Tag Archives: URL

Google検索結果のアドレスを貼り付けると「一回前の検索ワード」が漏れる事がある

ジェレミー・ルービンさんがブログで、グーグル検索した結果を共有した際に一つ前に調べたキーワードが共有先に漏れる場合があると伝えています

再現手順はこんな感じ。

  1. ChromeやFirefoxブラウザのアドレスバーで「最初の検索」で検索
  2. 検索結果のページの検索ボックスで「次の検索」で検索
  3. アドレスバーのURLの中に、「最初の検索」と「次の検索」の両方が入っている

検索キーワードが日本語などの場合は、URL中の表示はエンコードされてそのままでは日本語として読めない場合がありますが、これは変換して戻そうと思えば簡単にできます。

google-search-leaks-previous-keywords

アドレスバーに、「最初の検索」が出ています。

google-search-leaks-previous-keywords-enlarged

簡単に確かめたいならアルファベットや数字だけで上記の再現手順を試してもいいでしょう。URLに出てきた一番目の検索ワードをそのまま目視できます。

このアドレスをメール等にコピー&ペーストして送ってしまうと、「2番目の検索」で検索した結果を送ったつもりが、「最初の検索」という文字列もURLの中に含めて送ってしまうということです。

Internet Explorer でも、アドオンでアドレスバーの検索エンジンをGoogleにすると同じことになりますね。デフォルトのBing検索ではBingに行くので当然再現しませんが。

問題点と影響

ルービン氏の場合は、友人から送られてきた検索結果のアドレスを見てこれに気づいたようですが、その時にURLに含まれていた前の検索ワードは、その友人が文章中に書いているとても一般的な単語だったということ。その友人は、そのとても基本的な単語の意味を調べないとその文章が書けなかったのかもしれない、とルービン氏は推測し、このように関係のない検索ワードが他人に漏れてしまうのは恥ずかしい場合もあるだろう、と述べています。

簡単な単語の意味を調べてたぐらいならまだしも、検索してるのが人に知られたらもっと恥ずかしいキーワードというのもあるでしょうね。

あまりひどいものはご紹介できないのですが、これは2chから見つけたもの

google-search-kindaichi

「金田一一」を検索した同じページで、続けて「金田一二三男」を検索し、それを掲示板に貼り付けたんですね。まあこのケースでは漏れたとしても害はありません。

これまでグーグル検索結果のページのURLを掲示板等に貼り付けたり、メールで他の人に送ったりした人は、もしわかるなら送ったURLに一つ前の検索ワードが含まれていないか、含まれていたとしたらバレて困るキーワードではないか、確認したほうがいいかもしれません。といっても、確認して困っても削除・撤回できない場合も多そうですけど。

完全ではないですが、たとえばGoogle検索で “www.google.co.jp/search?q=” を含めて検索すると、検索結果を貼り付けたページが見つかりますね。site: で限定すれば自分のブログを確認したりもできます。

検索結果を共有する機会、となると、ツイッターやFacebook の過去の書き込み、チャットサービスのログ、などもあるでしょう。

ルービン氏はこの問題についてグーグル社にも伝えたそうですが、「仕様です」「修正しません」という回答を受けたそうです。自分で気をつけないといけないようですね。

via Hacker News

Awesome Screenshot が閲覧したサイトのURLを収集している疑い

ブログ mig5.net のMiguel Jacqさんの記事によると、Chromeブラウザ用のスクリーンショット・ツールとして有名な Awesome Screenshot 拡張に、ユーザーの同意無しにユーザーがどのページに訪問したかをネットのどこかに送信する機能があるようです。

Jacq さんは、自分が管理するOSSECのサーバー上の Drupal の、ログインしないとアクセスできない管理画面の複数のURLに対して、”niki-bot”という名前のbotがアクセスしてくるのをアクセスログから発見しました。

外部から知りえないURLがアクセスされるからには、メンバーの誰かのクライアント側からURL情報が外部に漏れているのはと考えたチームは、内部で使われているブラウザ拡張を精査し、Diigo社のChrome拡張Awesome Screenshot がURLをネットに対して送信していることを見つけた、ということです。

awesome-screenshot-install-page

このAwesome Screenshot拡張、ブラウザ上で画面を画像として保存できる拡張機能で、日本語化もされています。メインの機能自体は使いやすいと評判が良いようで、日本語で推薦するブログ記事もいくつも見つかります。

しかし、この拡張をオンにしてウェブを閲覧していると、見ているページのURLが、Base64 エンコードを(なぜか2度)掛けて ld.crdui.com というドメインへ送られているというのです。

無関係なサーバに閲覧履歴を送る、なんてことをしているからには、当該部分のコードは、当然難読化されているのかと思いましたが、拡張のソースコードを見てみると tr.js というファイル中で送り先のURLや情報を送信するコードが隠されもせずに普通に読める形で書かれていますね。

SimilarWeb の元データ?

