タグ: Chrome拡張

カテゴリー
ネットの事件

Awesome Screenshot が閲覧したサイトのURLを収集している疑い

ブログ mig5.net のMiguel Jacqさんの記事によると、Chromeブラウザ用のスクリーンショット・ツールとして有名な Awesome Screenshot 拡張に、ユーザーの同意無しにユーザーがどのページに訪問したかをネットのどこかに送信する機能があるようです。

Jacq さんは、自分が管理するOSSECのサーバー上の Drupal の、ログインしないとアクセスできない管理画面の複数のURLに対して、”niki-bot”という名前のbotがアクセスしてくるのをアクセスログから発見しました。

外部から知りえないURLがアクセスされるからには、メンバーの誰かのクライアント側からURL情報が外部に漏れているのはと考えたチームは、内部で使われているブラウザ拡張を精査し、Diigo社のChrome拡張Awesome Screenshot がURLをネットに対して送信していることを見つけた、ということです。

awesome-screenshot-install-page

このAwesome Screenshot拡張、ブラウザ上で画面を画像として保存できる拡張機能で、日本語化もされています。メインの機能自体は使いやすいと評判が良いようで、日本語で推薦するブログ記事もいくつも見つかります。

しかし、この拡張をオンにしてウェブを閲覧していると、見ているページのURLが、Base64 エンコードを(なぜか2度)掛けて ld.crdui.com というドメインへ送られているというのです。

無関係なサーバに閲覧履歴を送る、なんてことをしているからには、当該部分のコードは、当然難読化されているのかと思いましたが、拡張のソースコードを見てみると tr.js というファイル中で送り先のURLや情報を送信するコードが隠されもせずに普通に読める形で書かれていますね。

SimilarWeb の元データ?

こちらのページでは、このAwesome Screenshot 拡張が7つもの外部のサーバにアクセスしていることを問題にしていますが、lb.crdui.com もこの7つのうちの1つで、webovernet.com にリダイレクトします。このwebovernet.com は SimilarWeb のサイトだと主張している人複数います。

SimilarWeb は、「このサイトを見ている人はこちらのサイトも見ています」というのを調べたりできるwebサイトです。サイトのページビューや訪問者数などの推測データも出してくれる数少ないwebサービスですが、以前から、どうやって色々なサイトのアクセス数などをそこそこ正確に推測できているのか、不思議に思われていました。

もし、Awesome Screenshot などのブラウザ拡張が SimilarWeb にユーザーのアクセスしたURL情報を横流ししているとすれば、サイトのトラフィックを推測できるのも道理です。

冒頭のbot、niki-bot の使っていたIPアドレスが、以前にSimilarWeb.com の使っていたアドレスだったという証拠も出てきました。

以上から、niki-bot = crdui.com = SimilarWeb が同じ運営者によるものという可能性は高いでしょう。

スクリーンショットを撮るために、どうして訪問したサイトのURLを外部に送信しなければいけないのか、Awesome Screenshot のインストールページには説明がありませんし、このURL送信を止めるオプションも無いようです。

パスワードなどの認証ではなく、URLのアドレスをランダムで長い文字列にすることによって関係者にしか開かれないページを作ったり共有したりできるサービスも多いですが、こういった擬似的な秘密ページも、そのまま送られてしまっては秘密でなくなります。

AlexaのAPIを使う拡張などで、閲覧ページの情報を収集するようなものもありますが、ユーザーが把握していたり、前記のような秘密のURLの収集をしないように対策するなど、ある程度のセキュリティーへの配慮をしているものもあります。しかし、この Awesome Screenshot のように何も予告せずに勝手に集めるというのは問題でしょう。URL がわかると限定公開の意味がなくなってしまうようなサービスの訪問アドレスも区別無くすべて送っているとなれば、悪用される可能性もあります。

この拡張、URL以外のもの、例えばwebサイトで入力した内容までも送っているのでは、と言っている人もいますが、Jacq さんの調査ではURLしか送られていないようだということ。

しかし、拡張のバージョンを上げてそういうコードを入れることもできますね。結局、ブラウザ拡張が安全かどうかは、提供元を信用するかどうかということになってしまうかと。毎回拡張のソースコードを読んだり、パケットの中を確認するのも現実的ではないですし。

Awesome Screenshot には Firefox版とSafari版もありますが、これらについて同じようなコードが入ってるかどうかはわかりません。Chrome版でだけやる理由もないので、安心はできないと思います。

まとめ

  • ChromeのAwesome Screenshot拡張が、見たページのURLをどこかに送信している
  • 送られたURLは SimilarWeb で使われているのではと思われる
  • URLを他人に知られるとまずいサイトを使っている人は利用を避けた方がいい
  • URL以外の送信は「今のところ」見つかっていない
カテゴリー
情報共有ツール

