トップページに戻る
<<トップページに戻る

Category

>>サイトマップ
>>日付順全記事リスト

AllArchives

>>月別記事メニュー

Checker

>>その他の取得方法

Credit

dammy

ghostlogueの個人情報収集等

NewsCryer > インターネットな事件
※8/8追記
その後のバージョンでは「Username」という設定が追加されました。設定を行った場合のみYouTube(など)のIDが送信されるようになった模様です。
参考:Ghostlogueの人数限定なし新バージョンが登場 :教えて君.net
まぁ既に配布が(一時)終了しているツールなので備忘録がてら、ということになるけど、僕が知る限り誰も書いていない気がするので書いておく。
世界中の各種動画共有サイトをニコニコ化するghostlogue :教えて君.net
あるいは「新しいアノテーションサービス」でも何でも良いが、この「ghostlogue」の初期バージョンでは、コメントを投稿したユーザーのYouTube(など対応サイトの)IDが、他のユーザーに公開されている。従ってghostlogueのコメントに匿名性はない……訳だが言いたいことはそうではなくて、つまり「ghostlogueの管理するユニークIDが公開されている」ではなく、「YouTube等のIDがghostlogueサーバーに送信されている/公開されている」ということだ。ghostlogueは動作原理上ユーザーのYouTube等IDにアクセスできる訳だが、その情報がghostlogueサーバーに送信され、また、他のユーザーにも公開されている、と。何が問題かといえば
  • 「あるコメントをghostlogueに投稿した人間のYouTubeID」が他のユーザーにも公開されている
  • ghostlogue管理側は、「あるYouTubeIDを利用している人間のDailymotionID」など、個人の複数動画共有サイトにおけるIDを繋げることができる
ということであり、そしてこれらに関して、僕の知る限りghostlogue管理側からアナウンスは無かった、ということだ。 ので、まぁそもそも公開が終わっている訳なんだけども、一応、ということで記事にしておきます。
ghostlogueの初期バージョンでは、ユーザーがYouTube動画に対してコメントを投稿したとき、以下のようなリクエストがghostlogueサーバーに対して行われる。
/services/request?result_type=json&action=gospel.message.create&type=0&user_id=ghostlogueにおけるユーザーID&country=392&name=YouTubeにおけるID&provider=1&message=コメント内容&chunk=0,0,0,0&timing=コメント表示タイミング&video_id=YouTube動画ID
ここで気になるのは「user_id」と「name」だが、前者は機能していない。少なくとも初期バージョンでは全てのユーザーのIDが「123456」となっている。今後ghostlogueが会員制となり、アドオンの設定画面でログインを行っておく必要が出たとき、ここに自分のghostlogueIDが埋め込まれるものと思われる。
問題は、「name」だ。ここにはユーザーのYouTubeIDが埋め込まれる。ユーザーがブラウザ上でYouTubeからログアウトを行っていれば「null」となる。ghostlogueサーバーは、この時点で「特定のghostlogueユーザー(今後作られると思われるghostlogueIDやIPアドレス)のYouTubeID」という情報を繋ぐことが可能だ。
他の共有サイト、例えばDailymotionであってもほぼ同じ。
/services/request?result_type=json&action=gospel.message.create&timing=コメント表示タイミング&message=コメント内容&name=DailymotionにおけるID&video_id=Dailymotion動画ID(数字)&user_id=ghostlogueにおけるID&country=392&provider=2&chunk=0,0,0,0&type=0
動画IDの規則に関しては未検証(Dailymotionは「動画ID」というものが無い。ghostlogue側でIDを振っているっぽいんだけど詳細は未検証)だが、ここでもユーザーのDailymotionIDが「name=」でghostlogueサーバーに対して送信されている。
各種動画共有サイトに関して同じことをやっていけば、例えば
  • あるghostlogueユーザー(入会時に各種情報を入力させることも可能だろう)
  • その人のYouTubeID
  • その人のDailymotionID
  • etc
といった情報を繋いでいくことができる。
そして、「特定のコメントを投稿した人のYouTubeID」という情報は、他のghostlogueユーザー、むしろ後述するように全てのネットユーザーに公開されている。ghostlogueユーザーが(例えばYouTubeの)動画ページにアクセスすると、動画の上に重ね合わせ表示を行うためのコメントデータがghostlogueサーバーから送信される訳なんだけど、この際のデータは以下の書式。
{"timing":7.073,"user_id":ghostlogueにおけるID,"english":true,"country":392,"score":0,"message":"コメント内容","provider":1,"video_id":"vGfjdmkc_gQ","name":"YouTubeにおけるID","time_stamp":{略}}
データ内に、そのコメントを投稿した人のYouTubeID(Dailymotion動画に対するコメントデータであればDailymotionID)が記載されている訳だ。
YouTube動画ページを開いた際に受信することとなる、ghostlogueサーバー内のコメントデータアドレスは以下。
http://ghostlogue.com/services/request?result_type=json&action=gospel.message.search&provider=1&video_id=YouTube動画のID&result_sort=r.time_stamp&result_limit=400
例えばこんな感じだ。特に認証は行われていないので、ghostlogue自体を入れていない人でも全く問題なく閲覧可能であるはず。少なくとも現在は、UAチェックもないのでIEでもダウンロード可能だ。
……ということで、ghostlogueコメント空間(というか)に対して様々なコメントを行った人の、YouTubeなど各種動画共有サイトIDが、おそらくアナウンスなしにghostlogueサーバーに送信され、かつ全ネットユーザーに公開されている、という報告(僕がアナウンス見逃してただけだったら割と本気でごめんなさい)。
2008/7/27 16:17 | 管理用

SeeAlso

SameSubCategory

Footprint

Navigation

TrackBack

この記事へのトラックバック

Comment

PostForm

情報を登録  
コメントは本文以外省略可能で、当方の承認後掲載されます