Arcabit: JavaScript ułatwia szpiegowanie

dodano: 2006-10-06, źródło: webinside.pl

szukaj: konferencja ToorCon hakerzy javascript szpiegowanie użytkowników

Podczas hakerskiej konferencji ToorCon specjaliści z firmy SPI Dynamics poinformowali, że użytkownicy wyszukiwarek w łatwy sposób mogą być szpiegowani. Wystarczy do tego wykorzystanie prostej techniki dostępnej z poziomu języka JavaScript, alarmuje Arcabit.

Billy Hoffman z SPI Labs poinformował, że pozwala ona na skanowanie zasobów chronionych korporacyjnym firewallem i może być wykorzystana na każdej z przeglądarek. Nie jest to jednak błąd przeglądarki, a więc nie istnieje łata, która by temu zaradziła.

"To nie błąd, ale niezamierzona funkcja JavaScriptu, która pozwala stwierdzić, czy użytkownik odwiedził daną stronę internetową czy nie. A jeśli potrafimy to stwierdzić, potrafimy też dowiedzieć się, czy odwiedził stronę, którą odnalazł w konkretnej wyszukiwarce" – mówi Hoffman.

Zaprezentowana przez niego prototypowa technika pozwalała sprawdzić, jakie witryny znalezione w wyszukiwarce, zostały w rzeczywistości odwiedzone przez internautę, pisze Arcabit.

"Jeśli szukasz terminu "koty" i odwiedzisz jakąś stronę możemy to sprawdzić. A jeśli możemy sprawdzić, jaką stronę odwiedziłeś, możemy też sprawdzić, jakiego terminu szukałeś. Możemy dowiedzieć się, jakie pytania zadajesz dowolnej wyszukiwarce" – stwierdził Hoffman.

Technika ta może zostać wykorzystana np. przez internetowych sprzedawców do zbierania informacji o swoich klientach. "Na przykład, jeśli odwiedzisz Amazon.com i szukasz odtwarzaczy DVD, Amazon.com wyświetli swoje odtwarzacze i będzie mógł sprawdzić, czy sprawdzałeś też ofertę konkurencji. W ten sposób dowie się na ile lojalni są jego konsumenci" – dodał Hoffman. Zauważył przy tym, że odkryta przez niego funkcja może zostać wykorzystana też przez cyberprzestępców. Badacz radzi, by użytkownicy często czyścili historię odwiedzanych witryn.

Dawid Kulbaka, webinside.pl

szukaj: konferencja ToorCon hakerzy javascript szpiegowanie użytkowników

Osoby czytające tę wiadomość przeglądały również:

• UKE o polskim rynku dostępu szerokopasmowego
• Singapur: Darmowy internet w całym kraju
• Nowy Firefox najlepiej wywęszy phishing
• Ranking światowych stron
• Czy pracujesz w zdrowym biurze?
• Wyszukiwarka powie czy ktoś ukradł Ci dane
• Google: Dane dotyczące wyszukiwań będą anonimowe
• Autorskie treści własnością publiczną?