アカウント名:
パスワード:
決め付け的な「どうせ」論ばかりで、スラド的な技術考察がほとんどないのがまた5ch化してると言われる所以なのだろうなFelix Krause氏のページ [krausefx.com]とか1ミリも読んでなさそう
技術に詳しくない読者向けの FAQ アプリ内ブラウザは、私がオンラインで行うすべてのことを読み取ることができますか? はい、アプリ内ブラウザを介して閲覧している場合、技術的には可能です。 上記のアプリは実際に私のパスワード、住所、クレジット カード番号を盗みますか? いいえ! 私は、悪意のある人物がこのアプローチでこのデータにアクセスできることを示したかったのです。 過去に示されているように、企業がユーザーに許可を求めることなく合法的かつ無料でデータにアクセスできる場合、企業はそれを追跡します。 どうすれば身を守ることができますか? 任意のアプリからリンクを開くたびに、現在表示されている Web サイトを既定のブラウザーで開く方法がアプリに用意されているかどうかを確認してください。 この分析中に、TikTok 以外のすべてのアプリがこれを行う方法を提供しました。 企業は意図的にこれを行っていますか? 独自のアプリ内ブラウザーを構築するには、過去 7 年間 iPhone に既に組み込まれているプライバシーとユーザーフレンドリーな代替手段を使用するだけでなく、プログラミングと維持にかなりの時間がかかります。 ほとんどの場合、会社がこれらの Web サイトでのユーザーのアクティビティを追跡する動機がそこにあります。 アプリ内で InAppBrowser.com を開きましたが、コマンドが表示されません。 私は安全ですか? いいえ! まず第一に、Web サイトは何百もの攻撃ベクトルのうちの 1 つ、つまりアプリ自体からの JavaScript インジェクションのみをチェックします。 そして、2020 年 12 月の時点で、アプリ開発者は実行する JavaScript コマンドを完全に隠すことができるため、内部で実際に何が起こっているかを確認する方法はありません。
技術に詳しくない読者向けの FAQ
そもそもこれ今月10日にInstagramとFacebookで発覚した [krausefx.com]のが発端で、中国製アプリがヤバいとかそういう話じゃないんだよなブログタイトルが"iOS Privacy:"となっていることからもわかるように、比較的安全と思われていたiOSでも容易にプライバシー侵害が可能って部分がミソなわけでTikTokだけじゃなくてInstagram、Facebook Messenger、AmazonのアプリでもJavaScriptコードの挿入によるページ変更やメタデータの収集が明らかになっているのだが、ネトウヨの中ではそういう中国叩きに都合の悪いものは見なかったことになるまあせいぜいモデレータは頑張ってくれたまへよ
普通に書けばいいのに何でそんな煽り口調なんや決めつけから入って無駄に煽るとかやる人が他人をネトウヨ呼ばわりしても説得力出ないよ
> 普通に書けばいいのに何でそんな煽り口調なんや
nnnhhhみたいなやつが釣れるから
こんなお小言釣っておもろいんか…?これで誰かの心が多少でも癒やされたんなら幸いやな
2009年の時点でUIWebViewで色々Javascript動かせた記憶があるけど、最近の発覚以前の話だよ。いつか騒ぎになると思ってたけどな。
技術的に可能ってのと実際やってるかは別の話。データ盗む気が無いのと盗む下準備バッチリ済ますのも別。
しかしまぁ、ブラウザで一通りの活動ができるSNSで、軽量化と通知の安定化くらいしか期待してないアプリ版では要求権限山盛りなの、ずっと胡散臭く思ってたがアプリ内ブラウザにまで仕込みを入れているとは……ブラウザ上で動くサービスじゃなくて、ブラウザを内包してユーザの全行動の基盤に成り代わりたいとかそういう事なのかな。
>技術的に可能ってのと実際やってるかは別の話。>データ盗む気が無いのと盗む下準備バッチリ済ますのも別。それが外部から判別不可能って事実があるよね任意のjsをインジェクション出来る以上、そのコードがある日突然変わる可能性なんて誰も否定できないし。
同じ問題を抱えていたchromeのブラウザ拡張は最新のマニフェストだと動的なコードをインジェクトする事ができなくなった。具体的には、アプリの中にアセットとして組み込んだ静的なjsファイルしかインジェクションできなくなった。出来ることがものすごい成約されたけど、もうリリースされて動いている。アプリのwebviewもそうなるんかなあ
マニフェストに定義させて、webviewの中で任意のドメインしか通信できないようにするとかでもwebviewからネイティブに情報を送れる以上、webviewはfacebookとしか通信しないけど、ネイティブはevil[.]comと通信するのは止められないし
これTampermonkey使えなくなるから例外を認めて欲しい
Tampermonkeyどうすんの? って話がuBlockの次くらいに話題になってたけど結局何もしないでTampermonkey死亡なのか
> データ盗む気が無いのと盗む下準備バッチリ済ますのも別。
そもそも本当に悪用するつもりなら「下準備」なんて要らない ある日突然コードを書き換えれば済む話なので よって、それらを区別する必要がない
で、君は何者?