ネイティブ広告/記事広告を検知して強調表示するブラウザ拡張AdDetector

「ネイティブ広告」というキーワードがネット広告関連の新しい流行語になりつつあるようです。

ネイティブ広告とは

ネイティブ広告は、本来の記事がある部分が記事の形式を取った広告となっている、というものです。従来のバナー広告など、記事本体部分とは別の場所に表示されたあきらかに広告とわかる広告と違い、記事として読まれることを狙った広告、ですね。

もともと「記事広告」という名前で新聞や週刊誌などでもずっと存在していたものと同じようにも思えるのですが、「ネイティブ広告は一方的な視点でなく公平に掛かれた記事で、内容の面白さや有用さを武器にソーシャルメディア等でバズらせるという点で(面白くない宣伝を記事のフリをして読ませるだけの)記事広告とは別のものだ」などという風にいう人たちもいるようです。たしかに「これがネイティブ広告だ!」みたいな成功事例ではそのような素晴らしいコンテンツもあるようですが。

ただし、コンテンツ的に素晴らしくても、広告であることを隠すことは良くないこととされていて、ネイティブ広告でもページのどこかには、それが広告だという何らかのしるしが入っていることが多いです。特にアメリカではこのあたり厳しいので。

ニューヨークタイムズのネイティブ広告は、ネイティブ広告の最近の大成功例として紹介されます。また、新興バイラルメディアの雄BuzzFeed などもネイティブ広告を使っています。

広告であることを隠そうとするメディア

しかし、本来記事を書く部分を広告として売っているメディア側は、どうも広告だということを大々的に示すのは好きではないようで、このようなネイティブ広告・記事広告でも、目立たない箇所に小さくスポンサー名を入れたり、カテゴリー名などほとんどの人が読まないところに「PR」と入れたり、最低限の表示だけして、読者に広告だとわからせないようにしているところが多いようです。お金を出している広告主もそういう隠す意向があるのかもしれません。

読者から見たら、スポンサーからお金を貰って書いているなら、そうだと知りたいところですよね。「記事で褒めているから買ったけど、あとで記事は広告だったと知った」、なんていう体験をするのは、多くの人にとって面白くはないのでは。

ブラウザ拡張で広告なら強調表示

そこで登場したAdDetectorは、ChromeブラウザおよびFirefoxブラウザ用の拡張機能で、大手メディアのネイティブ広告の告知部分をプログラムで検知して、ページの最上部に大きく「これはスポンサー○○の広告ですよ」と表示してくれるというツールです。

ad-detector-screenshot-annotated

この拡張が入っていれば、漫然といろいろな記事を読んでいる間に、実は広告な記事が開かれても、すぐに気付くことができるというわけです。

AdDetector はオープンソースとしてGitHub上で公開されており、今は対応されていないメディアについての検知スクリプトを書いて取り込みのリクエストをすることも可能です。Forbesやハフィントンポストなどの超大手メディアも対応しているようで、すでに世の中にネイティブ広告や記事広告がかなり多く存在していることがわかります。

日本のネットメディアは、新聞や雑誌ほど「広告だということを示さなければならない」というルールがきっちりと決まっていないため、すみっこに小さく「PR」や「広告」と書いてあるだけでも、まだましな方という話もあります。このようなツールが普及したら、広告であることがわからないように記事広告を載せるメディアも増えたりして逆効果かもしれないので、上から決まるのでも業界の自主規制でもいいから、広告は広告と書く、というルールがきちんと決まるといいですね。

カテゴリー
情報共有ツール

フェイスブックの使い過ぎをブロックしてくれるChrome拡張Facebook Nanny

Facebook Nannyは、ナニー(子守)の名前が示すように、あなたのフェイスブックの利用度合いを見張って、フェイスブックにはまり過ぎないように見張ってくれるというChromeのブラウザ拡張です。

この拡張をインストールしたChromeブラウザでは、

  1. フェイスブックを開いた時、届いている通知1件につき1分間が与えられます。通知が無ければ15秒
  2. 上記の時間が過ぎたら、他の通知が来るまでフェイスブックはブロックされます。
  3. メッセージ・プロフィールにはアクセスできるので、新たにメッセージを送ったり、新規に近況を書いたりはできます。

要は、目的がはっきりしている作業はできるけれども、自分に充てたわけでもないタイムラインをなんとなく眺める、という作業はできなくなるということですね。

時間が経つとこのように、「Akky、仕事しないといけないんじゃないの?」というメッセージが出てブロックされます。

仕事に集中するためのよくある対策として、hostsファイルを書き換えて特定のドメインをブロック、というのがありますが、この拡張であれば、仕事の連絡とか自分宛の呼びかけにはちゃんと対処できますし、1つの要件を1分で済ませなきゃ、ということで集中力も上がったりするかもしれません。

# 他のブラウザを使ってでもFacebookにアクセスしちゃえば、効果ないですが。

自分を律することができればこんなもの要らない、という厳しい意見もあるでしょうけど、いろいろな機能があるwebサービスで、必要性や重要度の高い機能だけアクセスできるようにする仕組み、というのは、ものによってはサービス自体が搭載していてもいいのかもしれないな、などと思いました。