌宏 @mahbo 2011年12月5日
やはり時代は基本SSLとなったと思う
0
椎路ちひろ @ChihiroShiiji 2011年12月5日
関連まとめ「公衆無線LANのConnectFree、利用するとAmazonアフィなどが勝手に組み込まれるらしい」http://togetter.com/li/223293
0
椎路ちひろ @ChihiroShiiji 2011年12月5日
関連まとめ:「connectFreeについて高木浩光さんのツイートまとめ(12/05 06:00まで)」http://togetter.com/li/223351
0
NIIDATE Kunitaka @nidate 2011年12月6日
僕のまとめたのは更新が追いついていないので、他の方のまとめを参照されたほうが良いと思います。 http://togetter.com/li/223293
0