Раскрытие пользовательских данных при помощи css

CSS*

Технология css несмотря на свою внешнюю безобидность способна преподносить неприятные сюрпризы. К примеру, воспользовавшись двумя стилями и небольшой javascript вставкой, мы получаем возможность проверить совершенно любой адрес на факт его посещения пользователем.

Теория:

Все современные браузеры позволяют использовать специальные псевдо классы при манипулировании со стилями ссылок. Нам интересен класс visited, назначаемый ссылке в том случае, если пользователь уже посещал адресс указанный в её href. На первый взгляд такой подход несёт исключительно положительный результат — пользователь видит уже посещённые ссылки на странице и не путается.
Но веб страницы — это уже давно не только код стилей и разметки, но и обилие скриптовых вставок, без которых многие сайты просто не функционируют. JavaScript код имеет доступ к любому элементу DOM дерева и его свойствам и, значит, может получить информацию о стилях ссылок.

Таким образом, отмечая посещённые ссылки иным цветом нежели в обычном состоянии и проверяя цвет в скрипте, можно сказать, посетил ли пользователь конкретный адрес или нет.

И чем это плохо?

«Подумаешь, проблема!» — может сказать среднестатистический пользователь. Но сколь бы несущественной не казалась данная проблема, недооценивать её не стоит. Любая возможность раскрытия данных в умелых руках может сыграть плохую шутку. Как поведёт себя злоумышленник, узнав, что Вы посещаете сайт любителей хомячков садомазохистов? А в особенности раздел, к примеру, рыжих хомячков? Возможно это ничего не даст ему, а возможно станет первым шагом в сборе информации о Вас для дальнейшего шантажа( добавим паранои для нагнетания атмосферы :) ).
Также, эта техника может быть использованна с определёнными ограничениями для брутфорса Basic HTTP авторизации.

Ограничения

Для раскрытия данных надо знать их потенциальные значения, что означает, что любую ссылку в интернете проверить не получится, а это требует от злоумышленника ввода массива данных, по которым и будет проводиться проверка (хотя, посмотрите пример 2 дальше по тексту).

Есть ли от этого польза

«Нет худа без добра» — никто не помешает использовать данную технологию в мирных целях, к примеру, на странице социальной сети, позволяющей импортировать данные из других сетей, изначально отобразить только те, которые посещает пользователь.
Или же, страница магазина, зная, что пользователь посетил сайт конкурентов, может автоматом подключить промо код, снизящий цены.

Примеры реального кода:

ХаброЮзерЧекер

Проверяет на посещение Вами профилей Хабрапользователей с первой страницы «Люди»

Скрипт

Доменный брутфорсер

Перебирает доменные имена в зоне .ru и выводит список посещённых.

Скрипт
Пользоваться осторожно, может подвесить систему. Результаты появлятся не сразу, и проверяются только домены до 3 букв включительно. (Закончится на take=470).

Это, естественно, плохой подход, гораздо лучше подгружать списки ссылок по мере работы(к примеру сшрабленные из каталогов).

Источники информации:

http://www.gnucitizen.org/blog/javascript-visited-link-scanner/

+65

10 декабря 2008, 06:00

Riz 59,3

комментарии (68)

НЛО прилетело и опубликовало эту надпись здесь

Riz 10 декабря 2008, 06:33 # ↑

люди разные бывают, умные сидят в хроме в режиме приватности, а 90% остальных в ие 7.

Riz 10 декабря 2008, 06:34 # ↑

или вообще в ие 6

НЛО прилетело и опубликовало эту надпись здесь

Riz 10 декабря 2008, 07:34 # ↑

Пока админов гугла не поймали с поличным, остаёться только верить в их ангельскую честность и беспристрастность. :)

nekt 10 декабря 2008, 08:54 # ↑

И остается у нас итого 1% сидящих под анонимайзерами с шифрованием траффика

Riz 10 декабря 2008, 08:56 # ↑

Скорее всего гораздо меньше.

nekt 10 декабря 2008, 09:07 # ↑

1% от умных? :)

Riz 10 декабря 2008, 09:09 # ↑

В точку! :)

brutaler 10 декабря 2008, 11:26 # ↑

А вот про них узнать то, как раз интересней всего =)

Riz 10 декабря 2008, 16:13 # ↑

Они сами про кого хочешь всё узнают :)

Usmekhaiouschiysia 10 декабря 2008, 08:47 # ↑

А зачем?

НЛО прилетело и опубликовало эту надпись здесь

tagirovarthur 10 декабря 2008, 07:39 #

Описание этого метода же проскакивало на Хабре, там он применялся для определения пола пользователя путем анализа страниц, которые он посещал.
Еще одно возможное применение, которое можно найти в комментариях к тому посту:
была написана страничка, которая пыталась «определить» оплата каких услуг может заинтересовать пользователя, применено было для сайта платежной системы.

