Strona główna > Newsy > Dzięki CSS i JavaScriptowi właściciele stron mogą łatwo nas szpiegować

"Dzięki CSS i JavaScriptowi właściciele stron mogą łatwo nas szpiegować".

2010-12-03

Okazuje się, że właściciel dowolnej strony internetowej może sprawdzić w dosyć łatwy sposób listę odwiedzonych przez nas stron. Jeżeli więc jesteś gościem np. witryny RedTube, zajmującej 39. miejsce w Polsce według rankingu Alexa.com, to Twój ulubiony serwis z wiadomościami może być w stanie zdobyć tą informację bez Twojej wiedzy.

Sprawę zbadali naukowcy z Uniwersytetu Kalifornia ? San Diego w pracy zatytułowanej ?Empiryczne badania na temat wycieków prywatnych informacji w aplikacjach internetowych JavaScript?.

Naukowcy zdradzają szczegóły metody. Twórcy stron wcale nie mieli trudnego zadania. Wystarczy napisać w miarę prosty skrypt, zawierający w sobie adres strony, której obecności oczekujemy w historii przeglądania użytkownika. Następnie w skrócie sprawdzamy jego kolor ? jeżeli strona była odwiedzona, to ma on kolor purpurowy.

Ciarki przechodzą po plecach, kiedy spojrzy się na listę przeszło 50 stron, które mogą być tylko małym wycinkiem serwisów korzystających z luki. W wyniku badań okazało się, że z techniki już korzystało kilka dużych serwisów, w tym m.in. technologiczny Wired, ale też PerezHilton, Technorati, TheSun i Morningstar.

Kashmir Hill z magazynu Forbes prześledziła sprawę linków i okazało się, że przynajmniej część informacji nie jest zbieranych przez samych wydawców, ale sieć reklamową. Tak było w wypadku magazynu finansowego Morningstar, który o wykorzystaniu luki nic nie wiedział i skierował dziennikarkę do Interclick.com. Ten serwis z kolei oświadczył, że korzysta z danych, aby zweryfikować swoje bazy zachowań użytkowników.

Sieci reklamowe kupują od takich stron jak BlueKay czy Bizo zestawy informacji o grupach internautów, takich jak miłośnicy sportu czy klienci sklepów przemysłowych, aby lepiej rozumieć ich poczynania w Sieci. Dane pochodzące z luki były używane do weryfikacji tych baz. Interclick.com zrezygnował z metody po kilku miesiącach, gdyż uznał, że jest nieskuteczna i pewnie miał rację. Skuteczniejsze by było zaglądanie ludziom do szafy.

Czy są więc powody do obaw? Owszem, ponieważ nadal właściwie każdy twórca strony może skorzystać z luki, aby sprawdzić gdzie byłeś. Aby podać parę jeżących włosy na głowie przykładów: kandydat do wyborów może sprawdzać których konkurentów wcześniej odwiedzałeś, a nawet uwzględniać te informacje dynamicznie na swojej stronie, aby zachęcić do głosowania na niego. Twórca twojej ulubionej witryny może też spojrzeć w te dane, aby dopasować najlepsze reklamy pornograficzne, które mogą zawitać w najmniej stosownym momencie na ekranie komputera, podczas pokazu zdjęć z rodzinnych uroczystości. Możliwości nadużyć są imponujące i zależą tylko od mentalności twórcy internetowego serwisu.

Na szczęście jest sposób, aby uniknąć ryzyka. Luka porwania albo śledzenia historii jest znana twórcom przeglądarek od dekady jako ?CSS: visited history bug?. Błąd został naprawiony w Firefoxie, załatano go też w Chrome i Safari. Czekamy na informacje ze strony Opery, natomiast wiadomo, że jedna z popularnych przeglądarek ciągle ma otwartą lukę i trzeba skorzystać z trybu prywatności, aby uchronić się przed wyciekiem danych. Która to przeglądarka? Pozostawiamy to domyślności Czytelników.

źródło: Forbes.com