アカウント名:
パスワード:
PageRankを見るためだけにWeb閲覧履歴を差し出しでいた人がどれくらいいるのかは存じ上げませんが、それと何が違うのでしょうか。平文かそうでないかの違いかな?あと、各社のブラウザに搭載されているフィッシング対策機能も閲覧履歴を送信しています。
Google Toolbarの場合は・URLの?以降・httpsでの接続はホスト名以外を送信しないなどプライバシーはともかくセキュリティには配慮した設計になっています。http://takagi-hiromitsu.jp/diary/20051127.html#p03 [takagi-hiromitsu.jp]http://d.hatena.ne.jp/mala/20100403/1270324870 [hatena.ne.jp]
なんとなくこの記事 [srad.jp]とも関連しそうな感じなのは気のせいでしょうか??
プライバシーやセキュリティ上の問題に気づいていたCCC(からの受託業者?)の人もいるでしょうが、「動くのに何が問題なんだ(と言われた)」「要求仕様に入ってない」「そんな費用まではもらってない」「その費用は削られた」とかそういう理由で目をつぶった(つぶらされた)人も少なからず(少しは?)いるんでしょうかね~。
>各社のブラウザに搭載されているフィッシング対策機能も閲覧履歴を送信しています。
送信してないよ。
なかにはしてる特殊なやつもあるかもしれんがね。
オフトピですが。
公開してない(どこからもリンクされてない)身内オンリーのページへの見知らぬアドレスからのアクセスがあって、調べたら、Virus Busterのサーバーからのアクセスでした。
つまり、VBをインストールしてるPCはアクセス履歴をトレンドマイクロが取得してるってことです。
公開していないといっても、外部からアクセス可能なんでしょ?
最近のセキュリティソフトだと、ブラウザで怪しいサイトにアクセスしたら警告してくれる機能があるけど、怪しいサイトのURLのデータベースを持っているわけだから、事前に怪しいサイトを調査しているわけだよね? それなら外部からのリンクがないサイトもhttpでアクセス可能なら調べてるでしょう。フィッシング詐欺サイトなんか、少なくとも始めは外部からのリンクがないのが普通だろうし。
私の発言は #2210070 への反証なんですが。意図を曲解してませんか?
Virus Busterがまさにその例外「なかにはしてる特殊なやつ」で、スパイウェア呼ばわりされています。詳細はググれ。
じゃあ閲覧履歴を渡さずにどうやってフィッシング対策機能を実現しているのか説明してください。フィッシング対策機能って要するに「今から見ようとしてるこのURLは安全ですか?」と毎回問い合わせてる機能ですよ。
> アクセスするURLをハッシュ化し、リスト中の上位8桁とマッチすればGoogleのAPIに問い合わせる。
ハッシュ値が8桁となるようなハッシュ関数使ってる、ってことですよね、これ
> ハッシュ値が8桁となるようなハッシュ関数使ってる、ってことですよね、これブラウザ内部での「グレー」判定処理は実質そういうことになるけど、Google APIに「ブラック」かどうかを問い合わせるときのハッシュ値はそうではない。
でも、おそらくGoogleはこの世に存在するウェブページの過半のURLを知っているはずだから、よほど動的でない限り、ハッシュから復元できるはず。だから、やっぱり利用規約も大事だ。
>リスト中の上位8桁とマッチすればGoogleのAPIに問い合わせる。ここで Google に送られるのは、ハッシュの上位8桁のみ。この問い合わせに対して、フィッシングサイトと判断されている URL(とハッシュ全桁) リストが送り返されてくる。フィッシングサイト一覧に、アクセス先 URL が有るかどうかをクライアント側で判断する。
>この世に存在するウェブページの過半のURLを知っているは正しいけど、ハッシュの上位8桁に一致する URL は限りなく大きいので実質何も手に入らない。しかもこの API が使われるのは、フィッシングサイト群の URL ハッシュと、あなたの大切な URL のハッシュの上位8桁が一致したときだけ。
