…meie igapäevast IT’d anna meile igapäev…

2010-05-25

Mis saite sa oled külastanud?

Filed under: JavaScript — Sander @ 12:00:35

wherehaveyoubeenViskasin eile valmis ühe pisikese lehe, mida ma olen ammu mõelnud teha – ühe JavaScripti privaatsusprobleemi näidise. Ei, kartma ei pea, sarnaselt kõikidele sellistele näidislehtedele mingit tegelikku informatsiooni kuhugi ei edastata.

Lehte saad näha klikkides siin. Internet Exploreriga tuleb veidi rohkem kannatust varuda, sest IE JS kiirus on teadagi milline, normaalsete brauseritega peaks laadimine alla kümne sekundi võtma.

Pärast väikest laadimist võid näha populaarseid saite, mida sa käesoleva brauseriga oled juba külastanud. Kuidas? JavaScript ju ei tohi ju teada mitte midagi sinu veebilehitsemise ajaloost (välja arvatud sama saidi cookied), teiste saitide akendest jne.

Kasutan ära kõikides brauserites olevat mugavusfunktsiooni – külastatud lingid värvitakse erineva värviga, et kasutal oleks selle lingi eelnev külastamine visuaalselt nähtav. Antud lehel on peidetuna 20 000 populaarsemat saiti (Alexa topsites) ja miljoni populaarseima saidi seas olevad .ee lehed. Pärast lehe laadimist pisike JS kontrollib linkide värvi ja saab nõnda teada kus sa juba oled käinud. Nii lihtne see ongi – ning see nimekiri näitamise asemel serverisse saata ei ole ju ka mingi töö.

See ei ole uus probleem, seda privaatsusprobleemi tutvustavaid proof-of-concept-lehti on piisavalt ka varem olemas – soovisin lihtsalt ise asja katsetada – ning ka Eesti lehtedega pole minuteada seda tehtud.

Iseenesest ei tundu see ju suure privaatsusprobleemina – mida selline külastatud saitide nimekiri annaks pahalastele? Aga võimalikud on mitmed erinevad stsenaariumid. Saadakse teada, millist panka sa online kasutad ja kasutatakse seda infot järgnevates sinu vastu suunatud rünnakutes. Tuntud homofoobi kohta saadakse teada, et ta külastab aktiivselt homoporno saite – enamik homofoobe on ju ise salaja gayd – ja kasutatakse seda teadmist väljapressimiseks. Oled töö ajal konkurendi töökpakkumisi vaatamas käinud? Sky is the limit.

Lahendus? Brauserite tootjad ilmselgelt ei plaani midagi teha. Kõige lihtsam on määrata, et brauseri sulgemisel kustutataks kogu brausimise ajalugu, seda peaksid kõik hetkel rohkem levinud veebisirvijad toetama out-of-the-box. Ka on enamlevinud brauserites anonüümne režiim, seda erinevate nimede all (IE: InPrivate browsing, FF: Private browsing, Chrome: Incognito window). Sellest režiimist lahkumisel kustutatakse automaatselt kõik veebisaitide poolt sinu arvutisse jäetud jäljed, kasutage seda valgustkartvate lehtede külastamiseks.

8 kommentaari »

  1. su skript ei tööta kummagi mu brauseri peal,
    aga saitide list on küll puhas kuld!

    kommentaar kirjutas --- — 2010-05-25 @ 14:24:28 | Vasta

  2. Hmm, mis brauserit sa kasutad? Ise testisin Chrome, IE8, FF, mingeid probleeme ei olnud. See JS peaks ka piisavalt triviaalne olema, et võiks igal pool ok olla – iseasi kui jQuery on blokeeritud vms. Ehk Skype blokeerib majasiseselt seda? Playtechis oleval tuttaval oli sarnane probleem, ei jõudnud täpsemalt süveneda.

    kommentaar kirjutas dukelupus — 2010-05-25 @ 15:17:35 | Vasta

  3. Kodus, interneeduseks Kõu, brauseriks Opera 10.10, opsüsteemiks OS X 10.6, skript näitab ainult .ee-d. Pildi peal nähtud saidid sai huvi pärast läbi käidud ka, ikkagi ei kolbigi.

    kommentaar kirjutas Ray D. Noper — 2010-05-25 @ 18:00:52 | Vasta

  4. Panin Opera omale peale, sellega ei paista leheke töötavat. Tundub Opera häda, aga kuna Opera õnnetu JS debugger/Dragonfly keeldub normaalselt töötavat, siis midagi täpsemalt ei tea. Eriti ei imesta ka, olen varemgi Operat pirtsaka priimabaleriiniga võrrelnud. Õnneks on tema turuosa 2% kandis ja pidevalt langev.

    kommentaar kirjutas dukelupus — 2010-05-25 @ 18:42:49 | Vasta

  5. Kas see on siis miinus ? Ise loetled üles, milline potentsiaalne privaatsusrisk antud võimalus on ja siis kritiseerid, kui mõni brauser on selle augu kinni toppind ? :P

    (Vihjeks: teatavaid seadeid muutes saab ka Operal antud skripti [suuremalt jaolt] tööle tegelikult :P)

    kommentaar kirjutas Ray D. Noper — 2010-05-25 @ 18:49:18 | Vasta

  6. Opera seda auku kinni pole küll toppinud. Lihtsalt Opera JS andis värviks #0000ff, mitte rgb(0, 0, 255) nagu teised brauserid. Primadonna.

    Lisasin ka selle kontrolli. Nüüd vähemalt mu Operas töötab.

    kommentaar kirjutas dukelupus — 2010-05-26 @ 08:47:03 | Vasta

  7. Teiste veebilehitsejate kohta ei tea, aga vähemasti Firefoxis parandati see ära aprilli alguses (https://bugzilla.mozilla.org/show_bug.cgi?id=147777). Tavakasutajateni jõuab see küll ilmselt Firefox 4-s, nii et tuleb veel oodata.

    kommentaar kirjutas Merike — 2010-05-26 @ 18:58:18 | Vasta

  8. Kena, sealt sai lugeda ka et Webkit plaanib samuti seda muudatust. a:visited on tegelikult tänases veebis suhteliselt mõttetuks muutunud, nii ka enamikus oma saitides jagavad a ja a:visited sama stiili.

    kommentaar kirjutas dukelupus — 2010-05-26 @ 20:01:48 | Vasta


RSS feed for comments on this post. TrackBack URI

Lisa kommentaar

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Muuda )

Twitter picture

You are commenting using your Twitter account. Log Out / Muuda )

Facebook photo

You are commenting using your Facebook account. Log Out / Muuda )

Google+ photo

You are commenting using your Google+ account. Log Out / Muuda )

Connecting to %s

Create a free website or blog at WordPress.com.