Tポイントツールバーがヤバすぎると話題に SSL通信、アクセス履歴が平文送信され盗聴可能に
Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる
twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。
結論として、当該ツールバーを導入すると、利用者のアクセス履歴(SSL含む)が平文で送信され、盗聴可能な状態になります。
Tポイントツールバーについて紹介しました。
Tポイントツールバーは、利用者のアクセス履歴(URL)をログ収集サーバーに送信しますが、
(1)平文通信である、(2)固有の利用番号がつく、ことがセキュリティ上の問題となります。
http://blog.tokumaru.org/2012/08/t-point-toolbar-is-harmful.html
@longroofitter氏
すごいな毎日Tポイントツールバーから検索して一ヶ月15ポイント=15円分…やっすいなーWeb履歴やっすいなー…安いんだ… #TPointToolBar
でも上限が15ポイント/月ってのはアレなー
@ockeghem氏
ツールバーがなくても、このサイトでログオン状態で検索すれば、検索履歴はとれます。どのサイトにアクセスしたかは、取れないように見えますが、ツールバー側で取得しているようです
SSLでセッションIDつきのURLアクセスしても、平文でアクセス履歴(セッションIDも)を送信しているのですが…これは普通に脆弱性と言ってよいのでは? 利用規約を許諾しているから、おk? > Tポイントツールバー
検索サイトをSSLにして、一見セキュアに見せておきながら、アクセス履歴を平文で送信するとは中々せこい。どっちかというと逆の方が嬉しい(もとい、全然嬉しくないけど) > Tポイントツールバー
ログの送信先は、'http://t.co/dr4zTjPN' というホストですね。ふーん #Tポイントツールバー
http://togetter.com/li/352977
https://tsite.jp/toolbar/index.pl
|
|
|
2 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 17:56:01.44 ID:5go0hc5M0
まーた高木先生が喜びそうなネタだと思ったらとっくに食いついていた
さすが
さすが
3 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 17:56:05.16 ID:LokS6PZN0
ログオンは必要な時だけ←常識
4 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 17:57:07.89 ID:AidEETjF0
わけわからんから高木ひろみつ先生に任せとけ
5 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 18:02:45.75 ID:z/5iivSi0
どこに作らせたらそんなうんこが出来上がったんだよ
会社名を晒せ
会社名を晒せ
6 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 18:05:59.88 ID:nFmBNDQT0
>>5
オプト
オプト
7 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 18:18:28.35 ID:Rw7ikDWB0
まーたひろみ厨か
8 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 18:53:08.81 ID:dS/7a1Qx0
徳丸本はページ数が多いから電子書籍の方を買うべきだったな
9 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 19:07:03.38 ID:KGSvzf/Q0
あの膨大な規約一々呼んでる奴居ることに驚く
10 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 19:59:20.02 ID:do+yAWV40
赤の他人にエロサイトの履歴を食わせる事とかできそうだな
11 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 19:59:56.68 ID:Sm0v2Gie0
SSL通信が平文送信される?
12 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 20:06:56.71 ID:AWUQd7Ld0
13 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 20:09:08.03 ID:R6hlEsYu0
こんなウイルスみたいなのがうようよ有りそうだな
14 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 20:09:22.91 ID:Sm0v2Gie0
15 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 20:13:30.87 ID:GSzZ9CSa0
検索で嫌味や悪口を書けばいいんじゃね
みてるか?vO
みてるか?vO
16 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 20:14:38.85 ID:H6xWR1tS0
タカギィ
17 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 20:18:44.94 ID:N9q3a84c0
ツタヤピンチwww ゲオ一択wwwww
18 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 20:20:14.09 ID:ypsIT67F0
15ポイント/日なら要らんブラウザにいれて稼ごうかと思ったけど月じゃ無理だな
19 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 20:22:05.27 ID:1kYAPV4O0
平文送信…tcpdumpが捗るな
20 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 20:37:29.12 ID:do+yAWV40
こういう個人情報思想信条欲しがり屋に図書館任せようとしてる市長は何考えてるのかな
21 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 20:39:35.26 ID:koPJSr4v0
これといい図書館の件といい
Tポイントうさんくさすぎ
Tポイントうさんくさすぎ
22 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 20:42:10.27 ID:hqH75k1r0
安いんだ
23 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 20:45:00.68 ID:beRbb9vP0
24 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 20:48:36.19 ID:JhoQ1BDG0
あぁなるほど。
わざわざSSLで通信してる(た)履歴を管理サーバーに非SSL通信かつ平文で送信しちゃうのか。
つまり履歴に含まれるURIにセッション情報とか、プアな場合ユーザーIDとかもしかすると
パスワードも含まれてしまってて、こりゃ不味いわってことかな?