いまのところ、フィッシングサイトの存在確立は URL 全体の数よりかなり小さいので、google がこの API を使ってあなたの閲覧履歴を復元するのは不可能。
> じゃあ閲覧履歴を渡さずにどうやってフィッシング対策機能を実現しているの
馬鹿だろお前。ここはITの分かる者が集う場所だ。
スラドも情弱の集まる場所になったのか・・・
誰かおもしろおかしいつけてあげて。
URLを識別するのにURLその物を渡す必要はない。ある程度の識別性を担保できればよく、完全にユニークな情報である必要性はない。まして、クエリ文字列を渡す必要はかけらもない。
T-IDだと確実に個人を特定できる情報と紐づく。googleは任意でしょ。
しかもgoogleの場合、集めたデータは原則としてgoogleだけが使う。Tポイントの場合は、規約上ポイントプログラム参加企業全てが利用可能。
例えば、EDの治療方法のページばかり閲覧してるな、という情報をクリニックが住所氏名付で抽出したり、肝臓がん治療のサイトばかり見てるなこいつ、ということを保険会社が調べたりということが規約上出来るわけです。
Googleは危険なURLのリストを提供してるだけそいつをローカルに保存して使ってる
PageRankを得るためにはどうしてもURLが必要だ。それなしにRankを得ることなんて不可能。Tポイントツールバー導入目的は、Tポイントが貰えたり、ツールバーとして多少便利になるんじゃないか、というユーザーの期待であり、URLを送信することを目的に導入する人はいないだろう。
言い変えれば、PageRankのほうはURLを送信しないと機能しないが、Tツールバーは機能的には何の問題もない、のにURL情報を抜いてるってことかと。
誰かに知られて困る言葉を「検索」する事自体アレな行為だ罠。平文で送ってるのを問題視する前に、自分が何やってる事の内容を良く考えろよと。
#ただし、IDと結び付けてる方は問題視して当然と思う。
ツールバー入れた時点で、それ以降の閲覧履歴が(検索と無関係に)ぶっこ抜かれ平文で送信されるようですが。# ツールバーで検索してないから関係ない、というのはおそらく誤りということ
ショッピングサイトでのセッションIDとかを含むようなURLや、オンラインバンキングのURLとかも。
ページランク機能をオンにした場合にしか送信されないのではないでしょうか。参考:高木浩光@自宅の日記:Googleツールバーは「?」以降を送信しないしHTTPSのときも送信しない [takagi-hiromitsu.jp]
> ページランク機能をオンにした場合にしか送信されないのではないでしょうか。
googleはそうですね。しかしCCCは違うようですよ。
やっぱ、平文か否かってのは大きい違いじゃないですかね。・開発元の技術力・Tポイント側が証明書代をケチったのどちらかかと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
Googleと何が違うのか (スコア:0)
PageRankを見るためだけにWeb閲覧履歴を差し出しでいた人がどれくらいいるのかは存じ上げませんが、それと何が違うのでしょうか。
平文かそうでないかの違いかな?
あと、各社のブラウザに搭載されているフィッシング対策機能も閲覧履歴を送信しています。
Re:Googleと何が違うのか (スコア:5, 参考になる)
Google Toolbarの場合は
・URLの?以降
・httpsでの接続はホスト名以外
を送信しないなどプライバシーはともかくセキュリティには配慮した設計になっています。
http://takagi-hiromitsu.jp/diary/20051127.html#p03 [takagi-hiromitsu.jp]
http://d.hatena.ne.jp/mala/20100403/1270324870 [hatena.ne.jp]
Re: (スコア:0)
なんとなくこの記事 [srad.jp]とも関連しそうな感じなのは気のせいでしょうか??
