by Christoph Scholz Firefoxのアドオン機能である「 Stylish 」は、自分が運営するサイトでなくてもCSSを用いて自由にサイトデザインを変更できる拡張機能で、日々のブラウジングを快適にする拡張機能として人気を博していました。ところが、その裏でユーザーのインターネット履歴を収集していたことが判明し、Firefoxのアドオン一覧から削除されるという事態に発展しています。 "Stylish" browser extension steals all your internet history | Robert Heaton https://robertheaton.com/2018/07/02/stylish-browser-extension-steals-your-internet-history/ 人気のFirefox拡張機能「Stylish」がポリシー違反でブロック、すべての閲覧履歴を収集か - 窓の杜 https://forest.watch.impress.co.jp/docs/news/1131143.html セキュリティの専門家である ロバート・ヒートン 氏はある日、Stylishの不審な挙動に気付き、何を実行しているのかを調査してみました。その結果、Stylishが全てのブラウジングデータを収集しており、企業のデータベースに送信していることが判明したとのこと。 Stylishは2017年1月、オリジナルの開発者からイスラエルのサイト分析企業 SimilarWeb に売却されており、その時に新たな利用規約として「Stylishの機能改善のために、非個人データのみを収集している」という文言が追加されました。ところが、ヒートン氏によると、Stylishが収集してSimilarWebに送信していたのは非個人的データにとどまらず、登録制のWEBサイトにログイン可能なトークン付きURLや、ブラウザのCookieといった情報まで含まれていたそうです。 トークン付きのURLや非常に長い特殊なURLは、そのURLを知っている人間だけがアクセス可能な状況を想定していますが、閲覧したURL自体がデータとして収集されてしまえば、誰でもURLから秘密のサイトへアクセス可能になってしまいます。ヒートン氏はSimilarWebが個人を特定可能なデータを販売しなくても、セキュリティの不備からSimilarWebに収集されたデータが外部に流出してしまう可能性もゼロではないと警鐘を鳴らしています。

・関連記事

「Firefox 61」正式版リリース、タブウォーミングの導入によりタブ切り替え後の応答速度が高速化 - GIGAZINE



FirefoxとThunderbirdの「マスターパスワード」は1分で破ることが可能と指摘される - GIGAZINE



正しいURLなのに偽のサイトへアクセスしてしまう事案が発生 - GIGAZINE



Facebookが「61の企業とユーザーデータを共有した」ことを認める - GIGAZINE



Gmailアプリの開発者はユーザーのメール内容を読んでいる - GIGAZINE



2018年07月05日 10時52分00秒 in ソフトウェア, ネットサービス, ウェブアプリ, セキュリティ, Posted by log1h_ik

You can read the machine translated English article here.