- konisimple
- 実験室
- ブラウザの脆弱性を衝いてあなたのマイミクシィのリストを得る実験
ブラウザの脆弱性を衝いてあなたのマイミクシィのリストを得る実験
あなたの使っているブラウザの中の、mixiのプロフィールページの履歴を調べます!
| |||||
説明
ウェブページ上のリンクは、既に訪問したことがある場合(ブラウザに履歴が残っている場合)、色が変わるようになっています(下図)
そして、JavaScriptを使えは、ブラウザ上に表示されているリンクの色を簡単に取得できます。
例えば、以下の二つのリンクを見てください。あなたが訪問したことのあるページは紫色に、そうでないページは青色になっているはずです。
例:www.yahoo.co.jpyahoo.comnytimes.com
試しに、まだ青いリンクがあったら、クリックしてそしてこのページに戻って更新(F5 or Ctrl+R)すると、紫になりましたね。
つまり、閲覧者があるページを訪問したかどうかは、ばればれということになります。
mixiのプロフィールを閲覧したかどうか、を大量のIDについて調べると...?
さて、これを使えば、例えばmixiのあるユーザーのプロフィールのページを表示したか否かを調べるのは簡単です!
mixiのプロフィールのページは、以下のようなURLになっています。
http://mixi.jp/show_friend.pl?id=1664380
末尾の数字がユーザーを一意に特定するIDの役割を果たしています。
そこで、この数字を0から1500万まで順番に増えして行けば、あなたが閲覧したことのあるユーザーの一覧が作れると言うわけです。
注意
- リストに出るのは、プロフィールを表示したことのある人のIDです。必ずしもマイミクとは限りません。
- 基本的にはmixiのサーバーに負荷を掛けることはありません(標準的な環境で使用している方)
- ページ先読み機能のあるブラウザを利用している方は、一瞬のうちに大量のリンクをこのページ上に生成しますので、フリーズする可能性があるだけでなく、mixiに不可を掛ける可能性があるので絶対に使用しないでください。
- [プライバシーについて]
この実験で得られたリストが当サイトのサーバーに送信、保存されたりすることはありません。(コードを見ていただければわかります)
ですが、私が悪意のウェブページ作成者なら間違いなくこのリストをユーザーに見えないようにして送信するはずです。
今は表示しているのでわかるでしょうが、これを完全に裏で処理すれば、全く気付かれないうちに知り合いのIDが抜かれることもあり得ます。
ウェブは危険でいっぱいです!
10,000件調べても全体の約1500分の1というレベルですのでリストにするにはほど遠く、実用性のあるリストはできません。
結論
遅すぎて無理!
- 自分があるページを見たかどうかもばれてしまうという現実を周知するために(!)作りました。
- 実際にはmixiの会員数は1500万人以上いると言われていますので、100000件のidを調べても1%未満しか判明しませんので、実用性はありませんね。
- [スピードについて]
jQueryで書きましたが、まっさらなページにプレーンなJavaScriptでやればもっと早くなるでしょうが、それでも1500万は無理ですよね。
- 更新履歴
- 10/02/03:初出
- このページについて
- ブラウザの脆弱性を衝いてあなたのマイミクシィのリストを得る実験
- konisimple
- 実験室
- ブラウザの脆弱性を衝いてあなたのマイミクシィのリストを得る実験