科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道安全管理浏览器漏洞让网站可窃取网友浏览记录

浏览器漏洞让网站可窃取网友浏览记录

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

根据美国加州大学圣地牙哥分校一份JavaScript网页程序隐私资料流向验证研究报告显示,Alexa排行前五万大的网站中,有485个网站利用浏览器漏洞未经使用者同意就读取浏览记录。包括IE及Firefox都尚未修补该漏洞。

来源:enet 2010年12月22日

关键字: 浏览器漏洞 应用安全 安全策略

  • 评论
  • 分享微博
  • 分享邮件

  根据美国加州大学圣地牙哥分校一份JavaScript网页程序隐私资料流向验证研究报告显示,Alexa排行前五万大的网站中,有485个网站利用浏览器漏洞未经使用者同意就读取浏览记录。包括IE及Firefox都尚未修补该漏洞。

  这485个网站中共有63个网站会把浏览记录上传,其中46个网站积极运用这些记录,其他17个网站则不确定用途。

  由于大部分的浏览器让程序共用浏览记录、文件快取、域名快取,导致网站可以透过JavaScript程序取得浏览记录。该份报告指出,有两家网站分析工具公司Tealium与Beencounter销售此类工具软件。

  网站透过JavaScript程序可以了解使用者看过哪些网站,甚至是哪些网页,网站可以据此呈现不同的广告,或者选定攻击的目标。但是恶意网站也可以据此判断使用者是否去过某网站(例如A银行),并诱导使用者连接到特定的网站。而不管是为了广告用途或者是恶意用途,网站可以透过这个功能判断使用者是否连接到特定网址。

  该份报告指出,YouPorn.com、TwinCities.com、Charter.net等网站均会读取使用者的浏览纪录,幸好新一代的浏览器已经对此免疫,苹果的Safari及Google的Chrome这两种浏览器最新版本已经修补这个问题,Firefox则要等到4.0版,IE只能在“InPrivate浏览”匿踪模式下才能避免被读取浏览记录。FireFox的NoScript则可以关闭大部分的JavaScript程序,仅让授权过的程序执行。

  除了侦测浏览技术之外,该份报告亦追踪网站关于窃取cookie、挟持网址(强迫使用者观看特定网页)、行为追踪等行为,例如微软、Wired杂志、日本雅虎及YouTube等网站会追踪使用者的行为,依网站不同可能追踪使用者滑鼠的位置、移动的方式、选取的文字等等。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章