入力中の個人情報が“送信ボタンを押す前に”収集されている問題約10万のWebサイトを調査

2022/05/20 07:40

kamei_rio

"ユーザーが欧州にいるときにWebサイトを訪れた場合と米国からWebサイトを訪れた場合の2つのシナリオを検討" 欧州ユーザーの方が若干少ないの、GDPRの威光なんだろうか

2022/05/20 07:51

srgy

個人情報をフォームに入力したならッ！その時スデに収集は終わっているんだッ！

2022/05/20 07:52

Seamless

Webフォームでメールアドレスとパスワードを入力,送信前でも既に取得されている。10万サイト中,米国2950,欧州1844でメアドが送信前に取得されていた。Meta Pixelでは米国8438,欧州7379

2022/05/20 07:54

yuyans

EFOの一環でフォームにメアド入力したけど送信してない人に「忘れてませんか？」って送るやつ。海外だと割と一般的と聞いたことある。

2022/05/20 08:03

ume-y

フォームの入力途中でサイトを去ったら、「まだ途中ですよ」ってメールが来たことあったな。再訪すると、途中までの入力状態が維持されてた。

2022/05/20 08:09

mfluder

“対策として研究チームは、個人データの漏えいを警告および保護するFirefoxアドオン「LeakInspector」を開発した”

2022/05/20 08:15

kenzy_n

個人情報を先取り

2022/05/20 08:20

Arohn_A

プライバシーポリシーに同意する前に収集されているなら大問題じゃないの

2022/05/20 08:24

sqrt

お年寄りにインターネット教えてると送信ボタンの押し忘れすごく多いので、サイト側がメアド保存してリマインドしたくなる気持ちは良く分かる。

2022/05/20 08:25

table

情報商材屋さんメソッドだ。ECでもカート落ちの原因探るためとか言って、入力中のデータを吸い上げてる業者あるよね。

2022/05/20 08:26

blanccasse

「対策として研究チームは、個人データの漏えいを警告および保護するFirefoxアドオン〈LeakInspector〉を開発した」Safariでござる（しょんぼり）

2022/05/20 08:28

prograti

3rdパーティに送る郵便番号⇒住所変換なんかもセンシティブな情報ではありますよね（郵便番号単体では個人特定できないでしょうけどOSINTを駆使すれば推測できる可能性もあるので）。

2022/05/20 08:30

nyakapoko

AreYouWatchingMe@gmail.com

2022/05/20 08:31

nakamura-kenichi

全部軒並み訴えられりゃあええねんでｗ。ゲスは痛みを伴わんと理解せんからな。

2022/05/20 08:36

imakita_corp

>>対策として研究チームは、個人データの漏えいを警告および保護するFirefoxアドオン「LeakInspector」を開発

2022/05/20 08:37

axljpn

一例がMcAfeeで笑った

2022/05/20 08:41

shinagaki

verifyだろうな。大抵は保存してないだろう

2022/05/20 08:42

deep_one

住所関連のフォームだと自動補完が起こるからスクリプトで拾ってるんだなとわかる。

2022/05/20 08:47

runeharst

プライバシーポリシー前に収集したがバレなきゃわからんだろう？ふはははは！！！！➝バレた件について

2022/05/20 08:54

otchy210

再訪した時に入力途中の状態が保持されていたからといって直ちに黒ではないところに留意。ユーザ利便性のためにブラウザ側に保存されてるだけなら白。

2022/05/20 08:57

Shinwiki

ブラウザで実行環境持つのが間違い。実行環境持てなきゃブラウザじゃない風潮が間違い。

2022/05/20 09:01

pptppc2

個人情報「あ…ありのまま起こったことを話すぜ！『俺は入力欄に記入されただけと思っていたらいつのまにか情報として送信されていた』な…何を言っているかわからねーと思うが俺も何をされたかわからなかった…」

2022/05/20 09:11

tettekete37564

大半は「収集」ってのとは違うと思う。セッションにテンポラリとして保存しているだけだと思われ。

2022/05/20 09:12

jt_noSke

ウソー、信じらんない!

