web-dev-qa-db-ja.com

ウェブサイトに広告を掲載する前に、どのようなリスクに注意する必要がありますか?

サードパーティにJavaScriptを送信させ、エンドユーザーに画像を送信させるという考えは恐ろしい考えのように思えますが、サイトに広告を配置するときはまさにそれを行っています。

  1. AdSenseや他のオンラインマーケティング会社の広告を表示すると、閲覧セッションの安全性が低下しますか?

  2. 悪意のある広告が与える可能性のある最大の損害はどれくらいですか?

  3. 私のビジネスモデルで広告の配信が必要な場合、自分のサイトに安全に広告を配信するにはどうすればよいですか?どのような予防策を講じることができますか?

34

はい。広告を出すことは、マーケティング会社やその仲介者などからの攻撃にあなたを解放します。

広告を配信するには2つの方法があります。 1つの方法は、IFRAMEに広告を配置することです。 2つ目は、SCRIPT SRC =を使用してインラインで含めることです。

  • Iframedの広告の方が安全です。同じ起源のポリシーによって、ページの残りの部分から隔離されています。広告は依然として不快なコンテンツを配信したり、なりすましコンテンツを表示したり、ユーザーのブラウザの脆弱性を悪用したりすることができますが(ドライブバイダウンロード攻撃で)、サイトの他のコンテンツやユーザーとのやり取りを改ざんすることはできません地点。ただし、iframeは広告が実行できることを制限するため(含まれているページを表示したり操作したりできません。expando広告などを実行することはできません)、通常、広告主はこれらの種類の広告に対して料金を抑えます。

  • インライン(SCRIPT SRC =)アドバタイズメントの方が危険です。広告が悪意のあるものである場合、サイトを完全に乗っ取る可能性があります。セッションCookieを盗んだり、キーロガーを仕掛けたり、ユーザーのパスワードを盗んだり、サイトの外観を妨害したり、ユーザーから個人情報を取得してオフサイトに転送したり、ユーザーのなりすましを転送したりする、あなたのサイトに不快なコンテンツを植えるなど。したがって、あなたのサイトに広告を含めるこの方法を使用する場合、あなたは広告会社と取引するすべての人に完全に信頼を置くことになります。

    同様に、Flash広告をWebページに埋め込むことができます。これは同様のリスクをもたらします。

悪意のある広告が蔓延しています。 2009年、ニューヨークタイムズのWebページへの訪問者は NYTページに配信されていた悪質な広告偽のA/Vアラートを表示技術的な詳細 および 詳細 ); 攻撃者はカバレッジを購入しました 彼/彼女の広告について NY Timesの顧客を装うことによって 。どうやら、FoxNewsのWebサイト 悪意のある広告によっても攻撃されています 、そして MySpaceExciteExpediaRhapsodyMayoClinicBing 、Yahoo、 ロンドン証券取引所詳細 ) 、 eBayDoubleclick 、MSN、 SpotifyDrudge Report 、そして間違いなく他の人。

悪意のある広告の蔓延に関するいくつかの研究がありました。 Dasientは、2010年に 1日あたり300万件の悪質な広告インプレッションが配信された と推定しました。

原則として、技術的な防御があります。たとえば、YahooのAdSafeはJavaScriptの制限されたサブセットであり、セキュリティを維持しながら、広告主が(SCRIPT SRC経由で)ページに直接埋め込むことができるリッチメディア広告(JavaScriptで記述)を作成できるように設計されています。しかし、AdSafeは追いついておらず、広告ネットワークは技術的な防御策を採用することに消極的でした。代わりに、クライアントの調査に依存します。 Google Caja 、MicrosoftのWebサンドボックス、および sandboxed iframes など、適用可能な他のいくつかのアプローチもありますが、それらを簡単に適用できるかどうかはよくわかりません典型的な広告シナリオに。

その結果、広告を受け入れると、セキュリティリスクを負うことになります。多くの場合、特に広告からの収入源が十分に大きい場合、このリスクは許容されます。しかし、一般的には、サイトが特にセキュリティを重視している場合は、ページに広告を表示しないことをお勧めします。

34
D.W.

チェックする価値があると思います:

主なリスクは、WebリソースのWebマスター(所有者)が知らないWebサイトではなく、スパマーが魅力的な「無料の」スパム対策保護を提供することです。
私の記事を参照してください:

アンチスパムプラグインを外部サービスに提供している広告主-マーケティング担当者は、さまざまなトリックを使用して、公開されないようにします。

  • 「保護された」リソースのウェブマスターに広告が表示されないように、ウェブリソースのウェブマスター/オーナー(サイト、ブログなど)の場所に広告を表示しないでください。
  • 再現できないように訪問者に広告を表示する:
    • 広告を選択的かつ断続的に(一部のユーザーに対して)表示します。
    • 最初の訪問時、最初の数分などに広告を1回だけ表示します。
    • ジオターゲティングとトラッキングを使用します。
      (そのユーザーまたはその地域の広告主に関心がない場合は広告を表示しないでください);
  • 等.

「マルバタイジング」として知られる、より一般的になっている別の攻撃ベクトルがあります。マルウェアに直接リンクする実際の実際の広告の作成です。

この種のことは、Webサイトの発行者ではなく、広告ネットワークプロバイダーの責任ですが、サイトで広告を有効にすると、そのようなことをうっかりホストする可能性があるため、注意が必要なリスクです。

あなたはそれについてウィキペディアでもっと読むことができます: https://en.wikipedia.org/wiki/Malvertising

特定の攻撃に関するニュース記事はこちらから読むことができます: https://www.pcworld.com/article/2086700/yahoo-malvertising-attack-linked-to-larger-malware-scheme.html

1