JavaScript odkrývá historii prohlížeče

8. 12. 2010

Sdílet

Výzkumníci z University of California v San Diegu publikovali informace o tom, že pomocí JavaScriptu mohou provozovatelé webových serverů zjistit, jaké stránky uživatelé navštívili – a to bez jejich vědomí.

Zranitelný je tímto způsobem Internet Explorer a starší verze ostatních prohlížečů. Nejnovější Firefox, Chrome i Safari by pokus o čtení historie prohlížeče měly zablokovat.

Základem metody je to, že navštívené a nenavštívené odkazy se ve webovém prohlížeči mohou zobrazovat různým způsobem. Pokud se server dostane k této informaci, zjistí, jaké další weby uživatel navštěvuje. „Test“ může být proveden třeba pomocí většího množství neviditelných linků.

Podobné sledování je možné uskutečnit i jinak a weby s jeho pomocí mohou realizovat celou řadu neškodných aktivit. Pro provozovatele je užitečné znát takové informace například kvůli lepšímu cílení reklamy nebo aby věděl, vůči jaké konkurenci by se měl vymezovat.

Potíž je ovšem v tom, že se tak děje bez vědomí uživatele. A samozřejmě zůstávají možnosti skutečného zneužití u podvodných webů, které mohou třeba testovat, jaké on-line bankovnictví nebo webový e-mail člověk používá a pak zkoušet jinými prostředky krást hesla k účtu. Čím více informací o dalších aktivitách uživatele, tím větší šanci na úspěch bude mít také phishingový útok.

bitcoin_skoleni

Výzkumníci tvrdí, že nalezli i řadu serverů, které příslušnou zranitelnost Internet Exploreru opravdu zneužívají. Z 50 000 webů, které byly v čele žebříčku služby Alexa, provádělo tuto aktivitu 485.

Menší test má být k dispozici na http://www.whattheinternetknowsaboutyou.com/, ve chvíli vzniku článku ale tento web nefungoval.