2022/05/20 09:17

canadie

これ、いわゆる「確認画面」や「次画面」があるサイトや（送信前に）電子メールが登録済みかチェックする仕組みのサイトは全部NGかな郵便番号はメールアドレスなどの情報とセットで送ってなければセーフだと思う

2022/05/20 09:19

fujibay1975

sessionじゃなくて？

2022/05/20 09:25

li1ipqb0ooi1n

id:tettekete37564 id:fujibay1975 セッションでもまずいものはまずいという認識もったほうがいい。じゃあセッションデータはきちんとプライバシーポリシーに沿い処理されているのかということ。EFOは論外。localStorage使えばいいし

2022/05/20 09:31

ryusso

やばいな。

2022/05/20 09:32

ooblog

#キーロガー「送信ボタンを押していないのに~メールアドレスを同意なしに収集~パスワード漏えい」ブラウザ住所自動入力設定だとWebページアクセスだけで #個人情報ぶっこ抜きからの #パスワード推測まであり得る。

2022/05/20 09:35

gui1

なるほどな。入力して送信しなかった情報のほうが有用な場合もあるんだな(´・ω・｀)

2022/05/20 09:36

vbwmle

“パスワードの収集は偶発的に行われていたのではないかと、研究チームは推測している” ハハハ、ご冗談を

2022/05/20 09:44

masatomo-m

フォーム入力離脱の詳細調査目的とかで、アクセス解析系のツールなんかは無差別に収拾してるのがありそうだな（個人情報集週目的でない良いとは言っていない

2022/05/20 09:47

greenbow

アドオンはまだストアで公開できてないっぽい github.com

2022/05/20 09:53

gwmp0000

そういう事もできちゃう時代なんだなあ JavaScriptとか?

2022/05/20 09:54

spam_lover

.jpで絞り込むと日本の大手求職、EC、通販やら出てくるな

2022/05/20 10:03

htnmiki

書いてからクリックする前にいやこれはちょっと寒いかなと思い直したブコメも収集されているというのかっ

2022/05/20 10:07

kanehama

サジェストとかも含まれてるんやろか。

2022/05/20 10:10

buhoho

文字どころか何時何分にどの要素をフォーカスしたとか、何分かけて書いたとかも収集してるし(実際に遭遇したし)、だからNoScriptいれろっつってんだろろぐぁあ、まあ賢い人に言わせれば僕はパラノイアらしい

2022/05/20 10:12

mojisan

Firefoxには対応しないフォームが増えるのだろうな。

2022/05/20 10:16

call_me_nots

最近、フォーム入力途中で自発的に離脱してもメールしてくるから明らか→“驚くべきことに、多くのWebサイトが送信ボタンを押していないのにもかかわらず、データの一部または全部を収集しているという”

2022/05/20 10:17

tpxyid45i

チャットサポートも送信押す前に文章読まれてんのかと思ったりするよね

2022/05/20 10:21

n2s

ソースコードやJSONのprettifyなど、今やブラウザー内で完結できる処理をわざわざサーバーにテキスト送信させるレガシーなWebサイトもそろそろこのような批判の対象になるだろうね

2022/05/20 10:24

inaba54

「多くのWebサイトが送信ボタンを押していないのにもかかわらず、データの一部または全部を収集しているという。」セキュリティは何の為にあるのか‥時代の進化が怖い。

2022/05/20 10:26

Falky

論文斜め読みした。あくまで3rd partyの広告トラッカー等経由で外部送信されてるケースを問題にしてるのね。それはダメだろ。//ブコメに勘違い多いけど、validation等のための1st partyへの送信はここでは論点外ですね

2022/05/20 10:31

poliphilus

俺は郵便番号→住所自動補完は yubinbango.js を使ってるんで自分では収集してないよ！安心してね！　Shopify はメールアドレス入力しちゃうと買わなくてもメール来るね…。

2022/05/20 10:33

beerbeerkun

プライバシーポリシーって一般的には集めるかどうかじゃなくて集めた情報をどう扱うかのポリシーだと思うけど

2022/05/20 10:35

maemuki

ひどい私の命より大事な個人情報が！！！

2022/05/20 10:37

world3

なるほどねぇ。

2022/05/20 10:42

mayumayu_nimolove

アイドリングストップみたいにフォーム入力中なのでネットを一時切断中ですって自らやってくれるサイトが今後出てきそう。できんのか知らんけど。

2022/05/20 10:52

ciel18m

まじかー。

2022/05/20 10:55

inazuma2073

この調査方法だと「取得」はしてそうだけど「収集」まではしてるかどうか怪しいんだけど。/IDとパスワードは誰のものなんだろうね。発行者か利用者か。

2022/05/20 11:02

ssids

多くはvalidation用で保存はしてないだろうけど、まぁ Observer が明示的に付いてほしくないフォームってありえるよね。将来的には仕様の方に手が入るんだろうか？例えばJS側から見ることのできないフォーム要素とか

