Dzięki CSS i JavaScriptowi właściciele stron mogą łatwo nas szpiegować

Okazuje się, że właściciel dowolnej strony internetowej może sprawdzić w dosyć łatwy sposób listę odwiedzonych przez nas stron. Jeżeli więc jesteś gościem np. witryny RedTube, zajmującej 39. miejsce w Polsce według rankingu Alexa.com, to Twój ulubiony serwis z wiadomościami może być w stanie zdobyć tą informację bez Twojej wiedzy.

Sprawę zbadali naukowcy z Uniwersytetu Kalifornia – San Diego w pracy zatytułowanej „Empiryczne badania na temat wycieków prywatnych informacji w aplikacjach internetowych JavaScript”.

Naukowcy zdradzają szczegóły metody. Twórcy stron wcale nie mieli trudnego zadania. Wystarczy napisać w miarę prosty skrypt, zawierający w sobie adres strony, której obecności oczekujemy w historii przeglądania użytkownika. Następnie w skrócie sprawdzamy jego kolor – jeżeli strona była odwiedzona, to ma on kolor purpurowy.

Ciarki przechodzą po plecach, kiedy spojrzy się na listę przeszło 50 stron, które mogą być tylko małym wycinkiem serwisów korzystających z luki. W wyniku badań okazało się, że z techniki już korzystało kilka dużych serwisów, w tym m.in. technologiczny Wired, ale też PerezHilton, Technorati, TheSun i Morningstar.

Kashmir Hill z magazynu Forbes prześledziła sprawę linków i okazało się, że przynajmniej część informacji nie jest zbieranych przez samych wydawców, ale sieć reklamową. Tak było w wypadku magazynu finansowego Morningstar, który o wykorzystaniu luki nic nie wiedział i skierował dziennikarkę do Interclick.com. Ten serwis z kolei oświadczył, że korzysta z danych, aby zweryfikować swoje bazy zachowań użytkowników.

Sieci reklamowe kupują od takich stron jak BlueKay czy Bizo zestawy informacji o grupach internautów, takich jak miłośnicy sportu czy klienci sklepów przemysłowych, aby lepiej rozumieć ich poczynania w Sieci. Dane pochodzące z luki były używane do weryfikacji tych baz. Interclick.com zrezygnował z metody po kilku miesiącach, gdyż uznał, że jest nieskuteczna i pewnie miał rację. Skuteczniejsze by było zaglądanie ludziom do szafy.

Czy są więc powody do obaw? Owszem, ponieważ nadal właściwie każdy twórca strony może skorzystać z luki, aby sprawdzić gdzie byłeś. Aby podać parę jeżących włosy na głowie przykładów: kandydat do wyborów może sprawdzać których konkurentów wcześniej odwiedzałeś, a nawet uwzględniać te informacje dynamicznie na swojej stronie, aby zachęcić do głosowania na niego. Twórca twojej ulubionej witryny może też spojrzeć w te dane, aby dopasować najlepsze reklamy pornograficzne, które mogą zawitać w najmniej stosownym momencie na ekranie komputera, podczas pokazu zdjęć z rodzinnych uroczystości. Możliwości nadużyć są imponujące i zależą tylko od mentalności twórcy internetowego serwisu.

Na szczęście jest sposób, aby uniknąć ryzyka. Luka porwania albo śledzenia historii jest znana twórcom przeglądarek od dekady jako „CSS: visited history bug”. Błąd został naprawiony w Firefoxie, załatano go też w Chrome i Safari. Czekamy na informacje ze strony Opery, natomiast wiadomo, że jedna z popularnych przeglądarek ciągle ma otwartą lukę i trzeba skorzystać z trybu prywatności, aby uchronić się przed wyciekiem danych. Która to przeglądarka? Pozostawiamy to domyślności Czytelników.

źródło: Forbes.com

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

6 skomentuj »

Komentarze

#1 IE? 2010-12-02 14:46:17 0
czyżby IE?
IP: 95.143.242.[...] Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.0 Safari/534.13
#2 ble 2010-12-02 14:55:57 0
no co Ty, IE miałoby pomagać szpiegować internautów?
IP: 89.231.119.[...] Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.9.2.12) Gecko/20101027 Ubuntu/10.04 (lucid) Firefox/3.6.12
#3 @IE 2010-12-02 15:11:52 0
IE9 jest raczej bezpieczne. Domyślnie zawiera ono mechanizm który umożliwia blokowanie mechanizmów śledzących Google Analytics, Gemius i każdej innej witryny śledzącej.

Mechanizm nazywa się 'InPrivate Filtering' i pokazuje użytkownikowi listę skryptów szpiegujących które były na odwiedzanych przez nas stronach. Uaktywnienie filtrowania blokuje szpiegów :D

Całość jest nawet ładnie opisana (po polsku):

"Przy odwiedzaniu witryny sieci Web, w której wyświetlana jest zawartość od

innego dostawcy zawartości, dostawca ten automatycznie odbiera pewne informacje

o wizycie. Dostawca zawartości, który dostarcza zawartość dużej liczbie

odwiedzanych witryn, może utworzyć profil obrazujący preferencje przeglądania.

Profilu preferencji przeglądania można używać do różnych celów"

Szpiegujące pliki cookies nie powinny się więc tworzyć.
IP: 90.156.104.[...] Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.7 (KHTML, like Gecko) Chrome/7.0.517.44 Safari/534.7
#4 Tomasz Kowalczyk^® 2010-12-02 16:46:59 0
Pisałem o tym już masę czasu temu. ;]

http://blog.kowalczyk.cc/2010/01/10/javascript-wykrywanie-obecnosci-danej-strony-w-historii-przegladarki/

Firefox 4.0 ma już wyłączony mechanizm pseudoklasy :visited, więc jest teoretycznie bezpieczny.
IP: 194.29.137.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12 (.NET CLR 3.5.30729)
#5 Darek__ 2010-12-02 22:58:01 0
Ale ciągle FF3.x jest najpopularnieszje :)
IP: 178.36.16.[...] Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.7 (KHTML, like Gecko) Chrome/7.0.517.44 Safari/534.7
#6 Freedom4everyone 2010-12-03 07:23:01 0
@Darek__ zapewne dlatego, że to jeszcze beta...

nawet mógłbym przejść na tą betę, bo w sumie do stabilnego wydania nie dużo jej brakuje, ale nie ma jeszcze IceCat'a 4 ;[ IceCat ładnie przefiltrowuje niewolne wtyczki, a na Firefox'ie musiałbym sprawdzać licencję za każdym razem... niestety muszę czekać na wydanie IceCat'a, bo przeszukiwanie neta w poszukiwaniu licencji za każdym razem nie jest raczej efektywną wizją
IP: 62.141.223.[...] Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.9.2.9) Gecko/20100927 IceCat/3.6.9 (like Firefox/3.6.9)

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.