アカウント名:
パスワード:
* 気にせずしてもいい* オプトアウトでするべき* オプトインでするべき* ブラウザで弾くのをデフォルトにするべき* いっさいするべきではない
今回の問題はトラッキングがどこまで許されるかっていうより、無害なものを装って送り込んだスクリプトに、ある日突然提供元以外の第三者のトラッキングコードを入れたって言う所が問題なのでは。この流れ、普通にトロイの木馬だよ。デスクトップアプリケーションでそんな真似したらあっという間にウイルス扱い。インストール済みソフトウエアがユーザにまともな告知をせずに突然情報収集を始めたらアウトでしょ。こんなことをなぜ始めたのかと。
影響も結構大きくて、ニュースサイトは自社のアクセス解析結果のデータを使って広告を取りに行くわけだが、はてなのこいつのおかげでその辺りのデータがライバルとも言える他の広告業者に流れていたりした。またトラッキングコードを分析した人によると、どうも大手新聞社などについては、要請があったからなのか、あるいは大事になるのを避けたくて始めからトラッキングされないようになっていたらしい。
これ、間違えてそう言う状態になっていました、とかそういう過失じゃ無い。問題があることを分かっていながらそれを実行した、と言うパターンだよ。分かっていながら必要な処置をとっていなかった。そりゃjbeefは怒るわな。
#個人的には「最低オプトアウトで、ブラウザのDNTはデフォルトでON」がベター
「スクリプトってなあに?」というユーザーが殆どであることを考えると、一般的なデフォルトを社会として決める必要があるのではないでしょうか。今はなし崩し的になんでもありになっている。
個人的には一切禁止、刑事罰つきにして欲しい。
いわゆるブログパーツなんかで使われているFlash/スクリプトって、今までいわゆる性善説で運用されてきたわけで、実際のところなんでもできることを示されたわけだ。
他ドメインへの通信は検証できるけど、いちいち検証するわけではないよね。検証時は問題なくても今回のように差し替えられることもある。
MD5でも付けて改ざん検出でもするか?
/.jpでも広告配信に不正なコードを入れられたことがあったはずと思ったらこれもMicroAD社だったか。この時はMicroAD社はむしろ被害者だったのに。ADサーバー掲出タグによるセキュリティアラートと対処について [srad.jp]
もしやそのときヒントを得たんじゃ?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
トラッキングはどこまで許されるべきか (スコア:0)
* 気にせずしてもいい
* オプトアウトでするべき
* オプトインでするべき
* ブラウザで弾くのをデフォルトにするべき
* いっさいするべきではない
Re:トラッキングはどこまで許されるべきか (スコア:4, 参考になる)
今回の問題はトラッキングがどこまで許されるかっていうより、無害なものを装って送り込んだスクリプトに、ある日突然提供元以外の第三者のトラッキングコードを入れたって言う所が問題なのでは。この流れ、普通にトロイの木馬だよ。デスクトップアプリケーションでそんな真似したらあっという間にウイルス扱い。インストール済みソフトウエアがユーザにまともな告知をせずに突然情報収集を始めたらアウトでしょ。こんなことをなぜ始めたのかと。
影響も結構大きくて、ニュースサイトは自社のアクセス解析結果のデータを使って広告を取りに行くわけだが、はてなのこいつのおかげでその辺りのデータがライバルとも言える他の広告業者に流れていたりした。またトラッキングコードを分析した人によると、どうも大手新聞社などについては、要請があったからなのか、あるいは大事になるのを避けたくて始めからトラッキングされないようになっていたらしい。
これ、間違えてそう言う状態になっていました、とかそういう過失じゃ無い。
問題があることを分かっていながらそれを実行した、と言うパターンだよ。分かっていながら必要な処置をとっていなかった。
そりゃjbeefは怒るわな。
#個人的には「最低オプトアウトで、ブラウザのDNTはデフォルトでON」がベター
Re: (スコア:0)
「スクリプトってなあに?」というユーザーが殆どであることを考えると、一般的なデフォルトを社会として決める必要があるのではないでしょうか。今はなし崩し的になんでもありになっている。
個人的には一切禁止、刑事罰つきにして欲しい。
Re: (スコア:0)
いわゆるブログパーツなんかで使われているFlash/スクリプトって、
今までいわゆる性善説で運用されてきたわけで、実際のところ
なんでもできることを示されたわけだ。
他ドメインへの通信は検証できるけど、いちいち検証するわけではないよね。
検証時は問題なくても今回のように差し替えられることもある。
MD5でも付けて改ざん検出でもするか?
Re:トラッキングはどこまで許されるべきか (スコア:1)
/.jpでも広告配信に不正なコードを入れられたことがあったはずと思ったらこれもMicroAD社だったか。
この時はMicroAD社はむしろ被害者だったのに。
ADサーバー掲出タグによるセキュリティアラートと対処について [srad.jp]
# SlashDot Light [takeash.net] やってます。
Re: (スコア:0)
もしやそのときヒントを得たんじゃ?