セキュリティ

URLに「.」を追加するだけでウェブサイトの広告を回避できる可能性があるという指摘


ウェブサイトを閲覧していると、過剰に広告が表示されてウェブサイトが見にくくなってしまうことが多々あります。広告をブロックできるアプリを使用しても、ウェブサイトに「広告ブロッカーをオフにしてください」という表示が出てしまい、さらにウェブサイトが見づらくなるということも。そんな中、広告ブロッカーを使用するのではなく「ウェブサイトのURLに『.』を加えるだけで広告がオフになる」という報告がRedditに投稿されました。

fyi: You can bypass youtube ads by adding a dot after the domain : webdev
https://www.reddit.com/r/webdev/comments/gzr3cq/fyi_you_can_bypass_youtube_ads_by_adding_a_dot/


例えば、

https://www.youtube.com/watch……

というURLの、「.com」の後に「.」を入れて、

https://www.youtube.com./watch……

とすると、一部のウェブサイトで広告表示をオフにできるというもの。

この現象はウェブサイト側がホスト名を正規化できていないという穴を突いた特殊なケースです。ウェブサイトを見ることはできますが、ブラウザ上のホスト名が一致していないためCookieやオリジン間リソース共有(CORS)が正常に機能しなくなるというもの。ウェブサイトの広告だけでなく、ペイウォールを設けているウェブサイトでペイウォールを無効にできる可能性があるともReddit上で指摘されました。

他のRedditユーザーからの指摘では、YouTubeのようなアカウントを作成できるウェブサイトでは、ログインした状態でURLに「.」を加えるとログアウトしてしまうことがあると述べられています。また、「ソフトウェアや拡張機能を使わず手軽に広告表示をなくせる」と喜びの声が寄せられる一方で、全てのウェブサイトで利用できる手段ではないため「広告ブロックとしてはあまり推奨されない方法」「広告ブロッカーを導入した方がいい」という声も上がっていました。


URLのホスト名に「.」を加えることで発生する問題は、Redditで広告回避の手段として話題にあがる約19年前にBugzillaでも報告されていました。

134402 - URLs with trailing dots in host names (FQDN) produce cert name mismatches
https://bugzilla.mozilla.org/show_bug.cgi?id=134402


Bugzillaで報告されていたのは、Mozilla Suiteでウェブサイトにアクセスする際、URLに「.」が加わることでブラウザがホスト名を誤認識し、セキュリティ警告が表示されてしまうというもの。Bugzilla上で約14年にもわたって議論が繰り広げられていましたが、Google ChromeやSafariでも同様のバグが発生することもあり、大きな問題としては取り上げられていませんでした。

URLによってインターネット上のウェブサイトの位置などを特定する方法は1990年から使用され続けています。しかし、長文で複雑であることからURLには欠点が多く、上記のように広告回避やセキュリティエラーが容易に発生してしまうだけでなく、フィッシング詐欺に悪用される事例も多く存在します。ウェブの安全性を向上させるために、Googleは過去に「URLをなくすべき」とも表明していましたが、URLの代替となる画期的なシステムは記事作成時点では登場していないのが実情です。

この記事のタイトルとURLをコピーする

・関連記事
広告ブロック機能を搭載したブラウザ「Brave」の月間アクティブユーザーが1500万人超え - GIGAZINE

Googleが検索結果と広告を一目で判別できないように仕様変更、各所から非難の声 - GIGAZINE

25年前に登場した「世界初のバナー広告」とは一体どのようなものだったのか? - GIGAZINE

「広告ブロッカーをオフにしてください」というポップアップ自体を広告ブロッカーが非表示にしないのはなぜか? - GIGAZINE

使える「広告ブロック拡張機能」10選 - GIGAZINE

in ネットサービス,   セキュリティ, Posted by darkhorse_log

You can read the machine translated English article here.