わざわざSSLで通信してる(た)履歴を管理サーバーに非SSL通信かつ平文で送信しちゃうのか。
つまり履歴に含まれるURIにセッション情報とか、プアな場合ユーザーIDとかもしかすると
パスワードも含まれてしまってて、こりゃ不味いわってことかな?
25 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 20:58:13.99 ID:do+yAWV40
社内ネットとか未だにIE専用のままの所とか多いだろうし汚染されるとまずい
26 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 21:12:49.45 ID:ZSxh+E1r0
そんなことより楽天のツールバー検索の山分けポイント総数が減ってるんだけど
27 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 21:17:44.54 ID:Uv1ONHN60
月/15p上限かよ
日/15pなら個人情報犠牲にして利用しようかと思ったのにな
日/15pなら個人情報犠牲にして利用しようかと思ったのにな
28 :粉雪 ◆29VjXEDWP2 :2012/08/10(金) 21:22:11.90 ID:OoHREk+j0
マジで、そろそろ
「通信の秘密」を破ったときの罰則を強化してほしいんだが
「通信の秘密」を破ったときの罰則を強化してほしいんだが
29 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 21:35:05.37 ID:tbcd+/bm0
脆弱性の大半はちょっと詳しければ対策できるって前にプログラムの大先生がいってた
これもそうなんだろ?????
これもそうなんだろ?????
30 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 21:56:42.69 ID:TiqKXUJ/0
つうか たかだかTポイントのために誰がわざわざこんなツールバーインスコするんだろ
31 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 21:59:29.66 ID:QThTx9Oa0
せっかく通信内容やURLやパラメタやクッキーなんかを暗号化して通信しても
ツールバーが勝手に平文で垂れ流して台無しにするのかい。
ツールバーが勝手に平文で垂れ流して台無しにするのかい。
32 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 22:07:50.56 ID:OoHREk+j0
これ、”スパイ”ウェアだよな
こういったソフトが、当たり前のように公開されてるんだけど停止されないのはなんでだ?
大企業だからか?
こういったソフトが、当たり前のように公開されてるんだけど停止されないのはなんでだ?
大企業だからか?
33 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 22:37:43.62 ID:G5X7oU+A0
34 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 22:54:49.45 ID:WY5Jrlzb0
おれもこんなゴミ作る仕事がしたい
35 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/10(金) 22:59:53.20 ID:b/2lVTBq0
URLに秘密情報がはいってる場合があるよね
タスクトレイのアイコンからDropboxのウェブサイト開くときとか
タスクトレイのアイコンからDropboxのウェブサイト開くときとか
36 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 00:21:33.63 ID:x7fgmXQM0
URLのみでもやばい場合ってのは結構あるわけで
37 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 00:28:40.78 ID:1Fwet27H0
SSL通信の内容を平文でTなんちゃらに送っちゃうの?
カード情報とかお漏らししちゃうんじゃないの教えてエロい人
カード情報とかお漏らししちゃうんじゃないの教えてエロい人
38 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 00:32:15.05 ID:hASQNHdV0
ふざけるな、TSUTAYAなんかに情報をやってたまるか
俺の個人情報はGoogleのものなんだ
俺の個人情報はGoogleのものなんだ
39 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 00:32:30.69 ID:ncv0+eQL0
>>37
URLだけだけど簡単ログインみたいな機能でURLにセッションIDが入ってたらどうのこうの
URLだけだけど簡単ログインみたいな機能でURLにセッションIDが入ってたらどうのこうの
40 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 00:33:29.65 ID:2PE/sk6s0
ツールバーなんてダウンロードするやついるの?
41 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 00:34:28.32 ID:E4iZTspr0
42 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 00:39:12.17 ID:Lkul8fef0
これマジでヤバいよ
あのネットエージェントですら使わない事を推奨してる
あのネットエージェントですら使わない事を推奨してる
43 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 00:39:41.17 ID:epXFr8jz0
そうかそうか…
そうか…
そうか…
44 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 00:40:23.15 ID:Rx0TjsU+0
まあ犯罪ではないからな…
45 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 00:48:46.20 ID:QLaQSpl80
セキュリティホールってレベルじゃねーぞ
46 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 00:55:20.03 ID:B1F1p30f0
Tポイントカードは「規約に同意した」ことを盾に医薬品の購入履歴も無断で情報収集してるらしいじゃん
今年の7月以降Tポイントカード作った人で購入履歴の取り扱いに関して口頭で説明受けた人いる?