2022/05/20 11:08

pwatermark

すぐに対応できた所は入力サジェストとかの機能が広く当たりすぎてたとかじゃねえかな

2022/05/20 11:38

kamezo

〈対策として研究チームは、個人データの漏えいを警告および保護するFirefoxアドオン「LeakInspector」を開発した〉だから最近Firefox非対応のサイトが増えて（違

2022/05/20 12:01

itochan

↓id: Falky 氏のブコメが良い。　1st Party でなく 3rd Party な広告（アクセス解析？）が収集しているとのこと、それは当然アウトでしょ。

2022/05/20 12:23

threetimes

郵便番号での予測変換って個人情報になり得るのか？データテーブルとして特定の個人を判別出来る情報と紐づいてからは個人情報になると思うけど郵便番号だけの情報を収集するのはどうなんだろう。よくわからん。

2022/05/20 12:27

letra

パチンコもボタンを押す前に結果が決まっている（そういう話ではない）

2022/05/20 12:33

K-Ono

？？？「よーし、じゃばすくりぷと禁止すればいいのか！！」

2022/05/20 12:33

spark7

Adobeのbizibleはアナリティクスツールか。ロクな挙動しないな。その上のtaboolaはアドネットワークでさもありなん

2022/05/20 12:37

otihateten3510

やめろよこういうの、余計に面倒くさくなるだろ。全サイトがCookieどうのこうのみたいなことになっても良いのか？

2022/05/20 12:38

securecat

アドテク界隈ってほんと信用ならんなあという印象しかないし実際事実だという

2022/05/20 12:41

gachapining

入力に対してリアルタイムにバリデーションする場合、サーバーに送信しているケースありそうよね。「このIDは使用されています」を表示するとか。

2022/05/20 12:53

itotto

開発する側としてはバリデーションのためにサーバー側に送ることも収集と言われたら困るなとは思う。傍から見て区別できるのかというとどうなんだろ？とは思うけど。

2022/05/20 13:00

rryu

サイトに埋め込まれた計測タグなどがフォームに入力されたメールアドレスなどを外部に送信していたという話。うっかりパスワードを送信していたやつは全入力欄を送っていたということなのだろうか。

2022/05/20 13:14

at_yasu

入力途中なのに収集してたって話か。。。

2022/05/20 13:20

charlestonblue

入力しただけで収集。油断も隙もあったもんじゃないね。

2022/05/20 13:28

d6rkaiz

つい最近、途中でやめたフォームでメール来たことあったな。

2022/05/20 13:37

toaruR

カゴ落ち対策ソリューションなんかな（´－｀）

2022/05/20 13:43

tg30yen

バリデーションをサーバーサイドで行うためにフォーム入力時に非同期で送信するのは普通にありそうな実装だと思う。それがNGということになっていくのかな。

2022/05/20 13:45

Kmusiclife

便利になるというのはこういうことやで。

2022/05/20 13:47

pocopon

買い物かごに入ってるやつを「買えや」ってメールくるのも同じことなのかな。

2022/05/20 13:57

slkby

webには見えない小悪党がいっぱいいる。ちなみに現実世界にもいる。やはり人類は滅亡するべき。

2022/05/20 14:05

hinapix

個人情報保護なんて、この世に存在しない

2022/05/20 14:17

onesplat

は〜？やばすぎるだろ

2022/05/20 14:18

takuya_1st

サイト閲覧するだけで閲覧履歴が残る！サイト閲覧履歴が漏れている！サードパーティに送信してるとして設置者は誰なんだ

2022/05/20 14:20

naggg

なるほど、トラッカーが送っているのか。。

2022/05/20 14:21

circled

vue/reactとか使ったことあるならv-modelとかが入力の都度通信してるの知ってるだろうに。

2022/05/20 14:47

kazuau

そのユーザー名は既に使用されていますと指摘してくれたりする機能は有用だと思うし、そもそも入力がピークされることは仕組み的に防ぐのは困難だから、文字入力は監視されているという認識を共有した方がいいのでは

2022/05/20 14:59

ya--mada

おおー、ダメじゃん、なんで関係ないとこに送られるんだ？

2022/05/20 15:06

dot

メールアドレスはRFCだったりパスワードも文字数/種とかのバリデーションすることあるから、収集目的じゃなくてご都合上そうなってたのかなという気も。もちろんView側で完結するように作ればいいだけだなんだけど。

2022/05/20 15:12

harapeko_san

これ知り合いが被害受けてたな。車の試乗をしようと予約用入力フォームに途中まで入力してやっぱり日程の都合が悪くなったかで送信せずにいたのに営業の電話がかかってきたって。その後検証したら入力途中で送ってた

