新闻是有分量的

访问过色情片? 网络浏览器漏洞暗中露面

一个计算机科学家小组发现,数十个网站秘密收集了用户以前在网上访问的地点列表,从新闻报道到银行网站,再到色情内容。 这些信息对于骗子们了解他们的目标并向他们发送个性化攻击非常有价值。 它还允许电子商务公司调整广告或价格 - 例如,如果该网站知道您只是来自提供较低价格的竞争对手。

虽然密码没有风险,但在收集您在线的详细列表时,网站可以为其用户创建详尽的配置文件。

加利福尼亚大学圣地亚哥分校的研究人员调查的这项技术被称为“历史嗅探”,是浏览器与网站互动并记录他们去过的地方的结果。 几行编程代码都是站点需要完成的。

尽管安全专家近十年来已经知道这种窥探是可能的,但最新的调查结果提供了一些利用该问题的网站的首次公开证据。 研究人员表示,当前版本的Firefox和Internet Explorer浏览器仍然允许这样做,旧版本的Chrome和Safari也是如此。

该报告增加了对互联网公司暗中监视的担忧,并且美国联邦监管机构正在提议一种“不跟踪”工具,该工具可以阻止广告商跟踪网上消费者向他们出售更多产品。

研究人员发现了46个站点,从污秽到沉寂,试图利用这种技术撬开访问者浏览历史记录,有时使用自行开发的跟踪代码。 包括金融研究网站Morningstar.com和新闻网站Newsmax.com在内的46个网站中,近一半使用了广告定位公司Interclick,该公司称其代码负责跟踪。

Interclick表示,跟踪是该网站未发现的为期八个月的实验的一部分。 纽约公司表示,它在10月份停止使用该技术,因为它没有成功地帮助广告商与互联网用户群体相匹敌。 Interclick强调它没有存储浏览器历史记录。

Morningstar表示,当它发现有关该计划时,它终止了与Interclick的关系,并且NewsMax表示它不知道历史嗅探已被用户使用,直到美联社呼吁。 NewsMax表示正在调查。

研究人员研究了更多的网站 - 总共有世界上最受欢迎的50,000个网站 - 并表示更多网站表现得很可疑,但无法证明他们使用历史嗅探。 研究中的近500个网站的特征表明它们可以推断浏览器的历史记录,超过60个网站将浏览器历史记录转移到网络中。 但研究人员表示,他们只能证明46人已经做过实际的“历史劫持”。

“浏览器供应商应该在很久以前就已经解决了这个问题,”WhiteHat Security Inc.的互联网安全专家Jeremiah Grossman表示,该公司没有参与这项研究。 “更多的证据表明,我们不仅需要修复,而且人们真的应该升级他们的浏览器。大多数人都不知道这是可能的。”

研究人员表示,最新版本的谷歌公司的Chrome和苹果公司的Safari对这种窥探具有自动保护功能。 Mozilla公司表示,下一版本的Firefox将具有相同的功能,并补充说,某些旧版本也存在解决方法。

微软公司指出,Internet Explorer用户可以启用隐私浏览模式,阻止浏览器记录用户的历史记录,从而防止这种间谍活动。 但隐私浏览也剥夺了浏览器了解其自身历史的重要好处,例如以不同于您没有的颜色显示您访问过的Google链接。

“令人惊讶的是,这种基本的隐私侵权行为的终身存在,”加州大学圣地亚哥分校的计算机科学与工程助理教授,该论文的作者之一Hovav Shacham说。

互联网公司痴迷于跟踪用户的行为,因此他们可以更好地定位广告。 Uproar促使联邦贸易委员会提出规则,限制广告商跟踪互联网用户向他们展示广告的能力。 委员会建议的“不跟踪”工具最终可以采用浏览器设置的形式,告诉广告商哪些访客不受限制; 但是,这样的设置不一定会阻止历史嗅探。

历史嗅探本质上是对您已经访问过的网页的并排比较,如果您访问过该网页,特定网站希望看到这些网页。 如果有匹配,用户可能永远不会知道,但网站管理员会了解他们的受众。

例如,一个流行的色情网站正在检查其访问者的历史,看看他们是否访问过其他23个色情网站,而Morningstar和NewsMax.com网站上使用的代码则查找与48个特定网页的匹配,所有这些都与福特相关汽车。

网站可以很快进行这种检查。 格罗斯曼说,现代节目每秒可以检查多达20,000个互联网地址。