Tポイント、購入医薬品データを取得 提携先企業から
http://www.asahi.com/national/intro/NGY201207160031.html
(全文は>>47以降へ)
今年の7月以降Tポイントカード作った人で購入履歴の取り扱いに関して口頭で説明受けた人いる?
Tポイント、購入医薬品データを取得 提携先企業から
http://www.asahi.com/national/intro/NGY201207160031.html
(全文は>>47以降へ)
Tポイント、購入医薬品データを取得 提携先企業から
http://www.asahi.com/national/intro/NGY201207160031.html
4千万人以上が利用する日本最大の共通ポイントサービス「Tポイント」が、ドラッグストアで会員が買った
医薬品の商品名をデータとして取得し、会員に十分な説明をしないまま販促活動などに
使っていることがわかった。医薬品の購買履歴には、本人が他人に明らかにしたくない情報が
含まれることが多い。日本薬剤師会などは「育毛剤を買った人にかつらの広告を送ったり、
関節の痛みを和らげる薬を買った人に健康食品を勧めたりしないか」と懸念。厚生労働省も問題視している。
Tポイントは、住所氏名などの個人情報を登録して会員になり、無料で発行される
Tカードにためる仕組み。提携店でカードを出すと、支払額の0.5〜1%程度がポイントになり、次
からの支払いで1ポイントを1円として使える。
Tポイントの主体で、DVDレンタル・書店チェーン最大手の「TSUTAYA(ツタヤ)」を展開する
「カルチュア・コンビニエンス・クラブ(CCC)」(東京)によると、Tカード提示時に買った
商品名は医薬品に限らず、すべてCCCに送られる。
ドラッグストアからは、処方箋(しょほうせん)のいらない一般用医薬品の商品名と代金、
処方箋医薬品は「調剤」として代金だけが、会員の年齢や性別、購入日時などの情報と結びつけられ、
CCCに送信されている。客層や時間帯、天候に合わせて売れ筋の品をそろえるなどの販促活動に使われる。
CCCは取材に「購買履歴を取得することは会員規約で示している。Tカードを提示した客に限って
履歴の提供を受けており、適法だと考えている」として、問題がないとの考えを示した。
しかし、規約には、商品名など具体的にどんな情報を取得するかは明記されていない。店頭や
ホームページにも説明はない。会員が履歴を確認できるインターネット上のサービスでは、
商品名は表示されず、店名とたまったポイント数しかわからない。
CCCは取得した医薬品の商品名について、「買った店での品ぞろえの拡充、
見直しに使う」とし、他企業への提供を否定した。一方で、提携先全体のデータを
統合して分析する手法は強化する方針だという。
http://www.asahi.com/national/intro/NGY201207160031.html
4千万人以上が利用する日本最大の共通ポイントサービス「Tポイント」が、ドラッグストアで会員が買った
医薬品の商品名をデータとして取得し、会員に十分な説明をしないまま販促活動などに
使っていることがわかった。医薬品の購買履歴には、本人が他人に明らかにしたくない情報が
含まれることが多い。日本薬剤師会などは「育毛剤を買った人にかつらの広告を送ったり、
関節の痛みを和らげる薬を買った人に健康食品を勧めたりしないか」と懸念。厚生労働省も問題視している。
Tポイントは、住所氏名などの個人情報を登録して会員になり、無料で発行される
Tカードにためる仕組み。提携店でカードを出すと、支払額の0.5〜1%程度がポイントになり、次
からの支払いで1ポイントを1円として使える。
Tポイントの主体で、DVDレンタル・書店チェーン最大手の「TSUTAYA(ツタヤ)」を展開する
「カルチュア・コンビニエンス・クラブ(CCC)」(東京)によると、Tカード提示時に買った
商品名は医薬品に限らず、すべてCCCに送られる。
ドラッグストアからは、処方箋(しょほうせん)のいらない一般用医薬品の商品名と代金、
処方箋医薬品は「調剤」として代金だけが、会員の年齢や性別、購入日時などの情報と結びつけられ、
CCCに送信されている。客層や時間帯、天候に合わせて売れ筋の品をそろえるなどの販促活動に使われる。
CCCは取材に「購買履歴を取得することは会員規約で示している。Tカードを提示した客に限って
履歴の提供を受けており、適法だと考えている」として、問題がないとの考えを示した。
しかし、規約には、商品名など具体的にどんな情報を取得するかは明記されていない。店頭や
ホームページにも説明はない。会員が履歴を確認できるインターネット上のサービスでは、
商品名は表示されず、店名とたまったポイント数しかわからない。
CCCは取得した医薬品の商品名について、「買った店での品ぞろえの拡充、
見直しに使う」とし、他企業への提供を否定した。一方で、提携先全体のデータを
統合して分析する手法は強化する方針だという。
48 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 00:57:48.74 ID:F+RK2O7k0
SSLの意味ねーじゃん
POSTそのままって事か
POSTそのままって事か
