Besökarhistorik med CSS-hack

Säkerhetsexperter upptäckte för ett tag sen att CSS-historiken kunde användas till att ta reda på vilka webbplatser en besökare har vart på tidigare. Normalt används detta endast för att webbläsarna ska kunna markera besökta länkar i en annan färg eller stil.

Ett hot mot integritet kan man tycka och definitivt ett säkerhetsproblem. En nätfiskare kan med denna metod enkelt får reda på om besökaren nyss har loggat in på Gmail, Hotmail, Yahoo eller vilka banktjänster denna använder. Och på sådant sätt rikta sina nätfiskningsaktioner mot just de tjänster som användaren nyttjar.

Jeremiah Grossman visade upp exempelkod i postningen "i know where you've been" redan för ett halvår sedan och RSnake har ett "CSS History Hack"-demo (för Firefox) som visar hur det fungerar i praktiken.

Jag har själv bara väntat på att man skulle få se exempel på "kreativ markadsföring" eller småfunktioner som förhöjer besökarens upplevelse. Att få tillgång till sån här extra information om besökaren borde ju locka många sajtutvecklare.

Bloggen int2e.com visar nu ett exempel på ett användningsområde. De beskriver ett skript för en flexibel "Digg-knapp" – som bara visas för besökare som tidigare vart på Digg.com.

By Jesper Lind

Xenon - skatteverkets nätspindel släpps ut

Skatteverket har redan en spindel som är ute på nätet och samlar ihop uppgifter ifrån näringslivet. Målsättningen är att kunna hitta de näringsivrare som inte betalar skatt ordentligt.

Nu lanserar man en ny uppdaterad version, kallad Xenon, som ska vara ännu effektivare på att lokalisera skattesmitare. Samarbete sker sedan tidigare mellan Holland, England, Österrike, Danmark och Kanada. Och nu alltså även Sverige.

På DN kan man läsa mer om några hur det hela väcker olustkänslor hos Pär Ström, "integritetsombudsman" på tankesmedjan Den nya välfärden.

Dag Hardyson, Skatteverkets riksprojektledare för Xenon menar dock att det inte ska ska finnas några risker för att integriteten ska kränkas.

- Men vi tittar bara på det som är publikt. De här sajterna vill ju verkligen synas och vi letar inte efter sådant som är personligt, säger Dag Hardyson.

Jag blir mest intresserad av hur denna spindel är programmerad. Ska definitivt försöka hålla utkik efter den i våra besökarloggar. Ska bli intressant att analysera hur en svensk myndighet väljer att automatisera denna typ av övervakning. Om den nu kommer hit och krälar. Vi betalar skatt så du är välkommen att snoka runt lite, Xenon.

Om någon vet hur man identifierar denna spindel så uppskattar vi mer information.

Uppdatering: media:screen spinner vidare på tråden och ställer frågan om Skatteverkets datainsamling till och med kan vara olaglig, enligt upphovsrättslagen. Läsvärt helt klart.

Där finns även en del intressanta referenser, bland annat till artikeln på Wired. Här kan vi läsa att Marten den Uyl från företaget Sentient, som ligger bakom produkten, förklarar att spindeln kommer söka igenom webbplatserna enligt en långsam algorytm. Här handlar det om smart urval av länkar och innehåll. Han avslöjar dock inte vad spindeln kommer använda för user-agent (används till att indetifiera internet trafik) men förklarar att det är upp till varje skattemyndighet att ange vilken sträng som ska synas.

By Jesper Lind

Teleadress.se - sajten som vet allt om dig?

Genom Knuff såg jag att några bloggare hade länkat till en artikel på Aftonbladet som handlar om en sajt som vet allt om dig. Som vanligt har man länkfobi på Aftonbladet men man skriver åtminstone ut adressen till sidan man skriver om i ej klickbart format.

Det handlar om Teleadress.se. Just nu ligger sidan nere pga "tekniska problem" men ska kolla in den lite närmare en annan gång.

De som skrivit om den på bloggar meddelar att den verkar rätt ytliga uppgifterna. Man har tydligen någon slags statistisk grund till det hela och på Aftonbladet citeras företagets VD.

– Profilerna räknas ut med hjälp av statistiska undersökningar från bland annat Orvesto, säger vd Kent Edlund på Teleadress.

En annan sajt som visar personliga uppgifter och som väckt väldigt mycket motstånd är Ratsit.se. Här handlar det om kostnadsfri kreditupplysning på internet. Inte en helt trevlig utveckling med alla dessa offentliga register tycker jag. Som tur är funderar regeringen på att förbjuda liknade tjänster. Ett bra initiativ. Andra på nätet visar sitt missnöje med kampanj för att minska Ratsit's reklamintäkter.

Uppdatering: Nu har jag provat på Teleadress-tjänsten och tyckte inte den var något värst intressant. Uppgifterna man får fram är väldigt begränsade och kan i alla fall inte ses som något hot mot integritet. De är säkert användbara för direktmarknadsföring och massutskick. Det finns även en API som företag kan utnyttja när de t ex vill få fram telefonnummer till Callcenters. Här kan du se vilka typer av uppgifter det handlar om.

