May 02, 2006

Firefox と Greasemonkey とアフィリエイト泥棒

 Amazonアソシエイトのtakochu04-22って何?
 Mozilla Firefox 拡張機能スレッド Part12
 より。
 
 わたしも takochu04-22 という ID をよく見かけていました。
 はてなの中の人の ID かなー、ぐらいに思っていて、たまに私のサイトでも見かけたときは amazlet が不調だったのだろうと、もう一度張り直していました。
 しかし、実態は Greasemonkey による書き換えでした。

 Greasemonkey は指定ドメイン・URIに対しJavaScriptによるユーザーサイドスクリプトを追加することの出来る Firefox の拡張機能です。ウェブページの見た目や機能をブラウザ側でカスタマイズします。好みのユーザースクリプトを追加することでページを読みやすくしたり、便利な機能を利用することができます。
 まあ言っちゃ、結構なんでもありのエクステンションです。
参考:mozdev.org - greasemonkey: index
   Greasemonkey - Mozilla Firefox まとめサイト
   はてなグリースモンキー(Greasemonkey)

 まず、いぬビームさんが全サイトはてブ化・その場コメント・ワンクリブクマを公開しました。
 各サイト下部にはてなブックマークのコメントを表示、その場でクリップ・ワンクリでブクマできるスクリプトです。
 非常に便利なスクリプトなので、人気もあり、私も気に入っています。

 しかし、後日私のためだけの更新と、Amazon の商品リンクに いぬビームさんのアソシエイト ID を付加するよう更新されました。
 始めのページでの説明はなく、たぶん、はてブアディクトを使用している多くの人は、アソシエイト ID が付与されていることを知らなかったでしょう。
 私は知りませんでした。

 私のためだけの更新では、他人のアソイエイト ID は書き換えない、と謳っていますが、実際は他人のアソシエイト ID も書き換えられています。
 たとえば、[ハ]高田崇史 「QED 〜ventus〜 鎌倉の闇」 | キミガタメ「ハ」
 kimigatame-22 とならねばならない ID が takochu04-22 と書き換えられます。
 上のいぬビームさんの説明とは違います。
 はっきり言って迷惑です。
 困ります。
 むしろ、規約違反じゃないのかな?
 規約違反ですね。
 
 また、ほとんど隠されているのも問題です。
 こんなトップからリンクもされていない小さな更新履歴を誰が訪れるだろうかは。
 もちろん、ソースを見れば一目瞭然なのですが、どれほどの人がいちいちソースを確認しているのでしょうか。
 
 
 以前も、ブラウザのアフィリエイト、アソシエイトがらみの問題が起きました。
 それは、Sleipnir の検索窓から Amazon を検索すると、アソシエイト ID を付加するというものでした。
 しかし、Firefox や Opera を始めとする多くのウェブブラウザが行っていることであり、また、誰の迷惑にもならない、誰も損を取らないということで自然と収まりました。
参考:[ハ]Sleipnir とアフィリエイト。出し抜くこと たくらむのは誰だ。
   [ハ]Sleipnir とアフィリエイト。追記。

 そのさい、Piro さんの発言、
ブラウザでWebページに含まれるAmazonへのリンクをクリックしたとき、そのリンクに含まれる他者のアソシエイトIDをすべて作者のものに変更する、というのはブラウザの「改造」「拡張」内容としては結構すぐ考えつくものだけれども、それは規約違反。分かりやすい記述としては、アソシエイト・プログラム規約の「4.紹介料」の項にあるプログラムに参加している他のウェブサイトから(ユーザーがインストールしたソフトウェアを経由するものを含むがこれに限らない)の取引を妨害し、リダイレクトしたり、これらから紹介料を流用しようとしてはいけません。というのにモロ引っかかります。

 がもろに今の状況なんですよね。
 Piroさんの 拡張機能の問題もかぶってくるし。
 Piro さんの予測する力は尊敬です。

 この件で、いぬビームさんの信頼というか Greasemonkey の信頼というか、むしろ Firefox が信用できなくなりました。
 いぬビームさんには、きっちりとした説明をして欲しいです。

