Come tutti sappiamo, JavaScript caricato all'interno di un sito web A viene limitato per accedere al dominio stesso [ stesso criterio di origine ].
Purtroppo, la stessa politica di origine non si applica ai nodi DOM appena creati, che per esempio collegano JPEG di domini di terze parti. Pertanto, utilizzando questo collegamento multimediale, uno script dannoso potrebbe trasmettere informazioni sensibili a qualsiasi terza parte utilizzando i parametri GET.
Supponiamo che site A
carichi un file JavaScript da un'azienda pubblicitaria per visualizzare pubblicità. Normalmente, gli annunci vengono selezionati per es. dalle precedenti operazioni di ricerca dell'utente. Poiché la procedura di consegna degli annunci avviene sul server dell'inserzionista, le informazioni relative alla privacy non vengono esposte al sito A
(in modo diretto).
Ma tecnicamente, JavaScript fa qualche manipolazione DOM per rendere visibile l'annuncio nelle pagine di A
. Pertanto A
potrebbe preparare un file JavaScript, che traccia le operazioni dello script dell'inserzionista. In particolare, A
potrebbe tracciare quale annuncio esatto viene visualizzato.
Supponiamo che questi argomenti siano corretti, sarebbe A
in grado di rigenerare informazioni sensibili sulla privacy degli utenti?
Esempio specifico
- L'utente
U
utilizza Google per cercare determinati problemi di salute. - Pertanto, Google Analytics si rivolge all'utente
U
come malato per alcune malattie. -
A
è una compagnia di assicurazione che vende piani di assicurazione sanitaria.
Se U
naviga sul sito di A
, A
potrebbe rifiutare l'assicurazione malattia a causa del fatto che A
esamina la pubblicità presentata da Google per U
.
- Questa è pura teoria?
- Oppure potrebbe accadere?
- È effettivamente accaduto?