そいつが何者かが関係あるのか? ACなんだから重要なのは何を言ってるのかだろ
ならネトウヨかどうかも関係ないだろ
>ネトウヨの中ではそういう中国叩きに都合の悪いものは見なかったことになるこれもまた「どうせ」論である
右も左も極端なワード使われると話半分でしか聞けなくなる
パヨクは祖国に帰れよw
どうしてネトウヨどうのって言う人に鍵って、他でもやっていた事だから中国がやってもいいだろみたいな擁護の仕方をするんだろうな。 中国がハッキングしててもNSAもやってるからいいだろとか言い出すし、何がしたいんだろうな。 危
中国を擁護しているんじゃなくて同じように非難しろってことだろうアメリカの人がアメリカに都合割ることに口を拭って中国企業をあげつらうのを文面だけ見て中国「だけ」悪いと受け取るやつがいるのはまぁ事実だからな元コメは口は悪いが言ってることは「中国擁護」でない
まずは目的が全く違うって点と企業と国っていう対象も違うって理解をしていない。 facebookもamazonも目的は所詮広告 一方で中国は諜報活動込みだよ それをプライバシー問題だからと囲って全体的な問題とするのって中国アプリの危険性を隠すだけだよ。
FacebookやAmazonのJSインジェクションが広告目的だという根拠はない TikTokのJSインジェクションが国家的諜報活動込みだという根拠もない 実際の挙動もコードも確認してない奴が想像で決め付けてる域を出ない
FacebookやAmazonのJSインジェクションが広告目的以外に使われたと判明したら裁判で償う事になるし、実際にそうした判決は過去にも出ている。 TikTokのJSインジェクションが国家的諜報活動込みだと分かっても中
仮想敵国と同盟国を同列に扱えと?そんな無茶なw
LINEへの批判は全部ネトウヨとかレッテル貼りをして、LINEの問題を放置させてきた黒歴史をもう忘れたんだろうか。 何と闘っているのか知らないけど、少なくとも都合の良いネトウヨって人形を作って叩いて遊ぶ姿を見せられるのって気持ち悪いよ。
こうやって中国のために一生懸命働く連中って、いざ自分の国が中国に占領されたときに自分だけは助けてもらえるって思ってるのかな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
ネトウヨ歓喜 (スコア:-1, フレームのもと)
決め付け的な「どうせ」論ばかりで、スラド的な技術考察がほとんどないのがまた5ch化してると言われる所以なのだろうな
Felix Krause氏のページ [krausefx.com]とか1ミリも読んでなさそう
そもそもこれ今月10日にInstagramとFacebookで発覚した [krausefx.com]のが発端で、中国製アプリがヤバいとかそういう話じゃないんだよな
ブログタイトルが"iOS Privacy:"となっていることからもわかるように、比較的安全と思われていたiOSでも容易にプライバシー侵害が可能って部分がミソなわけで
TikTokだけじゃなくてInstagram、Facebook Messenger、AmazonのアプリでもJavaScriptコードの挿入によるページ変更やメタデータの収集が明らかになっているのだが、ネトウヨの中ではそういう中国叩きに都合の悪いものは見なかったことになる
まあせいぜいモデレータは頑張ってくれたまへよ
Re:ネトウヨ歓喜 (スコア:2)
普通に書けばいいのに何でそんな煽り口調なんや
決めつけから入って無駄に煽るとかやる人が他人をネトウヨ呼ばわりしても説得力出ないよ
Re: (スコア:0)
> 普通に書けばいいのに何でそんな煽り口調なんや
nnnhhhみたいなやつが釣れるから
Re:ネトウヨ歓喜 (スコア:2)
こんなお小言釣っておもろいんか…?