2022/05/20 15:37

shoh8

トラッカーが外部に送ってるのか。そりゃダメだろ

2022/05/20 15:45

fashi

なんならクラウド変換型のIMEが全部収集してるよね

2022/05/20 15:56

AfroRay

[]

2022/05/20 16:00

si7mi10

登録されてるかの確認という建前で情報抜いてるんだろうな

2022/05/20 16:16

strawberryhunter

本当の意味ではサーバ側に保存されて初めて収集されていると言えるわけだが、どういった基準で判断したのだろうか。最後まで登録していないのにメールが来た（↓）という事例は収集されていると判断できるわけだが。

2022/05/20 16:26

brusky

“Firefoxアドオン「LeakInspector」を開発”ここにきてFirefox

2022/05/20 16:38

magnitude99

バックドアやハグの設置等の個人情報収集技術は、PC勃興期からの問題だ。それを陰謀論や偽情報論で糊塗し、問題を問題として誠意を以って公表せず、結果、99％層が真偽を検証討論出来ない環境こそ支配層の望む世界。

2022/05/20 16:39

miki3k

少なくとも、ログインページや個人情報やカード情報などの入力ページには、第三者のアナリティクスや広告などを設置しないべきなのでは

2022/05/20 17:02

TETSUYA01

これ俺が他人のメルアドを入力して送信せずに消した場合、その人にメールで「まだ登録できてませんよ」と案内が届いたら俺が悪いの？　おかしくない？

2022/05/20 17:15

karkwind

えーこれきついな

2022/05/20 17:23

nrtn

パスワードマネージャーが自動挿入した（または、クリックしてフォームに格納された）ときに飛んでないか気になるなぁ

2022/05/20 17:59

kaiton

知恵袋でよく似た質問があった記憶が、、一分の方は途中でも送られるかもと、実際に検証したと

2022/05/20 18:05

azumi_s

Web系で予測変換とかサジェストやろうとすると入力中のものも都度サーバ送信してたりはするからなぁ…。

2022/05/20 18:28

fjwr38

validate してるのはあるんじゃないかね // どうも違うらしい

2022/05/20 18:38

dltlt

ログイン画面に Metaピクセルを置かないようにしているサイトが多い気がするのは、こういうのがあるとわかっているからでは。（実際、何かボタンをクリックする度にペイロード入りの送信がfacebookドメインに行くし）

2022/05/20 18:55

programmablekinoko

なんかもうブラウザ側で送信許可ボタン明示的に表示するしかねえんじゃねえかな、マイクロサービス化もあってどんだけ裏で通信してるかわからん。その方面でFirefox頑張れ

2022/05/20 19:28

kijtra

スマホのキーボードアプリとかそういうのかと思った

2022/05/20 19:59

Junji_Suzuki_JBOYSOFT

「個人情報についての考察」を、まじめに書いてみました。 junji-suzuki.hatenablog.jp

2022/05/20 20:18

sakahashi

“驚くべきことに、多くのWebサイトが送信ボタンを押していないのにもかかわらず、データの一部または全部を収集しているという。”だろうね、とは思っていた。最近はQR作成とかPDFとか無料のあるけど、悩ましい。

2022/05/20 20:27

A-NA

コワ〜〜。とりあえず最初はわざと間違えて入力しとけばええんかね。面倒だけど。

2022/05/20 21:43

feel-think

オンラインフォームに個人情報を入力する際はローカルで下書きを作成し、フォームに貼り付けるようにする。

2022/05/20 23:50

adsty

多くのWebサイトが送信ボタンの押下前に入力情報を収集している。

2022/05/21 00:20

oriak

インターネットこわい

2022/05/21 01:24

ryunosinfx

送信した瞬間に収集やろ・・・受信した瞬間やないで。間で聞き耳立ててる奴も居るだろうし。

2022/05/21 04:03

pertamahouse

怖すぎますね。どういう仕組みかはわかりませんが、我々ユーザーは知らない間に色々取られているのですね。ひょっとしたらこのコメントを書いてる間にもどこかで。。

2022/05/21 05:48

blueeyedpenguin

国によるが法律的にヤバいやつ

2022/05/21 06:36

diet55

😱

2022/05/21 10:55

causeless

"@shiropen2 入力中の個人情報が“送信ボタンを押す前に”収集されている問題約10万のWebサイトを調査 Webフォームでメールアドレスとパスワードを入力,送信前でも既に取得され…" from twitter.com

2022/05/21 16:51

m_yanagisawa

なんとまぁ