パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

すべてのWeb閲覧を平文で送信するTポイントツールバーの危険性」記事へのコメント

  • PageRankを見るためだけにWeb閲覧履歴を差し出しでいた人がどれくらいいるのかは存じ上げませんが、それと何が違うのでしょうか。
    平文かそうでないかの違いかな?
    あと、各社のブラウザに搭載されているフィッシング対策機能も閲覧履歴を送信しています。

    • by Anonymous Coward on 2012年08月10日 19時47分 (#2210070)

      >各社のブラウザに搭載されているフィッシング対策機能も閲覧履歴を送信しています。

      送信してないよ。

      なかにはしてる特殊なやつもあるかもしれんがね。

      親コメント
      • by chacha_ichigo (10494) on 2012年08月10日 21時19分 (#2210126)

        オフトピですが。

        公開してない(どこからもリンクされてない)身内オンリーのページへの見知らぬアドレスからのアクセスがあって、調べたら、Virus Busterのサーバーからのアクセスでした。

        つまり、VBをインストールしてるPCはアクセス履歴をトレンドマイクロが取得してるってことです。

        親コメント
        • by nmaeda (5111) on 2012年08月11日 12時28分 (#2210393)

          公開していないといっても、外部からアクセス可能なんでしょ?

          最近のセキュリティソフトだと、ブラウザで怪しいサイトにアクセスしたら警告してくれる機能があるけど、怪しいサイトのURLのデータベースを持っているわけだから、事前に怪しいサイトを調査しているわけだよね? それなら外部からのリンクがないサイトもhttpでアクセス可能なら調べてるでしょう。フィッシング詐欺サイトなんか、少なくとも始めは外部からのリンクがないのが普通だろうし。

          親コメント
        • by Anonymous Coward

          Virus Busterがまさにその例外「なかにはしてる特殊なやつ」で、スパイウェア呼ばわりされています。詳細はググれ。

      • by Anonymous Coward on 2012年08月10日 21時38分 (#2210141)

        じゃあ閲覧履歴を渡さずにどうやってフィッシング対策機能を実現しているのか説明してください。
        フィッシング対策機能って要するに
        「今から見ようとしてるこのURLは安全ですか?」
        と毎回問い合わせてる機能ですよ。

        親コメント
        • by Anonymous Coward on 2012年08月10日 23時20分 (#2210196)
          #2210165 を補足しておくと
          Google Safe Browsing APIを使っている場合(Firefox、Safari、Chrome)は
          あらかじめフィッシングサイトの情報をダウンロードして、それと照合している。

          ただ、すべてのフィッシングサイトのURLを事前に保持しておくのは効率が悪いので
          URLをハッシュ化し、そのうちの上位8桁(だったと記憶してる)だけのリストを保持している。
          そしてアクセスするURLをハッシュ化し、リスト中の上位8桁とマッチすればGoogleのAPIに問い合わせる。
          そして全桁がマッチするようであれば、そのサイトをフィッシングサイトとしてブロックする。

          上位8桁がマッチした場合でも、送られるのは生のURLではなくてハッシュ化されたURLなので
          Googleは閲覧履歴を手に入れているわけではない。
          (ハッシュ化された情報を元に戻すことは事実上できない)
          親コメント
          • > アクセスするURLをハッシュ化し、リスト中の上位8桁とマッチすればGoogleのAPIに問い合わせる。

            ハッシュ値が8桁となるようなハッシュ関数使ってる、ってことですよね、これ

            --
            みんつ
            親コメント
            • by Anonymous Coward

              > ハッシュ値が8桁となるようなハッシュ関数使ってる、ってことですよね、これ
              ブラウザ内部での「グレー」判定処理は実質そういうことになるけど、Google APIに「ブラック」かどうかを問い合わせるときのハッシュ値はそうではない。

            • by Anonymous Coward
              えー、違います。
              ハッシュ関数にはAPI v2ではSHA 256を使っています。

              しかし、何万、何十万とあるフィッシングサイト(とマルウェア配布サイト)のURLのハッシュ値を
              256bit長ですべて取得、保持するのはネットワーク的にもディスク領域的にも無駄があります。
              (しかも、この情報は刻々と更新されていて、時間が経てば価値のなくなる類のものです)

              ですから、256bitのうち、先頭の32bit(16進数なら8桁)だけを切り出したリストを事前に取得することにしています。
              こうすることで取得するデータは(ハッシュについては)1/8に抑えることができます。

          • by Anonymous Coward

            でも、おそらくGoogleはこの世に存在するウェブページの過半のURLを知っているはずだから、よほど動的でない限り、ハッシュから復元できるはず。だから、やっぱり利用規約も大事だ。

            • by Anonymous Coward on 2012年08月11日 4時59分 (#2210299)

              >リスト中の上位8桁とマッチすればGoogleのAPIに問い合わせる。
              ここで Google に送られるのは、ハッシュの上位8桁のみ。
              この問い合わせに対して、フィッシングサイトと判断されている URL(とハッシュ全桁) リストが送り返されてくる。
              フィッシングサイト一覧に、アクセス先 URL が有るかどうかをクライアント側で判断する。

              >この世に存在するウェブページの過半のURLを知っている
              は正しいけど、ハッシュの上位8桁に一致する URL は限りなく大きいので実質何も手に入らない。
              しかもこの API が使われるのは、フィッシングサイト群の URL ハッシュと、あなたの大切な URL のハッシュの上位8桁が一致したときだけ。

              いまのところ、フィッシングサイトの存在確立は URL 全体の数よりかなり小さいので、google がこの API を使ってあなたの閲覧履歴を復元するのは
              不可能。

              親コメント
        • by Anonymous Coward on 2012年08月10日 21時51分 (#2210148)

          > じゃあ閲覧履歴を渡さずにどうやってフィッシング対策機能を実現しているの

          馬鹿だろお前。ここはITの分かる者が集う場所だ。

          親コメント
          • by Anonymous Coward

            スラドも情弱の集まる場所になったのか・・・

          • by Anonymous Coward

            誰かおもしろおかしいつけてあげて。

        • by Anonymous Coward

          URLを識別するのにURLその物を渡す必要はない。
          ある程度の識別性を担保できればよく、完全にユニークな情報である必要性はない。
          まして、クエリ文字列を渡す必要はかけらもない。

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...