|
Иллюстрация: UC San Diego |
Возможность хищения протокола заходов пользователя на веб-сайты — history sniffing — демонстрировалась и обсуждалась экспертами, однако никто до сих пор не проверял, используется ли на самом деле эта методика в операторами сайтов и баннерных сетей.
Специалисты Университета Калифорнии в Сан-Диего впервые получили эмпирические сведения о том, что history sniffing действительно применяется на сайтах в целях тайного перехвата протокола посещений. Метод полагается на особенности отображения ссылок в браузерах: уже посещенные подсвечиваются фиолетовым цветом, непосещенные — голубым. Регистрируя цвет отображения ссылок, специальный код на JavaScript передает на сервер историю ваших посещений.
Для проверки масштабов использования данной методики исследователи разработали специальный инструментарий. Как показали результаты его применения, 485 из 50 тыс. самых посещаемых сайтов регистрируют цвет ссылок, и 63 из этих 485 передают историю посещений в сеть. В 46 случаях был подтвержден факт применения history sniffing, причем один из таких сайтов входит в рейтинг Alexa Global Top 100.
Теги:
Защита информации
Информационная безопасность
На ту же тему:
Конфиденциальную корпоративную информацию готовы продать многие
Проведенный в США, Великобритании и Австралии по заказу компании SailPoint опрос показал: уходя из компании самостоятельно или получая уведомление об увольнении, бывшие сотрудники вполне способны прихватить с собой доступную им порцию конфиденциальных сведений с целью их последующего использования или продажи.
Спецслужбы изъяли из продажи нелегальные базы данных
Управление собственной безопасности ФСБ во взаимодействии с департаментом собственной безопасности МВД провело в ряде торговых комплексов Москвы масштабную операцию по изъятию нелегальных баз данных с персонифицированной информацией о гражданах России.
Компания "Кабест" поможет защитить банковские системы
Компания "Кабест" (группа "Астерос") стала эксклюзивным партнером FortConsult – международного эксперта по угрозам безопасности платежных и банковских систем. На российском рынке ИБ-интегратор будет оказывать консалтинговые услуги по приведению информационной системы организаций в соответствие требованиям стандарта Payment Card Industry Data Security Standard.