Wired.com a Huffington Post mezi seznamem webů narušujících soukromí

NA nový papír (pdf) od výzkumníků z Kalifornské univerzity v San Diegu odhaluje, že značná část z 50 000 nejnavštěvovanějších stránek na webu se zabývá určitou úrovní sledování chování. Navíc, a co je znepokojivější, někteří z nich skutečně zkoumají historii vašeho prohlížeče, aby zjistili, jaké další stránky navštěvujete, a využívají tak bezpečnostní zranitelnost, o které je známo již deset let.

Jak vypadá web z pohledu prohlížeče zkoumajícího chování javascriptu, vytvořeného pro tento experiment.

Ne všechny prohřešky, které hlavní autor Dongseok Jan odhalil, jsou stejně invazivní. Méně urážlivé jsou weby jako Wired, Technorati, Answerbag a Perez Hilton, které využívají analytickou službu Tynt.com například ke sledování toho, jaký obsah uživatelé kopírují a vkládají z jejich webových stránek, což je proces zvaný behaviorální sniffing. Znepokojivější je chování známé jako sledování historie, při kterém web používá javascript k dotazování prohlížeče na stránky, které jeho uživatelé dříve navštívili. Janův seznam obsahuje 46 webů, které se zabývají tímto chováním.

Youporn.com, který zjišťuje, zda uživatel navštívil webové stránky jeho konkurentů, zašel dokonce tak daleko, že se zapojil do primitivní formy kryptografie, aby skryl adresy URL stránek, na které se ptá.

Snímání historie funguje, protože prohlížeče mění barvu odkazů, které uživatel již navštívil: javascript použitý na těchto stránkách se jednoduše dotazuje na konkrétní odkazy, aby zjistil, zda se jejich barva nezměnila. Tento exploit nefunguje v prohlížečích Google Chrome nebo Apple Safari a oprava pro Firefox ano k dispozici ve své nejnovější verzi . Internet Explorer však zůstává vůči tomuto zneužití zranitelný.

Výzkumníci vyzdvihli Huffington Post pro zvláštní opprobrium:

Podezřelý web Při prověřování několika webů, které nainstalovaly obslužné programy událostí, jsme také zjistili, že web huffingtonpost.com vykazuje podezřelé chování. Zejména každý článek na titulní stránce webu má obslužnou rutinu události při přejetí myší. Tyto obslužné rutiny shromažďují v globální datové struktuře informace o tom, nad kterými články myš přejíždí. Navzdory skutečnosti, že informace nejsou nikdy odesílány po síti, stále považujeme tento případ za podezřelý, protože nejen že existuje infrastruktura, ale ve skutečnosti shromažďuje informace lokálně.

Morningstar.com ohlásil že nemělo tušení, že shromažďuje tyto informace, které, jak se zdá, shromáždila reklamní síť zvaná Interclick, která na svých stránkách provozuje bannery. Interclick tvrdí, že sledování historie, do kterého se zapojila, bylo pouhým pokusem shromáždit data kontroly kvality, aby si ověřila anonymizovaná data, která získává z jiných zdrojů. Tato data umožňují segmentovat uživatele podle typu, například automobilový nadšenec, kupující technologie, juggalo atd.

Další informace o tomto objevu, včetně vlastního nástroje pro procházení webu, který výzkumníci vytvořili, aby prozkoumali javascript tisíců webových stránek, najdete v UCSD tisková zpráva a originální papír (pdf).

Tento příspěvek vděčí za neobvykle dobré (a důkladné) technologické zpravodajství Kašmírský kopec Forbes.com .

skrýt