Unicodeの空白文字を使ってクリックトラッキング
訪問するユーザー毎に、あるいはリンク元ごとに異なるURLを表示することで、どのリンクをクリックされたかを判別するクリックトラック。URL の末尾に ?utm_source= などで始まる長いパラメーターがついてれば、サイトの訪問者から見ても追跡していることは明らかですね。
コードとしては存在するんだけどちょっとあるように見えない文字、たとえば Unicode の幅の無い空白文字や幅がとても狭い空白文字を使うことで、気づかれにくいトラッキングができるのではないか、というブログ記事が Hacker News で上がっていました。
上のリンクの末尾には「幅ゼロのスペース(U+200B)」がつけられていますが、ブラウザでリンクを指してもパッと見にはわかりません。
20個以上あるという空白文字を組み合わせて使えば、一見何もついてないのにリンク元毎に追跡できるようなページやメールも作れるということでしょう。
これらの空白文字をもしホスト名の部分に使っているとしたら、それはフィッシング等悪用の可能性が高いため、ブラウザのブラックリストに入れられるだろう、という元記事へのコメント欄での指摘もあり、ドメイン名だけでなくパスやパラメーターに使うのも同様に問題となる可能性もあります。まあ自分で使うかは慎重にということですが、他人がこういう手段を使ってくることもあるかも、というのは知っていてもいいのかもしれません。
via Hacker News