Kunjungi porno? Kesalahan browser memperlihatkan semuanya secara rahasia

San Francisco – Lusinan situs web secara diam -diam telah mengangkat daftar tempat -tempat yang sebelumnya telah dikunjungi oleh pengguna mereka secara online, semua dari artikel berita hingga situs perbankan hingga pornografi, sebuah tim ilmuwan komputer ditemukan.

Informasi ini sangat berharga bagi penyihir untuk mempelajari lebih lanjut tentang target mereka dan mengirimi mereka serangan pribadi. Ini juga memungkinkan perusahaan e -commerce untuk menyesuaikan iklan atau harga – misalnya, jika situs tahu bahwa Anda baru saja berasal dari pesaing yang menawarkan harga lebih rendah.

Meskipun kata sandi tidak berisiko, situs dapat membuat profil menyeluruh pada penggunanya ketika Anda mengumpulkan daftar terperinci di mana Anda sedang online.

Teknik yang diperiksa oleh para peneliti di University of California, San Diego, disebut “history sniff” dan merupakan hasil dari cara di mana browser berinteraksi dengan situs web dan merekam di mana mereka berada. Beberapa aturan kode pemrograman adalah semua yang diperlukan situs web untuk mengambilnya.

Meskipun para ahli keamanan telah mengetahui hampir satu dekade bahwa permen semacam itu dimungkinkan, temuan terbaru dari bukti publik pertama dari situs web yang mengeksploitasi masalah. Versi saat ini dari browser Firefox dan Internet Explorer masih mengizinkannya, seperti versi Chrome dan Safari yang lebih lama, kata para peneliti.

Laporan tersebut berkontribusi pada peningkatan kekhawatiran tentang pengawasan rahasia oleh perusahaan internet dan datang sebagai regulator federal di AS menyarankan instrumen “jangan melacak” yang akan mencegah pengiklan mengikuti konsumen secara online untuk menjual lebih banyak produk kepada mereka.

Para peneliti menemukan 46 situs web, mulai dari smuts hingga firm, yang mencoba melonggarkan pengunjung mereka melalui sejarah Braai menggunakan teknik ini, kadang -kadang dengan kode pelacakan buatan sendiri. Hampir setengah dari 46 situs web, termasuk situs web riset keuangan Morningstar.com dan situs web berita Newsmax.com, menggunakan perusahaan target periklanan, Interclick, yang mengatakan kodenya bertanggung jawab atas deteksi tersebut.

Interklick mengatakan deteksi itu adalah bagian dari percobaan delapan bulan yang tidak disadari oleh situs -situs itu. Perusahaan New York mengatakan itu berhenti menggunakan teknik ini pada bulan Oktober karena tidak berhasil untuk membantu menyesuaikan pengiklan dengan kelompok pengguna internet. Interklick menekankan bahwa itu tidak menyelamatkan sejarah browser.

Morningstar mengatakan dia mengakhiri hubungannya dengan interklick ketika dia mengetahui tentang program itu, dan Newsmax mengatakan dia tidak tahu bahwa sejarah mengendus digunakan pada penggunanya sampai Associated Press menelepon. Newsmax mengatakan dia sedang menyelidiki.

Para peneliti mempelajari lebih banyak situs web – total 50.000 situs web paling populer di dunia – dan mengatakan lebih banyak lagi bertindak mencurigakan, tetapi tidak dapat dibuktikan menggunakan history heffing. Hampir 500 situs web yang diteliti memiliki fitur yang menunjukkan bahwa mereka dapat menyimpulkan sejarah browser, dan lebih dari 60 sejarah browser yang ditransfer ke jaringan. Tetapi para peneliti mengatakan mereka hanya bisa membuktikan bahwa 46 “pembajakan sejarah” nyata melakukannya.

“Vendor pemuliaan seharusnya telah memperbaikinya untuk waktu yang lama,” kata Jeremiah Grossman, seorang ahli keamanan internet di Whitehat Security Inc., yang tidak terlibat dalam penelitian ini. “Ini lebih banyak bukti bahwa kita tidak hanya membutuhkan solusi, tetapi orang -orang benar -benar perlu meningkatkan browser mereka. Kebanyakan orang tidak akan tahu itu mungkin.”

Versi terbaru dari Google Inc. Chrome dan Apple Inc. Safari memiliki perlindungan otomatis untuk mengendus semacam ini, kata para peneliti. Mozilla Corp. mengatakan bahwa versi Firefox berikutnya akan memiliki fitur yang sama, menambahkan bahwa ada juga solusi untuk beberapa versi yang lebih lama.

Microsoft Corp. Perhatikan bahwa pengguna Internet Explorer dapat mengaktifkan mode penelusuran pribadi yang mencegah browser mencetak riwayat pengguna, yang mencegah jenis mata -mata ini. Tetapi penjelajahan pribadi juga menghilangkan manfaat penting dari browser yang mengetahui sejarahnya sendiri, seperti menampilkan tautan Google yang Anda kunjungi dalam berbagai warna dari yang tidak Anda miliki.

“Mengejutkan, seumur hidup bahwa pelanggaran privasi mendasar ini dapat terus ada,” kata Hovav Shacham, asisten profesor ilmu komputer dan teknik untuk UC San Diego dan salah satu penulis surat kabar.

Perusahaan internet terobsesi dengan melacak perilaku pengguna sehingga mereka dapat menargetkan iklan mereka dengan lebih baik. Riot telah mendesak Komisi Perdagangan Federal untuk mengusulkan aturan yang akan membatasi kemampuan pengiklan untuk menemukan pengguna internet untuk menunjukkan iklan mereka. Instrumen “jangan melacak” yang menyarankan komisi pada akhirnya dapat mengambil bentuk lembaga browser yang diketahui pengiklan mana pengunjung yang tidak terbatas; Namun, lembaga semacam itu tidak perlu memblokir sejarah mengendus.

History Snuff pada dasarnya adalah perbandingan berdampingan dari halaman web yang telah Anda kunjungi dengan halaman web yang ingin dilihat atau Anda kunjungi. Jika ada permainan, pengguna mungkin tidak akan pernah tahu, tetapi administrator situs akan belajar banyak tentang audiens mereka.

Misalnya, situs web pornografi populer telah memeriksa sejarah pengunjungnya untuk melihat apakah mereka mengunjungi 23 situs pornografi lainnya, dan kode yang digunakan di situs Morningstar dan Newsmax.com telah mencari yang cocok di 48 halaman web spesifik, yang semuanya ada terkait dengan Ford. mobil.

Spride dapat melakukan inspeksi semacam ini dengan sangat cepat. Grossman mengatakan program modern dapat memeriksa sebanyak 20.000 alamat internet per detik.