Webjunkie.nl

  • Increase font size
  • Default font size
  • Decrease font size

'Sites misbruiken privacygevoelig browserlek actief'

User Rating: / 0
PoorBest 

Een tien jaar oude privacybug in Firefox en Internet Explorer wordt actief misbruikt, blijkt uit onderzoek. Websites als YouPorn en PornHub kunnen met javascriptcode en de dom-interface de surfgeschiedenis van gebruikers achterhalen.

De websites maken gebruik van een al lang bekende fout in Firefox en Internet Explorer. Door in javascript een verwijzing naar een url te creëren en deze vervolgens te inspecteren, kan worden nagegaan of die specifieke url al is bezocht. De websites krijgen dus geen kant-en-klare lijst van websites die zijn bezocht, maar kunnen wel per adres controleren of deze in de browsergeschiedenis staat.

Dat is mogelijk doordat bezochte links in css onafhankelijk van niet-bezochte urls kunnen worden gemanipuleerd. Door in een ingevoegd css-bestand het element 'a:visited' aan te roepen, kan aan bezochte links bijvoorbeeld een andere kleur worden gegeven dan aan niet-bezochte links. Dat is precies wat de standaard-stylesheets van alle gangbare webbrowsers doen; url's die in de browsergeschiedenis van een gebruiker staan, krijgen een paarse kleur en adressen die nieuw zijn voor de browser worden blauw.

Het schiften van bezochte en nieuwe url's is bedoeld om het navigeren van websites eenvoudiger te maken. In combinatie met het document object model levert dit echter problemen op. Met de dom-interface van een webbrowser kunnen onder andere eigenschappen van elementen op een webpagina worden uitgelezen; zo kan worden geïnspecteerd welke rgb-kleurwaarde aan een bepaald element is toegekend. Wie de rgb-waarde van een a-element onderzoekt, kan daar dus uit concluderen of die link in de browsergeschiedenis van de bezoeker staat en dit bijvoorbeeld in een database opslaan.

Deze privacygevoelige ontwerpfout wordt actief misbruikt, blijkt uit onderzoek van de Universiteit van Californië. De onderzoekers inspecteerden de 50.000 websites die het best worden bezocht volgens Alexa, een bedrijf dat - niet al te nauwkeurige - schattingen geeft over het aantal bezoekers van websites. Van die 50.000 sites gebruikten er 485 verdachte code, die wellicht kan worden gebruikt om de gegevens over de surfgeschiedenis van gebruikers te verkrijgen. 46 websites maakten zich daadwerkelijk schuldig aan het inspecteren van de surfgeschiedenis. Veel schuldige websites versleutelden hun javascriptcode om het misbruik af te schermen.

De onderzoekers wijzen erop dat de privacygevoelige fout al tien jaar bekend is, maar dat grootschalig misbruik niet was aangetoond. Hoewel het aantal websites dat er gebruik van maakt relatief klein is, zitten er wel veelbezochte websites als YouPorn tussen. Dat er naast sites met enigszins dubieuze namen als YouPornCocks en FuckTube ook serieuze, bonafide websites als het financiële MorningStar en een F1-website van sportzender ESPN op de lijst staan, is opmerkelijk.

Volgens de onderzoekers is javascript onvoldoende tegen dit soort privacy-inbreuken beschermd. Bovendien hebben Firefox en Internet Explorer geen beveiliging ingebouwd tegen het uitlezen van de privacygevoelige informatie. Gebruikers van Apple Safari en Google Chrome zijn niet kwetsbaar, hoewel deze browsers pas dit jaar werden gepatcht.

Het onderzoek werd overigens niet met de hand uitgevoerd; de onderzoekers ontwikkelden een script dat automatisch de javascript-code op webpagina's inspecteert. Zij onderzochten webpagina's ook op andere vormen van privacy-inbreuken, zoals behavior tracking; populaire websites als YouTube, Yahoo en Microsoft-sites houden muisbewegingen van bezoekers bij, melden de onderzoekers. Dat dit gebeurt, is echter relatief bekend.

 

Main Menu


Online

We have 17 guests online