ウェブサイトに広告を掲載する前に、どのようなリスクに注意する必要がありますか？

はい。広告を出すことは、マーケティング会社やその仲介者などからの攻撃にあなたを解放します。

広告を配信するには2つの方法があります。 1つの方法は、IFRAMEに広告を配置することです。 2つ目は、SCRIPT SRC =を使用してインラインで含めることです。

• Iframedの広告の方が安全です。同じ起源のポリシーによって、ページの残りの部分から隔離されています。広告は依然として不快なコンテンツを配信したり、なりすましコンテンツを表示したり、ユーザーのブラウザの脆弱性を悪用したりすることができますが（ドライブバイダウンロード攻撃で）、サイトの他のコンテンツやユーザーとのやり取りを改ざんすることはできません地点。ただし、iframeは広告が実行できることを制限するため（含まれているページを表示したり操作したりできません。expando広告などを実行することはできません）、通常、広告主はこれらの種類の広告に対して料金を抑えます。

• インライン（SCRIPT SRC =）アドバタイズメントの方が危険です。広告が悪意のあるものである場合、サイトを完全に乗っ取る可能性があります。セッションCookieを盗んだり、キーロガーを仕掛けたり、ユーザーのパスワードを盗んだり、サイトの外観を妨害したり、ユーザーから個人情報を取得してオフサイトに転送したり、ユーザーのなりすましを転送したりする、あなたのサイトに不快なコンテンツを植えるなど。したがって、あなたのサイトに広告を含めるこの方法を使用する場合、あなたは広告会社と取引するすべての人に完全に信頼を置くことになります。

  同様に、Flash広告をWebページに埋め込むことができます。これは同様のリスクをもたらします。

悪意のある広告が蔓延しています。 2009年、ニューヨークタイムズのWebページへの訪問者は NYTページに配信されていた悪質な広告 と 偽のA/Vアラートを表示 （ 技術的な詳細 および 詳細 ）; 攻撃者はカバレッジを購入しました 彼/彼女の広告について NY Timesの顧客を装うことによって 。どうやら、FoxNewsのWebサイト 悪意のある広告によっても攻撃されています 、そして MySpace 、 Excite 、 Expedia 、 Rhapsody 、 MayoClinic 、 Bing 、Yahoo、 ロンドン証券取引所 （ 詳細 ） 、 eBay 、 Doubleclick 、MSN、 Spotify 、 Drudge Report 、そして間違いなく他の人。

悪意のある広告の蔓延に関するいくつかの研究がありました。 Dasientは、2010年に 1日あたり300万件の悪質な広告インプレッションが配信された と推定しました。

原則として、技術的な防御があります。たとえば、YahooのAdSafeはJavaScriptの制限されたサブセットであり、セキュリティを維持しながら、広告主が（SCRIPT SRC経由で）ページに直接埋め込むことができるリッチメディア広告（JavaScriptで記述）を作成できるように設計されています。しかし、AdSafeは追いついておらず、広告ネットワークは技術的な防御策を採用することに消極的でした。代わりに、クライアントの調査に依存します。 Google Caja 、MicrosoftのWebサンドボックス、および sandboxed iframes など、適用可能な他のいくつかのアプローチもありますが、それらを簡単に適用できるかどうかはよくわかりません典型的な広告シナリオに。

その結果、広告を受け入れると、セキュリティリスクを負うことになります。多くの場合、特に広告からの収入源が十分に大きい場合、このリスクは許容されます。しかし、一般的には、サイトが特にセキュリティを重視している場合は、ページに広告を表示しないことをお勧めします。