49 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 01:05:31.91 ID:x7fgmXQM0
Tポイントカードは保有個人データの開示請求に応えないらしい
http://archive.mag2.com/0000136800/20120810144125000.html
【刑法第134条】 Tポイント、購入医薬品データを取得 提携先企業から
http://engawa.2ch.net/test/read.cgi/poverty/1342492280/
プライバシーマークって飾りなのか
http://archive.mag2.com/0000136800/20120810144125000.html
【刑法第134条】 Tポイント、購入医薬品データを取得 提携先企業から
http://engawa.2ch.net/test/read.cgi/poverty/1342492280/
プライバシーマークって飾りなのか
50 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 01:10:03.26 ID:AtyV3v/L0
こんなカード使うからだろw
51 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 01:12:45.34 ID:QksPN70A0
高木って人被害を未然に防ぐつもりでやってるんだろうけど
この人の経済活動考えたら萎縮効果の方が遥かに甚大だな
この人の経済活動考えたら萎縮効果の方が遥かに甚大だな
52 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 01:13:49.66 ID:+dRcF6kAO
中国人に発注するとこんなもんよ
53 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 01:19:31.91 ID:TwfIuK+60
近頃は、店に逝けば「ポインヨありますか」って聞かれるな
俺「ねぇーよ」
店員「すぐお作りできますが?」
俺「あ?すぐ出来るの”すぐ”はどれくらいじゃ?」
俺「利用規約をカード作った後に出すのはおかしいと思うがじゃ」
俺「利用規約を熟読して客が納得し合意した上で契約するのが本筋であろう」
店員「・・・」
俺「舐めるな、チンカス(圧倒的に勝った)」
俺「ねぇーよ」
店員「すぐお作りできますが?」
俺「あ?すぐ出来るの”すぐ”はどれくらいじゃ?」
俺「利用規約をカード作った後に出すのはおかしいと思うがじゃ」
俺「利用規約を熟読して客が納得し合意した上で契約するのが本筋であろう」
店員「・・・」
俺「舐めるな、チンカス(圧倒的に勝った)」
54 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 02:02:15.00 ID:x7fgmXQM0
既にノートン先生にブロックされ始めてるとかわろた
55 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 02:04:33.10 ID:8baqCfIh0
>>53
かっけーな
かっけーな
56 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 02:05:31.01 ID:F2gNXtU90
なんつーか、やりたい放題だな。
こういう、消費者の方を全く見ないのが流行ってるのか?楽天koboとか。
こういう、消費者の方を全く見ないのが流行ってるのか?楽天koboとか。
57 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 02:09:26.14 ID:d2xF8jGF0
58 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 02:13:15.39 ID:TwfIuK+60
>>55
頭の悪いバイトが言われたことを
やってる感満点だしwイライラすんのよ
「店側の都合に合わせて当然」みたいな態度よ
俺なんかフロアマネージャ呼び出して説教よ
「お客さんの顔を見て商売せぇ」っていう
頭の悪いバイトが言われたことを
やってる感満点だしwイライラすんのよ
「店側の都合に合わせて当然」みたいな態度よ
俺なんかフロアマネージャ呼び出して説教よ
「お客さんの顔を見て商売せぇ」っていう
59 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 02:15:44.12 ID:+nAh/JMQ0
× 店側の都合に合わせて当然
○ 店長がそう言えっていったから言ってるだけで俺は関係ねーし
○ 店長がそう言えっていったから言ってるだけで俺は関係ねーし
60 :番組の途中ですがアフィサイトへの転載は禁止です:2012/08/11(土) 02:17:13.94 ID:TwfIuK+60
店長がバイトの給料を出してるんじゃないねぇ
誰を大事にせなぁ、アカンのか見えてないのよw
だからバイトなんだ
誰を大事にせなぁ、アカンのか見えてないのよw
だからバイトなんだ
61 :番組の途中ですがアフィサイトへの転載は禁止です:
枚方公園の中古レコード屋から
こんな事するまでになったのか
こんな事するまでになったのか