追記


 はてブコメントや TB みていると、「まずソースを読め」という意見がとても多いです。
 でも、スクリプトのソースを読める人ってどれだけいるでしょう。
 Greasemonkey やはてなを使っている人の中では、ソースを読める人の割合も比較的多いでしょうが、みんながみんな読めるとは思えません。
 わたしも、大体の意味しかとれません。
 その状況で、皆にソースを読むよう言うのは間違っているでしょう。
 そりゃ、ソースも読めないような人は Greasemonkey を使うな、という考えは分かります。
 Greasemonkey は Firefox の拡張機能としては、かなりなんでもありの分類。
 今回のような悪事──悪かどうかも賛否両論あるだろうけど、Amazon の規約に反している以上完全に悪。アフィリエイトにおいて、正義はスポンサー側──も簡単にできます。
 でも、ソースを読めないソフトはどうするの?
 いくらソースを読めても、TabMix や All-in-One Gestures などの「多くの人が使用していてかつ、ソースも複雑な拡張機能」の場合はどうでしょう。簡単に発覚したでしょうか。(実際はさっさと外人が発見するだろうけど。)
 また、Firefox 本体に仕込まれいたらどうなっていたでしょう。
 ソースを確認できますか?
 オープンソースなのだから確認するのが前提か、ソースも読めないような人は使うべきじゃないのか。
 言い出すと、オープンソースじゃないソフトは使えません。
 
 今のは極論だけど、そういうことです。
 Greasemonkey ならソースの確認はできる。
 ソースの確認はした方がよい。
 だからといってソースを確認しない人を一方的に否定的に見られない。
 
 では、ソフトやスクリプトが安全か危険かを確かめるにはどうすべきか。
 まず、安心できるサイトからダウンロードする。
 通常のソフトなら、窓の杜やベクターから。
 Firefox の拡張機能なら、Firefox Addonsから。
 問題は、どこまでそのサイトを信用できるか、そのサイトのチェック機能を信用できるか。
 
 次は、評判を確認する。
 特に海外のソフトはそう。
 新しいソフトが出ると、2ch やブログなどで、切り込み隊長、人柱となる人は必ずいる。
 彼らの反応を見てから導入する。
 やはり、彼らが本当にきちんとチェックできているかは分からない。
 また、数ヶ月後に暴れ出すトロイの木馬かも知れない。
 現に、はてブアディクトは非常にメジャーな Greasemonkey のスクリプトなのに今日まで問題にならなかった。
 
 私の場合、ソースを確認していなかった。
 しかし、はてブアディクトが公開されてから、ある程度の期間周りを見て、人柱となった人たちが問題にあっていないことを確認してから使用した。
 しかし、このようなことになった。
 ならば、「使わない」という選択肢しかないのか。
 
 はてブコメントで、otsune さんの
いつも思うのだが、もっと大々的に「誰も損をしないのでアフィリエイトIDを付けます」とアナウンスすりゃいいと思う。フェアプレイ精神にひっかかるようにこっそりやるから問題視されるんだし。

 は一部的確。
 わたしも、しっかりアナウンスしてからすればいいと思う。
 はてブアディクトって便利な拡張機能だし、しっかり宣伝したなら、アフィリエイトに協力してもいいと思う。
 Sleipnir の問題が出たときは、Sleipnir の作者の庇護派だったし。
 
 でも、今回はいぬビームさんが間違っている。
 本当にアソシエイト ID を書き加える機能をつけるならせめて、「他の方のIDを置き換えたりはしません。」というアナウンスを守ってよ。
 他人の ID を書き換えているのだから、完全に規約違反だし、ウェブサイトの管理人の収入を横取りしています。
 フェアプレイ以前の問題です。
 また、誰の ID も付いていないリンクに ID を付加するのもかなり規約に怪しいし。
 だから、アナウンスすれば許される問題(検索バーからの検索など)と許されない問題(他人の ID の書き換えなど)をはき違えてはいけない。

