HIDさんより。
クリック注意。mixiユーザーで、ログインしたままの人は、このリンクをクリックしただけであしあとが記録されていまいます。
http://hamachiya.com/junk/mixilog.html
mixiユーザーのトップページなどを読み込むと、どのユーザーが見に来たのか記録してくれる「あしあと」という機能があるのですが、それを外部から利用できるというのが話題です。
任意のウェブページに<IMG>タグをおいて自分のmixiトップページを参照させておくと、そのウェブページを読み込んだmixiユーザーは知らないうちに「あしあと」を取られてしまうというもの。
誰からもマイミクされていない架空ユーザーというのは簡単に作れるので、これを使うと任意のページを見たmixiユーザーを確実に検知できます。ただのアクセス解析と違うのは、mixiユーザーのページを見れば個人情報を自分で公開してしまっていることが多いこと。IPアドレスどころか、アクセスしてきた個人が特定できてしまうという技なのです。危ない。
とりあえずユーザーがすべきこと。mixiだけは別のブラウザでアクセスするようにする、または必ずログアウトするようにする。
mixiができる対策。リファラをみてリンク元が外部なときは必ずログイン動作をさせる。
やー、こんな簡単な裏技、いや表技があるなんて思いもつかなかったなあ。
セキュリティ対策の難しさ、それはまさに「思いもよらない」という点にあると痛感しました。