【XREA広告ウィルス汚染】手動広告挿入が安全かどうか考えてみた
XREAの無料サービスで表示される広告内にウィルス(セキュリティホール memo)
ちょっと前の話題(今は収束)。うちは自動広告挿入にはしてないんで、大丈夫だと思いますが。
ちょっといい加減な書き方なので、じっくり考えてみた。
無料ユーザー向け広告配信サーバーの不具合について (XREA&CORE SUPPORT BOARD)
無料ユーザー様のページ内に自動挿入される広告を表示した際で、かつ、
主要広告以外の広告が表示された場合に、正常に広告が表示されず、ウィルスを配布する
外部のサーバーへ自動誘導される状態になっておりました。
ということだが。自力で手動広告を挿入したとしても、自動のものと大差なければそれはウィルス汚染の対象になりうるよねぇ。
じゃあどういうHTMLソースだと大丈夫なのか。
セキュリティホール memoによれば、
改竄されたのは、広告枠を表示するHTMLです。
http://imgj.xrea.com/id_iframe.html
(引用先がtypo。汚染されたアドレスはhttp://imgj.xrea.com/ad_iframe.html)
XREAの自動広告挿入はこんなソースになってる。(長いので改行を適宜加えた)
<div align="center"> <a href="http://www.xrea.com/" target="_blank"> <img src="http://imgj.xrea.com/banner_top_1.gif" width="468" height="9" border="0" alt="Sponsored Link"></a><br> <script type="text/javascript"><!-- google_ad_client = "pub-5150980285101201"; google_alternate_ad_url = "http://imgj.xrea.com/ad_iframe.html"; google_ad_width = 468; google_ad_height = 60; google_ad_format = "468x60_as"; google_ad_type = "text"; google_ad_channel ="7675041647"; google_color_border = "EBEEFB"; google_color_bg = "FFFFFF"; google_color_link = "0000FF"; google_color_url = "008000"; google_color_text = "000000"; //--></script> <script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script> <noscript><iframe height="60" width="468" frameborder="0" marginheight="0" marginwidth="0" scrolling="no" allowtransparency="true" src="http://imgj.xrea.com/ad_iframe.html"> <a href="http://img.xrea.com/ad_click.fcg" target="_blank"> <img src="http://img.xrea.com/ad_img.fcg" border="0"></a> </iframe></noscript>
ようはiframe(インラインフレーム)の中身がすり替えられて、ウィルス感染するっていうパターン(詳しくはセキュリティホール memoを参照、もっと詳しくはAdobe Flash Playerの脆弱性および XREA広告サーバハッキング問題まとめ。)
血統の森では広告をこんな感じで記述している。
<div id="xrea-ad"> <a href="http://img.xrea.com/ad_click.fcg?site=momdo.s35.xrea.com"> <img src="http://img.xrea.com/ad_img.fcg?site=momdo.s35.xrea.com" alt="xrea-ad" title="xreaの広告ですよ。" /></a><br /> hosting by <a href="http://www.xrea.com/">xrea.com</a></div>
今回問題になってるiframeがこの手動広告では入る余地がないので問題ないはず。ほとんどの広告は手動に…ってあれ、全部にしてn(ry <-おいおい、結構なログが自動広告挿入じゃん?(汗