Ottenere informazioni sensibili dalla pubblicità visualizzata nelle pagine web

Naviga le tue risposte
1

Come tutti sappiamo, JavaScript caricato all'interno di un sito web A viene limitato per accedere al dominio stesso [ stesso criterio di origine ].

Purtroppo, la stessa politica di origine non si applica ai nodi DOM appena creati, che per esempio collegano JPEG di domini di terze parti. Pertanto, utilizzando questo collegamento multimediale, uno script dannoso potrebbe trasmettere informazioni sensibili a qualsiasi terza parte utilizzando i parametri GET.

Supponiamo che site A carichi un file JavaScript da un'azienda pubblicitaria per visualizzare pubblicità. Normalmente, gli annunci vengono selezionati per es. dalle precedenti operazioni di ricerca dell'utente. Poiché la procedura di consegna degli annunci avviene sul server dell'inserzionista, le informazioni relative alla privacy non vengono esposte al sito A (in modo diretto).

Ma tecnicamente, JavaScript fa qualche manipolazione DOM per rendere visibile l'annuncio nelle pagine di A . Pertanto A potrebbe preparare un file JavaScript, che traccia le operazioni dello script dell'inserzionista. In particolare, A potrebbe tracciare quale annuncio esatto viene visualizzato.

Supponiamo che questi argomenti siano corretti, sarebbe A in grado di rigenerare informazioni sensibili sulla privacy degli utenti?

Esempio specifico

  • L'utente U utilizza Google per cercare determinati problemi di salute.
  • Pertanto, Google Analytics si rivolge all'utente U come malato per alcune malattie.
  • A è una compagnia di assicurazione che vende piani di assicurazione sanitaria.

Se U naviga sul sito di A , A potrebbe rifiutare l'assicurazione malattia a causa del fatto che A esamina la pubblicità presentata da Google per U .

  • Questa è pura teoria?
  • Oppure potrebbe accadere?
  • È effettivamente accaduto?
posta SteAp 07.09.2013 - 01:09
fonte

1 risposta

1

Di norma, questo non accade nella vita reale. In genere il contenuto di terze parti di questa varietà viene caricato in un iframe separato, il cui contenuto è (apparentemente) non accessibile al DOM della pagina esterna. Ci sono stati alcuni problemi in passato, ma sembra che le persone siano andate avanti, quindi presumibilmente i problemi sono stati risolti.

Più interessante degli annunci, però, è lo stesso principio applicato a pensare ai social plugin di Facebook. I plugin inseriranno testo come "Il tuo amico Rory Alsop ha gradito questa pagina" insieme alle foto dei tuoi amici. Ciò significa che se l'operatore del sito ha accesso a quel contenuto, allora può determinare chi sono i tuoi amici di Facebook e forse la tua identità di Facebook.

Questo è molto più significativo di indovinare i tuoi mali dagli annunci Google.

    
risposta data 07.09.2013 - 02:01
fonte

Leggi altre domande sui tag

Analisi statiche delle applicazioni Android che utilizzano Androguard PHP implicazioni sulla sicurezza di gethostbyname