Soluzioni alternative per: ricognizione Storia CSS visitata

È ancora possibile. Tuttavia, ora è molto più difficile da fare in modo discreto. Vedere il seguente documento di ricerca per i dettagli su come farlo:

• So ancora cosa hai visitato la scorsa estate: trapelando la cronologia di navigazione tramite l'interazione degli utenti e gli attacchi dei canali laterali , Zack Weinberg , Eric Chen, Pavithra Ramesh Jayaraman e Collin Jackson, IEEE Security and Privacy Symposium 2011.

Importante: per favore non usare questo spionaggio sui visitatori del tuo sito web senza il loro consenso. Questa è una cosa cattiva e cattiva da fare. È anche una cattiva mossa di affari.

Ne abbiamo già parlato prima. L'ultima volta che alcuni siti web hanno provato a usare lo sniffing della cronologia CSS, alla fine sono stati scoperti. Il fatto che stessero usando lo sniffing della cronologia è entrato nelle notizie e ha attirato l'attenzione della FTC e di molti altri. Le cause sono state archiviate e sono state aperte indagini. Quindi penso che abbiamo prove solide che se annoti la storia ai tuoi visitatori, stai chiedendo dei guai. Per ulteriori informazioni su questo, consultare le seguenti fonti:

• NAI per sondare il mercato epico ' Tecniche per lo sniffing della storia .

• Adatta allo spegnimento 'La storia che annusa' prende di mira il monitoraggio degli utenti Web . Notare la citazione dal funzionario FTC. Non va bene quando la FTC è disposta a rilasciare una dichiarazione pubblica che esprima preoccupazioni sulle pratiche aziendali.

• L'FTC promette uno sniffing di fine storia (Microsoft, Take Note) .

• Cronologia del browser che annusa nelle notizie . Estratto: "Chiaramente, le aziende sanno che è una cattiva abitudine sniffare la cronologia del browser, anzi, probabilmente è anche illegale."

• History Sniffing

• Il documento di ricerca che ha dato il via a tutto questo: Uno studio empirico dei flussi di informazioni che violano la privacy in JavaScript Web Applications , Dongseok Jang, Ranjit Jhala, Sorin Lerner e Hovav Shacham, ACM CCS 2010.

È abbastanza possibile. Il trucco che hanno usato per prevenire questo attacco comporta la disattivazione dei CSS sul selettore :visited . Tuttavia, ciò non impedisce al selettore di essere ancora lì!

È possibile utilizzare JavaScript per scorrere attraverso una serie di collegamenti, controllando il selettore :visited su ciascuno. È possibile eseguire il controllo utilizzando cssRules , che dovrebbe indicare quali regole vengono applicate a un elemento DOM . Una volta trovati quelli visitati, puoi fare un post Ajax sul sito per archiviare i risultati. C'è un proof of concept di questo trucco, sebbene non ci sia alcuna garanzia che sia corretto e funzionale su tutti i browser.