Märkte även en annan grej. Företaget är ett dotterbolag till Aftonbladet Hierta AB och innegår i den norska mediekoncernen Schibsted ASA. Inte konstigt att AF skrev så käckt om tjänsten, när det är ett företag inom egna koncernen.

By Jesper Lind

Är dina kreditkortsuppgifter på drift?

http://www.codeodyssey.se/upload/resource/blog/stolenidlogo.jpg

Silicon Valley företaget Trusted ID, lanserar nu tjänsten Stolen ID Search, där man kan göra sökningar på sitt kreditkortsnummer för att se ifall det har hamnat i orätta händer. De samlar dessa data i nätets mörkaste gränder där kriminella utbyter uppgifter, och säger sig ha över två miljoner kreditkortsnummer i sina register.

Man erbjuder även sedan ett år tillbaka IDFreeze som är en aktiv säkerhetstjänst där de hjälper konsumenter att skydda sin identitet och betalningsuppgifter mot en årsavgift på ca 600 kr.

Här på Code Odyssey jobbar vi mycket med e-handel och kommer ofta i kontakt med oroliga kunder som har frågor rörande säkerhet på internet. I dessa tider med nordeabrev och ett allt ökande nätfiske är det naturligt att många känner sig otrygga när de handlar på internet.

Ibland händer det att webbplatser vi jobbar åt blir måltavla för bedrägeriförsök, alltså att kriminella försöker använda stulna uppgifter. Oftast tar bankerna hand om detta men ibland får man rycka in som extra detektiv. Då kan Stolen ID Search vara ett bra verktyg att ha arsenalen.

Men man måste påpeka att det gäller att vara väldigt försiktig på nätet. I vanliga fall skulle vi inte rekommendera att skriva in några uppgifter på någon liknande tjänst. Stolen ID Search verkar dock vara riktigt seriös och eftersom man endast skriver in själva kortnummret så är det ingen fara. För att använda ett kort i bedrägerisyfte behöver ju skurkarna ha fullständiga uppgifter så som personuppgifter, säkerhetsnummer och giltighetsdatum.

Via: TechCrunch

 

By Jesper Lind

Växtvärk för Geni's släktträd och hur hög är säkerheten?

Släktforskningstjänsten Geni har under de första dagarna som man haft uppe sin betaversion blivit omåttligt populär och har fått stor uppmärksamhet. Personligen gillar jag verkligen sajten och har haft mycket roligt tillsammans med min familj när alla släktingar har poppat upp under veckan.

Tjänsten har dock haft en hel del problem. Man hade inte räknat med den stora tillströmningen av användare och sidan har stundvis legat nere. De har varit ganska bra på att hålla användarna informerade via den officiella bloggen men inte på när det gäller alla problem. Många användare har nämligen råkat ut för att hela deras släktträd har raderats. Inte allt för kul när man har spenderat tid på att mata in all data. Detta har man inte bett om ursäkt för eller ens nämnt i bloggen.

Att vissa typer av familjerelationer inte är möjligt att mata in har också klagats på som att t ex att det inte går att mata in homosexuella par, adopterade barn eller andra annorlunda familjeförhållanden. Men detta är ju inget man direkt kan klaga på tycker jag, det är ju faktiskt en beta vi har att göra med. TechCrunch sammanfattar fadäserna och länkar till kommentarer från användare som råkat ut för strul.

Något som jag tycker är lite allvarligare är säkerhetsaspekten, hur säkra är våra uppgifter egentligen? Är det smart att skriva in för mycket information på sajten som t ex ens mammas namn som barn. Detta är ju en ganska vanlig säkerhetsfråga på banktjänster.

Jag gjorde häromdan en ganska skrämmande upptäckt när jag av en slump sökte runt på sajten (läs kommentarerna till det tidigare inlägget jag skrev om Geni). Hittade en publik xml-fil innehållande url:er till användares bilder och kunde lätt bläddra igenom dessa. Jag har kontaktar Geni angående detta men ännu inte fått något svar. Förhoppningsvis var det bara testdata jag hittade.

En sak är jag säker på i alla fall, de bilder man laddar upp är absolut inte säkrade för insyn. Alla bilder ligger på publika adresser. De har i och för sig ganska krångliga URL:er men det är nog inte omöjligt att hitta ett mönster i dessa och på så sätt kunna se andra användares bilder.

På förstasidan av sajten står det så här:

 

Geni is private and sequre: only the people in your family tree can see your tree and profile

 

Så Geni's uttalande får man ta med lite sanning i modifikation, dina bilder är INTE säkra!

Hur som helst tror jag inte dessa små bakslag kan stoppa sajtens framgångar. Vi kommer nog snart få se hur de har tänkt att tjäna pengar på dessa data.

Idéen med med släktträdet är genial och det kommer nog efterföljare som vill utmana på området. ZOOF.com är ett exempel på en sådan, som också precis har börjat att erbjuda användare testkonto, och de är givetvis också i beta-läge. jag har inte provat på tjänsten ännu men att de erbjuder tjänsten på 35 olika språk, svenska inkluderat, är imponerande.

By Jesper Lind
1