セキュリティ

広告が表示されるログインページは安全ではないのか?

by PhotoMIX-Company

さまざまなウェブサイトでユーザーの行動が追跡され個人情報が流出するリスクは常に存在します。ウェブ広告はJavaScriptを使うことでユーザーの行動を追跡することが可能になりますが、ログインページに広告が表示されていた場合、個人情報が奪われないようにする方法はあるのか?という問いかけが掲示板・Information Security Stack Exchangeに投稿され話題になっています。

web application - Can ads on a page read my password? - Information Security Stack Exchangehttps://security.stackexchange.com/questions/214784/can-ads-on-a-page-read-my-password


2019年6月、Google Chromeの開発者であるGregg Man氏がプログラミングのコミュニティ「StackOverflow」上の広告にユーザーの行動を追跡するJavaScriptが使われていることを発見しました。

Man氏はデベロッパーツールを開いており、「AudioContextは許可されていません」というデバッグメッセージと共にオーディオが呼び出されようとしたことに気づいたとのこと。不審に思ったMan氏が調査を行ったところ、スクリプトはオーディオを開始するものではなく、ユーザーのコンピューターがフィンガープリントを作るためのAPIを呼び出すものでした。これにより、例えユーザーがCookieをブロックしていても広告サーバーがユーザーを追跡することが可能になります。

Sneaky fingerprinting script in Microsoft ad slips onto StackOverflow, against site policy • The Register
https://www.theregister.co.uk/2019/06/27/sneaky_fingerprinting_microsoft_ad_sneaks_onto_stackoverflow_against_site_policy/


このように、ユーザーがプライバシーに対してどのような考えを持っているかに関わらず、広告配信者は多くの場合、自由に行動できます。ユーザーがどのキーを押したかを読み取るJavaScriptも存在することから、デベロッパーのscohe001さんは「広告が表示されているウェブページのヘッダーにユーザー名・パスワードを入力するテキストボックスがある場合、広告がキーストロークを読み取るのを防ぐ方法はありますか?」「ログインページに広告があったらページは資格情報を入力するほどの安全性はないと考えてよいのでしょうか?」とInformation Security Stack Exchangeに投稿しました。

これに対してWEBEDIAの開発者であるブノワ・エスナード氏は「広告によるパスワード読み取りを妨ぐものは何もありません」と回答。広告はJavaScriptを通じて財務情報・パスワード・CSRFトークンといったものを読みとることが可能。ただし、サンドボックス化されたiframeに関してはその限りではないと述べました。

サンドボックス化されたiframeはJavaScriptスコープにセキュリティ制限を行うことが可能であり、広告がユーザーのプライバシーを侵害する行為ができなくなるとのこと。しかし、サードパーティのスクリプトが適切に動かなくなることがあるため、多くのウェブサイトはサンドボックス化されたiframeを使っていないとエスナード氏は述べました。

サードパーティのスクリプトがユーザーの個人情報をセキュリティ上の危険にさらす以上、ログインフォームや購入ページは独自オリジンのものを使うべきだとエスナードさんは述べています。広告側のオリジンで実行されているスクリプトは、保護されているオリジン上にあるものにアクセスできないという同一オリジンポリシーのメリットもあります。

この記事のタイトルとURLをコピーする

・関連記事
セキュリティ専門家が「パスワードの複雑さはそれほど重要ではない」と主張するのはなぜか? - GIGAZINE

パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める - GIGAZINE

無料で自分のパスワードが過去の漏洩データに載った危険なものかどうかをチェックできるサービス「Pwned Passwords」 - GIGAZINE

パスワード認証に取って代わる2段階認証とその未来とは? - GIGAZINE

パスワードを定期的に変更させるシステム仕様には問題がある - GIGAZINE

in セキュリティ, Posted by logq_fa

You can read the machine translated English article here.