更に追記


結局のところ、FireFoxは「プログラマ以外立ち入り禁止」の世界か
逆に考えるんだ。「アサマシくらいあげちゃってもいいさ」と考えるんだ。
 を受けて。
 Greasemonkey の潜在的な危険さは予想以上のものです。
 とはいえ、EXE ファイルに比べるとずっと安全じゃないの?とも思ってしまいます。
 いや、比べたらダメなんだけど。
 その意味では、ajiyoshi さんの言い分も分かるのですが、「はてブアディクト」に関しては、結構メジャーのスクリプトなんですよね。
 有名なスクリプトが他人のアソシエイト ID を書き換えるものだったのがいっそう大きな問題です。
 有名だから、使用者が多いから安全、とはならなかった。(危険、という表現はおかしいか。)
 ならば本当に、非プログラマは門前払いを食うしかないのでしょうか。
 
 今回は“直接"エンドユーザーに被害が及ぶものではありませんでしたが──だからこそ嫌らしい──、今後はカードナンバーを奪うような Greasemonkey も出てくるかも知れません。
 カードや金の絡む場面では、Greasemonkey をオフにするでしょう。いや、しましょう。
 しかし、Greasemonkey 以外の拡張機能にも、悪意がないとは言い切れません。
 ソースを簡単に確認できる Greasemonkey でさえ、この件は1ヶ月以上も誰にも指摘されませんでした。はてブだけで、70名近くがブクマし、多くの人がブログに感想を書き、更に多くの人が使用しているスクリプトの話です。
 拡張機能の中身の悪意を読める人なんて、それこそ Piro さんたちぐらいでしょう。
 ならば安心なのは、社会的地位を持つ Firefox 本体ぐらい。
 考えると、Dell は今後も Firefox──本体以外に複数の拡張機能の作者の意志が錯綜する“安全な”ブラウザ──に対応しない方がいいかもしれません。

更に更に追記


 は、さすがにうざいので別記事にて。

この記事へのトラックバックURL

http://trackback.blogsys.jp/livedoor/tanahata/50833757 

この記事へのトラックバック

http://diary.yuco.net/20060501.html#p01 http://blog.livedoor.jp/tanahata/archives/50833757.html ここいらを見ていて気になったので。 greasmonkeyスクリプトは危険なことができるので、自分でソースを読んで安全性を確認できる人以外は使用しないでください という...
ソースを読めない人はgreasemonkeyを使ってはいけない - *「ふっかつのじゅもんがちがいます。」 at May 02, 2006 17:32
キミガタメ「ハ」さんのFirefox と Greasemonkey とアフィリエイト泥棒を読んで。 勘違いしてた。この問題はgreasemonkeyスクリプトを入れた人に被害が及ぶわけじゃなくて、サイト運営者のアフェリエイトIDを書き換えてしまうことで、本来サイト運営者に入るはずのアフェリエ...
いぬビームさんのgreasemonkeyスクリプト - Lucky Lovely Laboratory at May 02, 2006 20:44
[ハ]Firefox と Greasemonkey とアフィリエイト泥棒 | キミガタメ「ハ」 *「ふっかつのじゅもんがちがいます。」 - ソースを読めない人はgreasemonkeyを使ってはいけない Greasemonkey という、FireFox のユーザーによる拡張機能ができる物があるのですが
[Amazonアフィリエイト/Greasemonkeyに関する]問題は二つあるのではないか - suVeneの耳をすましば at May 03, 2006 00:48
[ハ]Firefox と Greasemonkey とアフィリエイト泥棒 | キミガタメ「ハ」を読ませて頂いて感じたこと。 Webの世界に限らず私たちは日常的に人を指標にしていることがほとんど。全て自分で調べるなり解析するなりして判断することは時間的(または技能的に)に出来ないので、他...
プログラムの信頼性の判断 - cloned.log at May 03, 2006 02:27

この記事へのコメント

「全サイトはてブ化・その場コメント・ワンクリブクマ」の方、単純にバグということで、現在、既に修正された模様です。
1. Posted by Tiger at May 03, 2006 01:10
絵文字
 
星  顔