こちらのページでは、このAwesome Screenshot 拡張が7つもの外部のサーバにアクセスしていることを問題にしていますが、lb.crdui.com もこの7つのうちの1つで、webovernet.com にリダイレクトします。このwebovernet.com は SimilarWeb のサイトだと主張している人複数います。

SimilarWeb は、「このサイトを見ている人はこちらのサイトも見ています」というのを調べたりできるwebサイトです。サイトのページビューや訪問者数などの推測データも出してくれる数少ないwebサービスですが、以前から、どうやって色々なサイトのアクセス数などをそこそこ正確に推測できているのか、不思議に思われていました。

もし、Awesome Screenshot などのブラウザ拡張が SimilarWeb にユーザーのアクセスしたURL情報を横流ししているとすれば、サイトのトラフィックを推測できるのも道理です。

冒頭のbot、niki-bot の使っていたIPアドレスが、以前にSimilarWeb.com の使っていたアドレスだったという証拠も出てきました。

以上から、niki-bot = crdui.com = SimilarWeb が同じ運営者によるものという可能性は高いでしょう。

スクリーンショットを撮るために、どうして訪問したサイトのURLを外部に送信しなければいけないのか、Awesome Screenshot のインストールページには説明がありませんし、このURL送信を止めるオプションも無いようです。

パスワードなどの認証ではなく、URLのアドレスをランダムで長い文字列にすることによって関係者にしか開かれないページを作ったり共有したりできるサービスも多いですが、こういった擬似的な秘密ページも、そのまま送られてしまっては秘密でなくなります。

AlexaのAPIを使う拡張などで、閲覧ページの情報を収集するようなものもありますが、ユーザーが把握していたり、前記のような秘密のURLの収集をしないように対策するなど、ある程度のセキュリティーへの配慮をしているものもあります。しかし、この Awesome Screenshot のように何も予告せずに勝手に集めるというのは問題でしょう。URL がわかると限定公開の意味がなくなってしまうようなサービスの訪問アドレスも区別無くすべて送っているとなれば、悪用される可能性もあります。

この拡張、URL以外のもの、例えばwebサイトで入力した内容までも送っているのでは、と言っている人もいますが、Jacq さんの調査ではURLしか送られていないようだということ。

しかし、拡張のバージョンを上げてそういうコードを入れることもできますね。結局、ブラウザ拡張が安全かどうかは、提供元を信用するかどうかということになってしまうかと。毎回拡張のソースコードを読んだり、パケットの中を確認するのも現実的ではないですし。

Awesome Screenshot には Firefox版とSafari版もありますが、これらについて同じようなコードが入ってるかどうかはわかりません。Chrome版でだけやる理由もないので、安心はできないと思います。

まとめ

  • ChromeのAwesome Screenshot拡張が、見たページのURLをどこかに送信している
  • 送られたURLは SimilarWeb で使われているのではと思われる
  • URLを他人に知られるとまずいサイトを使っている人は利用を避けた方がいい
  • URL以外の送信は「今のところ」見つかっていない

アメリカ・メディアマップ – Twitterで共有される人気メディアとその地域性がわかるインタラクティブマップ

URL短縮サービスの大手 Bit.ly が公開したリアルタイム・メディア・マップ(Real-Time Media Map)は、アメリカ人がどんな新聞・雑誌・テレビ・オンラインメディアを読み、ツイッターなどで紹介しているかを一瞥できる、インタラクティブな可視化地図です。

us-media-map-online-media

オンラインニュース・ブログメディアの各州での一番人気を出したのが上の地図。地域により、一番読まれているメディアはバラバラですね。

現在最も読者が多いであろうハフィントンポストは、南部や中西部で強いですが、大都市圏ではあまり一番ではない様子。

起業やインターネットに強いTechCrunchは、シリコンバレーのあるカリフォルニアや、マイクロソフト、アマゾンなどが本社を持つワシントン州で強い。ライバルのMashableは、シカゴのあるイリノイやフロリダを押さえています。

首都周辺のバージニアやメリーランドでは政治系のニュースメディアPoliticoが一番。

エンターテインメント系のニュースの比率が多い印象のあるBuzfeedやTMZ、嘘のニュースで人気のThe Onion などは、田舎の州で強いようです。起業とかビジネスとかに興味のある人が割合的に少ないためなのでしょうね。

us-media-map-tv

こちらはテレビ/ラジオ系サイトへの言及をまとめたもの。

南部で保守系のFoxが強いですね。ニューヨークやカリフォルニアではラジオ局NPRのニュースが多く言及されているようです。多くの田舎州で、イギリスのテレビ/ラジオ局であるBBCが一番話題にされているのは意外です。あと、ワシントン州でアルジャジーラが一位なのは何でしょうか。

元データが「Twitterユーザーでbit.lyでURLを短縮しているユーザーがつぶやくURL」に限定されているとはいえ、人気サービスですからそのツイート数は膨大なはずです。

「アメリカでは」といっても、地域によって人々に影響を与えるメディアは大きく違うのだなあというのがわかりますね。

via Maps Of The Most Popular News Outlets In Each State