Tポイントツールバーの検証

徳丸 浩 @ockeghem

氏名の代わりに乱数様の顧客番号に変換した上で他社に提供して、提供先では個人情報保護法の制約を受けなくするという手法を「個人情報洗浄」と呼びたい気分です

徳丸 浩 @ockeghem

【URL訂正】TYPO等を訂正したものをGoogle+に転記してまとめました 徳丸浩 - Google+ -Tポイントツールバーについて調べたことを連投します。 https://t.co/A0v08DG6

徳丸 浩 @ockeghem

続き。CCCはオプトに個人情報は提供していないと言い張りたいのだろうけど、オプトの運営するhttp://t.co/iz7aZ7zJがtsite.jpのクッキーを全部受け取り、オプト側で氏名情報にアクセスできるのは、脆弱性か、実は氏名情報を提供しているか、どちらかでは?

徳丸 浩 @ockeghem

ではどうすればよかったかというと、Tポイントツールバーの検索サイトは、tsite.jpドメインではなく、http://t.co/uU13BykZのサブドメインに置くべき。オプトが運営していることは公表しているのだから問題ないはず。そうしないと「隔離」したことにならない

Tsukasa Hamano @hamano

Tポイントツールバーをインストールした

Tsukasa Hamano @hamano

最初http://t.co/cNLBOGvB:443宛が怪しいと思ってたけど違ってて、http://t.co/WAdsrDRw:80の方に全てのアクセス履歴を送ってた。平文で!

Tsukasa Hamano @hamano

こんな感じ http://t.co/p1SmUct8

Tsukasa Hamano @hamano

Tポイントツールバーをアンインストールした

Hiromitsu Takagi @HiromitsuTakagi

わああ。↓のリンク http://t.co/QaWlpsRV を踏んだだけで、ポイントが貯まってしまったお。Tポイントツールバー入れてないMacなのにお。これが噂の禁止事項だお。 http://t.co/HzolosMT

拡大

Hiromitsu Takagi @HiromitsuTakagi

Macで踏んだ直後、ポイントが貯まった瞬間の様子だお。 http://t.co/3zUhoz7d

拡大

Hiromitsu Takagi @HiromitsuTakagi

Tポイントツールバー、IE上で無効化設定にしても、依然としてURLを送信してませんか？

Hiromitsu Takagi @HiromitsuTakagi

画面上の×印でツールバーを消してもURL送信は続いたが、IEを終了して再起動すると止まった。IEのアドオンの仕様？ RT Tポイントツールバー、IE上で無効化設定にしても、依然としてURLを送信してませんか？

ネットエージェント @netagent_jp

ブログ更新しました:「TポイントツールバーによるWeb閲覧履歴について」です http://t.co/mCPCR47f

ネットエージェント @netagent_jp

情勢の変化を受けて先週更新したブログ記事に追記しました: 「TポイントツールバーによるWeb閲覧履歴について」 http://t.co/mCPCR47f

dechnostick @dechnostick

#takeolibrary Tポイントツールバーをインストールした。

dechnostick @dechnostick

#takeolibrary (1/7)Tポイントツールバー。一般ユーザでインストールしようとすると管理者権限を求められる。インストールすると全てのユーザにインストールされる。

dechnostick @dechnostick

#takeolibrary (2/7)しかしインストールしたユーザ以外では、インストールし直さないと http://t.co/s3qbGiub に対して「Web履歴」を送られないように見える。これはインストールしたユーザに対して作成される設定情報(後述)が無いためと思われる。

dechnostick @dechnostick

#takeolibrary (3/7)パラメータ mid と tlsc_l は %USERPROFILE%\AppData\LocalLow\TPointToolBar\setting.config に対応。1行目は環境に固定。2行目はT-IDごとに決まる様子。