高木浩光セソセイがconnectfreeに興味を持ったようです

インターネットセキュリティとプライバシーの研究の第一人者高木浩光氏によるconnectfreeの実地調査
インターネット 高木浩光 プライバシー privacy connectfree セキュリティ security
15073view 5コメント
43
Hiromitsu Takagi @HiromitsuTakagi
その通りです。amazon以外を含む全てで。RT @hamanako コネクトフリーを使ってインターネットに接続している間にAmazonで買い物をすると、コネクトフリーの人にtwitterとFacebookのアカウントと買い物の内容と、それを行った場所や時間まで全部送信されると…
🌊🐳🐋🐬 @cetacea
と思ったら Connectfree の社長が同じ人だったでござる
🌊🐳🐋🐬 @cetacea
traceroute すると Bit-isle にホストしてるっぽい。んでこの会社、 http://t.co/hnpcBfXq なんだろうけど、代取の名前が一致。一応パートナー会社扱いになってるけど、実態の程は?取引先にもDNPの名前が出てこない。なぜ?
🌊🐳🐋🐬 @cetacea
んで、正引きすると http://t.co/3D3XVaNRhttp://t.co/i0LZSvs0 のCNAMEで、これのIPが 118.67.70.131 、割り当てはJPNIC直下で「CROSS BORDERS Inc」という会社
🌊🐳🐋🐬 @cetacea
ふつー、商用サービスで dyndns をNSに据えるなんてあるの?
🌊🐳🐋🐬 @cetacea
んで、 am6.jp も素性がよくわからんのだよな。登録はペパボで、NSがなぜかdyndns。流石にサブドメイン開放ではないだろうし、普通に考えれば運営元は http://t.co/8cWATASf なんだけど、am6のサービス自体がβ扱いでまともなページがないという
🌊🐳🐋🐬 @cetacea
@HiromitsuTakagi 挿入されるというam6.jpからのスクリプトです。twitter のtwttrオブジェクト、facebookのEnvオブジェクトから読み出した後、ajaxで http://t.co/slOj25NH に送信してます
🌊🐳🐋🐬 @cetacea
Facebook、twitterは端末・APのMACアドレスと紐付けた上、ユーザーIDを読み取って送信。amazonはアフィリエイトID仕込んでる。 RT @HiromitsuTakagi (略)そのSRC属性に http://t.co/c6vTEIQ0 が指定されている。
🌊🐳🐋🐬 @cetacea
これアウトどころの話じゃねーぞ…
🌊🐳🐋🐬 @cetacea
閲覧ページに無理矢理scriptを押し込めるので、ページ内グローバル変数はどこからでも参照可能というのを使ってえげつないことしてる
🌊🐳🐋🐬 @cetacea
ひどいっていうレベルじゃねーぞ…
🌊🐳🐋🐬 @cetacea
しかも amazon アクセスしたらアフィ勝手に仕込んでるぞ…
Hiromitsu Takagi @HiromitsuTakagi
まあ、英国でPhormで起きた事案と似ているわけだが、それより遥か彼方に逝っている。
Hiromitsu Takagi @HiromitsuTakagi
コネクトフリーで私の日記に来た人は、MACアドレスを私に見られる(ように私が仕掛けを仕込むことができる)という意味ですね。 RT @bulkneets ページ側に罠を仕掛けておけば訪問者の端末のMACアドレスを抜けるのでは
Hiromitsu Takagi @HiromitsuTakagi
しかし、TwitterやFacebookのIDと紐付けて、どう利用するつもりなんだ。コネクトフリーの奴ら、絶対、個人的に見てニヤニヤしてるだろ。
NIIDATE Kunitaka @nidate
心底見下げ果てたやつだ。そこまで酷いと思わなかった。
Hiromitsu Takagi @HiromitsuTakagi
しかし、日本法において法的な対処は可能なのか? どうるんのこれ? とりあえず、良識ある大日本印刷株式会社様なら、提携解消だよな。当然。
NIIDATE Kunitaka @nidate
@HiromitsuTakagi Twitterにアクセスしたらscreen_nameを収集していると?
Hiromitsu Takagi @HiromitsuTakagi
信じられない。こんなことをやって許されると思ってるのか。
Hiromitsu Takagi @HiromitsuTakagi
if ((document.location+"").match("://twitter.com/")){略 window.cfjs_jq.ajax({ 略 suname:twttr.currentUser.screenName
NIIDATE Kunitaka @nidate
@HiromitsuTakagi これはページ内にAmazonのアフィリエイトが入っていたら置き換えて乗っ取っているということでしょうか。
Hiromitsu Takagi @HiromitsuTakagi
if (!((document.location+"").match("://www.amazon.co.jp/"))) { (略) this.href = uri_rewrite(this.href+"", {'tag':'cfnetwork-22'} ) });
Hiromitsu Takagi @HiromitsuTakagi
うわーーーーーーーまじだ。
残りを読む(20)

コメント

椎路ちひろ @ChihiroShiiji 2011年12月5日
@bulkneets氏、@sakichan氏あたりの関連Tweetも収録されると嬉しいかなと。
西口昌宏 @mahbo 2011年12月5日
やはり時代は基本SSLとなったと思う
椎路ちひろ @ChihiroShiiji 2011年12月5日
関連まとめ「公衆無線LANのConnectFree、利用するとAmazonアフィなどが勝手に組み込まれるらしい」http://togetter.com/li/223293
椎路ちひろ @ChihiroShiiji 2011年12月5日
関連まとめ:「connectFreeについて高木浩光さんのツイートまとめ(12/05 06:00まで)」http://togetter.com/li/223351
NIIDATE Kunitaka @nidate 2011年12月6日
僕のまとめたのは更新が追いついていないので、他の方のまとめを参照されたほうが良いと思います。 http://togetter.com/li/223293
ログインして広告を非表示にする
ログインして広告を非表示にする