プライバシーやセキュリティ上の問題に気づいていたCCC(からの受託業者?)の
人もいるでしょうが、「動くのに何が問題なんだ(と言われた)」「要求仕様に入ってない」
「そんな費用まではもらってない」「その費用は削られた」とかそういう理由で目を
つぶった(つぶらされた)人も少なからず(少しは?)いるんでしょうかね~。
Re: (スコア:0)
>各社のブラウザに搭載されているフィッシング対策機能も閲覧履歴を送信しています。
送信してないよ。
なかにはしてる特殊なやつもあるかもしれんがね。
Re:Googleと何が違うのか (スコア:4, 参考になる)
オフトピですが。
公開してない(どこからもリンクされてない)身内オンリーのページへの見知らぬアドレスからのアクセスがあって、調べたら、Virus Busterのサーバーからのアクセスでした。
つまり、VBをインストールしてるPCはアクセス履歴をトレンドマイクロが取得してるってことです。
Re:Googleと何が違うのか (スコア:2)
公開していないといっても、外部からアクセス可能なんでしょ?
最近のセキュリティソフトだと、ブラウザで怪しいサイトにアクセスしたら警告してくれる機能があるけど、怪しいサイトのURLのデータベースを持っているわけだから、事前に怪しいサイトを調査しているわけだよね? それなら外部からのリンクがないサイトもhttpでアクセス可能なら調べてるでしょう。フィッシング詐欺サイトなんか、少なくとも始めは外部からのリンクがないのが普通だろうし。
Re:Googleと何が違うのか (スコア:1)
私の発言は #2210070 への反証なんですが。
意図を曲解してませんか?
Re: (スコア:0)
Virus Busterがまさにその例外「なかにはしてる特殊なやつ」で、スパイウェア呼ばわりされています。詳細はググれ。
Re:Googleと何が違うのか (スコア:1)
じゃあ閲覧履歴を渡さずにどうやってフィッシング対策機能を実現しているのか説明してください。
フィッシング対策機能って要するに
「今から見ようとしてるこのURLは安全ですか?」
と毎回問い合わせてる機能ですよ。
Re:Googleと何が違うのか (スコア:5, 参考になる)
Google Safe Browsing APIを使っている場合(Firefox、Safari、Chrome)は
あらかじめフィッシングサイトの情報をダウンロードして、それと照合している。
ただ、すべてのフィッシングサイトのURLを事前に保持しておくのは効率が悪いので
URLをハッシュ化し、そのうちの上位8桁(だったと記憶してる)だけのリストを保持している。
そしてアクセスするURLをハッシュ化し、リスト中の上位8桁とマッチすればGoogleのAPIに問い合わせる。
そして全桁がマッチするようであれば、そのサイトをフィッシングサイトとしてブロックする。
上位8桁がマッチした場合でも、送られるのは生のURLではなくてハッシュ化されたURLなので
Googleは閲覧履歴を手に入れているわけではない。
(ハッシュ化された情報を元に戻すことは事実上できない)
Re:Googleと何が違うのか (スコア:2)
> アクセスするURLをハッシュ化し、リスト中の上位8桁とマッチすればGoogleのAPIに問い合わせる。
ハッシュ値が8桁となるようなハッシュ関数使ってる、ってことですよね、これ
みんつ
Re: (スコア:0)
> ハッシュ値が8桁となるようなハッシュ関数使ってる、ってことですよね、これ
ブラウザ内部での「グレー」判定処理は実質そういうことになるけど、Google APIに「ブラック」かどうかを問い合わせるときのハッシュ値はそうではない。
Re: (スコア:0)
ハッシュ関数にはAPI v2ではSHA 256を使っています。
しかし、何万、何十万とあるフィッシングサイト(とマルウェア配布サイト)のURLのハッシュ値を
256bit長ですべて取得、保持するのはネットワーク的にもディスク領域的にも無駄があります。
(しかも、この情報は刻々と更新されていて、時間が経てば価値のなくなる類のものです)
ですから、256bitのうち、先頭の32bit(16進数なら8桁)だけを切り出したリストを事前に取得することにしています。
こうすることで取得するデータは(ハッシュについては)1/8に抑えることができます。