これで誰かの心が多少でも癒やされたんなら幸いやな
Re: (スコア:0)
2009年の時点でUIWebViewで色々Javascript動かせた記憶があるけど、最近の発覚以前の話だよ。
いつか騒ぎになると思ってたけどな。
Re: (スコア:1)
技術的に可能ってのと実際やってるかは別の話。
データ盗む気が無いのと盗む下準備バッチリ済ますのも別。
しかしまぁ、ブラウザで一通りの活動ができるSNSで、
軽量化と通知の安定化くらいしか期待してないアプリ版では要求権限山盛りなの、
ずっと胡散臭く思ってたがアプリ内ブラウザにまで仕込みを入れているとは……
ブラウザ上で動くサービスじゃなくて、ブラウザを内包して
ユーザの全行動の基盤に成り代わりたいとかそういう事なのかな。
Re: (スコア:1)
>技術的に可能ってのと実際やってるかは別の話。
>データ盗む気が無いのと盗む下準備バッチリ済ますのも別。
それが外部から判別不可能って事実があるよね
任意のjsをインジェクション出来る以上、そのコードがある日突然変わる可能性なんて誰も否定できないし。
同じ問題を抱えていたchromeのブラウザ拡張は最新のマニフェストだと動的なコードをインジェクトする事ができなくなった。
具体的には、アプリの中にアセットとして組み込んだ静的なjsファイルしかインジェクションできなくなった。
出来ることがものすごい成約されたけど、もうリリースされて動いている。
アプリのwebviewもそうなるんかなあ
マニフェストに定義させて、webviewの中で任意のドメインしか通信できないようにするとか
でもwebviewからネイティブに情報を送れる以上、webviewはfacebookとしか通信しないけど、ネイティブはevil[.]comと通信するのは止められないし
Re: (スコア:0)
これTampermonkey使えなくなるから例外を認めて欲しい
Re: (スコア:0)
Tampermonkeyどうすんの? って話がuBlockの次くらいに話題になってたけど結局何もしないでTampermonkey死亡なのか
Re: (スコア:0)
> データ盗む気が無いのと盗む下準備バッチリ済ますのも別。
そもそも本当に悪用するつもりなら「下準備」なんて要らない
ある日突然コードを書き換えれば済む話なので
よって、それらを区別する必要がない
Re: (スコア:0)
で、君は何者?
Re: (スコア:0)
そいつが何者かが関係あるのか? ACなんだから重要なのは何を言ってるのかだろ
Re: (スコア:0)
ならネトウヨかどうかも関係ないだろ
Re: (スコア:0)
>ネトウヨの中ではそういう中国叩きに都合の悪いものは見なかったことになる
これもまた「どうせ」論である
右も左も極端なワード使われると話半分でしか聞けなくなる
Re: (スコア:0)
パヨクは祖国に帰れよw
Re: (スコア:0)
どうしてネトウヨどうのって言う人に鍵って、他でもやっていた事だから中国がやってもいいだろみたいな擁護の仕方をするんだろうな。
中国がハッキングしててもNSAもやってるからいいだろとか言い出すし、何がしたいんだろうな。
危
Re: (スコア:0)
中国を擁護しているんじゃなくて同じように非難しろってことだろう
アメリカの人がアメリカに都合割ることに口を拭って中国企業をあげつらうのを文面だけ見て中国「だけ」悪いと受け取るやつがいるのはまぁ事実だからな
元コメは口は悪いが言ってることは「中国擁護」でない
Re: (スコア:0)
まずは目的が全く違うって点と企業と国っていう対象も違うって理解をしていない。
facebookもamazonも目的は所詮広告
一方で中国は諜報活動込みだよ
それをプライバシー問題だからと囲って全体的な問題とするのって中国アプリの危険性を隠すだけだよ。
Re: (スコア:0)
FacebookやAmazonのJSインジェクションが広告目的だという根拠はない
TikTokのJSインジェクションが国家的諜報活動込みだという根拠もない
実際の挙動もコードも確認してない奴が想像で決め付けてる域を出ない
Re: (スコア:0)
FacebookやAmazonのJSインジェクションが広告目的以外に使われたと判明したら裁判で償う事になるし、実際にそうした判決は過去にも出ている。
TikTokのJSインジェクションが国家的諜報活動込みだと分かっても中
Re: (スコア:0)
仮想敵国と同盟国を同列に扱えと?そんな無茶なw
Re: (スコア:0)
LINEへの批判は全部ネトウヨとかレッテル貼りをして、LINEの問題を放置させてきた黒歴史をもう忘れたんだろうか。 何と闘っているのか知らないけど、少なくとも都合の良いネトウヨって人形を作って叩いて遊ぶ姿を見せられるのって気持ち悪いよ。
Re: (スコア:0)
こうやって中国のために一生懸命働く連中って、いざ自分の国が中国に占領されたときに自分だけは助けてもらえるって思ってるのかな。