Besökarhistorik med CSS-hack

Säkerhetsexperter upptäckte för ett tag sen att CSS-historiken kunde användas till att ta reda på vilka webbplatser en besökare har vart på tidigare. Normalt används detta endast för att webbläsarna ska kunna markera besökta länkar i en annan färg eller stil.

Ett hot mot integritet kan man tycka och definitivt ett säkerhetsproblem. En nätfiskare kan med denna metod enkelt får reda på om besökaren nyss har loggat in på Gmail, Hotmail, Yahoo eller vilka banktjänster denna använder. Och på sådant sätt rikta sina nätfiskningsaktioner mot just de tjänster som användaren nyttjar.

Jeremiah Grossman visade upp exempelkod i postningen "i know where you've been" redan för ett halvår sedan och RSnake har ett "CSS History Hack"-demo (för Firefox) som visar hur det fungerar i praktiken.

Jag har själv bara väntat på att man skulle få se exempel på "kreativ markadsföring" eller småfunktioner som förhöjer besökarens upplevelse. Att få tillgång till sån här extra information om besökaren borde ju locka många sajtutvecklare.

Bloggen int2e.com visar nu ett exempel på ett användningsområde. De beskriver ett skript för en flexibel "Digg-knapp" – som bara visas för besökare som tidigare vart på Digg.com.

Comments

Ruggigt! Och, måste jag erkänna... en liten smula lockande att göra någonting av. Vad blir motmedlet? Att, förutom att stänga av Javascript dessutom minimera sin cache?
Jo måste säga att jag känner mig kluven inför detta hot (eller funktion) beroende på hur man ser det. Och det är nog ingen idé att använda seriöst eftersom det inte fungerar på alla webbläsare. Men om man förklarar för sina besökare vad det handlar om, så varför inte? En digg-knapp som visas/eller göms är ju ganska harmlöst. För att skydda sig mot detta hacket har jag hört att Firefox-tilläggen SafeHistory eller NoScript ska fungera, har dock inte provat själv. Att stänga av JavaScript skulle ju gå men det kan man ju tyvärr inte leva utan nu förtiden. Rensa cachen ofta är ju också ett effektivt motmedel, precis som du säger Nikke.