も
Re: (スコア:0)
でも、おそらくGoogleはこの世に存在するウェブページの過半のURLを知っているはずだから、よほど動的でない限り、ハッシュから復元できるはず。だから、やっぱり利用規約も大事だ。
Re:Googleと何が違うのか (スコア:1)
>リスト中の上位8桁とマッチすればGoogleのAPIに問い合わせる。
ここで Google に送られるのは、ハッシュの上位8桁のみ。
この問い合わせに対して、フィッシングサイトと判断されている URL(とハッシュ全桁) リストが送り返されてくる。
フィッシングサイト一覧に、アクセス先 URL が有るかどうかをクライアント側で判断する。
>この世に存在するウェブページの過半のURLを知っている
は正しいけど、ハッシュの上位8桁に一致する URL は限りなく大きいので実質何も手に入らない。
しかもこの API が使われるのは、フィッシングサイト群の URL ハッシュと、あなたの大切な URL のハッシュの上位8桁が一致したときだけ。
いまのところ、フィッシングサイトの存在確立は URL 全体の数よりかなり小さいので、google がこの API を使ってあなたの閲覧履歴を復元するのは
不可能。
Re:Googleと何が違うのか (スコア:1)
> じゃあ閲覧履歴を渡さずにどうやってフィッシング対策機能を実現しているの
馬鹿だろお前。ここはITの分かる者が集う場所だ。
Re: (スコア:0)
スラドも情弱の集まる場所になったのか・・・
Re: (スコア:0)
誰かおもしろおかしいつけてあげて。
Re: (スコア:0)
URLを識別するのにURLその物を渡す必要はない。
ある程度の識別性を担保できればよく、完全にユニークな情報である必要性はない。
まして、クエリ文字列を渡す必要はかけらもない。
Re: (スコア:0)
T-IDだと確実に個人を特定できる情報と紐づく。
googleは任意でしょ。
Re:Googleと何が違うのか (スコア:1)
しかもgoogleの場合、集めたデータは原則としてgoogleだけが使う。
Tポイントの場合は、規約上ポイントプログラム参加企業全てが利用可能。
例えば、EDの治療方法のページばかり閲覧してるな、という情報をクリニックが住所氏名付で抽出したり、肝臓がん治療のサイトばかり見てるなこいつ、ということを保険会社が調べたりということが規約上出来るわけです。
Re: (スコア:0)
Googleは危険なURLのリストを提供してるだけ
そいつをローカルに保存して使ってる
Re: (スコア:0)
PageRankを得るためにはどうしてもURLが必要だ。それなしにRankを得ることなんて不可能。
Tポイントツールバー導入目的は、Tポイントが貰えたり、ツールバーとして多少便利になるんじゃないか、というユーザーの期待であり、URLを送信することを目的に導入する人はいないだろう。
言い変えれば、PageRankのほうはURLを送信しないと機能しないが、Tツールバーは機能的には何の問題もない、のにURL情報を抜いてるってことかと。
まぁそもそも (スコア:0)
誰かに知られて困る言葉を「検索」する事自体アレな行為だ罠。
平文で送ってるのを問題視する前に、自分が何やってる事の内容を良く考えろよと。
#ただし、IDと結び付けてる方は問題視して当然と思う。
Re:まぁそもそも (スコア:1)
ツールバー入れた時点で、それ以降の閲覧履歴が(検索と無関係に)ぶっこ抜かれ平文で送信されるようですが。
# ツールバーで検索してないから関係ない、というのはおそらく誤りということ
ショッピングサイトでのセッションIDとかを含むようなURLや、
オンラインバンキングのURLとかも。
Re: (スコア:0)
ページランク機能をオンにした場合にしか送信されないのではないでしょうか。参考:高木浩光@自宅の日記:Googleツールバーは「?」以降を送信しないしHTTPSのときも送信しない [takagi-hiromitsu.jp]
Re: (スコア:0)
> ページランク機能をオンにした場合にしか送信されないのではないでしょうか。
googleはそうですね。しかしCCCは違うようですよ。
Re: (スコア:0)
やっぱ、平文か否かってのは大きい違いじゃないですかね。
・開発元の技術力
・Tポイント側が証明書代をケチった
のどちらかかと。