Riz 10 декабря 2008, 07:45 # ↑

Очень интересно, с полом так вообще замечательная идея. Надеюсь моя информация тоже окажется полезной кому-то. Спасибо.

tagirovarthur 10 декабря 2008, 08:21 # ↑

Там только одна проблема с полом — пример был ориентирован на зарубежного пользователя ;)

Riz 10 декабря 2008, 08:26 # ↑

У меня тут такая идея зарадилась на почве Вашей ссылки, чую как минимум на хороший шоукейс, а то и на мини стартапчик потянет :)

maggg 10 декабря 2008, 09:18 #

Тут пишут, что подобная информация уже проскакивала на Хабре. Проскакивала мимо меня. Я впечатлён. Технология очень сильная и до безумия простая. Нужно придумать достойное применение такому инструменту.

Riz 10 декабря 2008, 09:20 # ↑

Я уже придумал, вскоре поделюсь :)

НЛО прилетело и опубликовало эту надпись здесь

MASe 10 декабря 2008, 09:45 #

В теории — информацию такую получить конечно можно. Но не всегда она будет в нужной мере полной… Ну, да, получит кто-то информацию, что этот сайт был посещен. Но как именно, как долго его смотрели, был ли этот поп-ап какой-нибудь, из избранного заход, или через поиск «корм для хомячков» я случайно попал на страничку «хомячков-мазохистов»…
В таком виде — это просто любопытство, хулиганство и проч.

Рекламодателям же, или социальным сетям больше интересны скорее поведенческие характеристики пользователя. Более детальная и глубинная информация важна (от количества заходов на определенные сайты в месяц, до количества страниц, просматриваемых на них)…
Вот тогда польза будет очевидной, ИМХО.

Riz 10 декабря 2008, 09:52 # ↑

Ну так это не панацея, а вот как дополнительный источник информации — вполне.

djem 10 декабря 2008, 09:48 #

Применений данного метода видится множество. Например, баннеры. Показывать конкретному посетителю те, по которым он не переходил ещё. В общем, технологию можно смело брать на вооружение.

Интересен только вопрос правомерности применения… Кто-нибудь может проконсультировать?

Riz 10 декабря 2008, 09:53 # ↑

Тоже интересно, у меня пока ощущение, что раз это стандартный функционал браузера, то ничего неправомерного не происходит.

–1

djem 10 декабря 2008, 10:02 # ↑

Убийство то же можно совершить используя только стандартный функционал многих вещей, которые есть почти у всех на кухне. Мне это не кажется аргументом.

RomanL 10 декабря 2008, 10:44 # ↑

Ну почему же… это можно расценивать как скрытый сбор информации о пользователях, а у нас, вроде как, принят закон который ограничивает сбор и хранение такой информации. Не помню точно название, но разговоры об этом шли где-то полгода-год назад.

PS Дырки в системе безопасности через которые черви лезут тоже можно рассматривать как «стандартный функционал», однако распространение вредоносных программ — это противоправное действие.

G0rnap5chtickn3R 10 декабря 2008, 11:08 # ↑

Если так судить, то даже принятие сервером хэдеров браузера, или контекстная реклама, или реклама, сохраняющая поисковые запросы — тоже скрытый сбор информации.

RomanL 10 декабря 2008, 12:07 # ↑

Иненно на этот счет и была полемика по поводу закона. Не помню чем это все закончилось, правда…

Setti 10 декабря 2008, 10:20 #

Это, конечно, интересно, но не многие наверно знают, что не менее просто в IE6 с помощью JavaScript считывается буфер обмена ;)

Nuty 10 декабря 2008, 11:13 # ↑

В IE6 есть ещё забавные css expressions. Например div style=«width: expression(window.open(self.location));», может подвесить систему.

Sulako 10 декабря 2008, 11:11 #

можно наверное обойтись и без javascript… используя для :visited несуществующее фоновое изображение и записывая на сервере обращения к нему…

Riz 10 декабря 2008, 16:14 # ↑

Можно использовать любое изменение стиля относительно стандартного линка, поскольку пользователь всё равно не увидит этого (по крайней мере в моей реализации) — любой подход будет равносильным.

НЛО прилетело и опубликовало эту надпись здесь

ssneg 10 декабря 2008, 11:51 # ↑

Выудить из доков и предать гласности, да еще снабдив наглядными примерами — это тоже важно. Спасибо автору.

Nuty 10 декабря 2008, 11:53 # ↑

Очень точно подмечено, очевидное для одного, не всегда известно другому, потому то все мы здесь и собрались)

Riz 10 декабря 2008, 16:18 # ↑

Я именно так и думал, когда писал пост.

Riz 10 декабря 2008, 16:18 # ↑

Вам спасибо за тёплые слова.

Riz 10 декабря 2008, 16:17 # ↑

Это не открытие, а рассказ о существующей проблеме, которая пока не решена ни в одном браузере(и будет ли решена), и заодно рабочий код который это использует. Судя по отзывам — многи банально не слышали о таком.

brutaler 10 декабря 2008, 11:29 #

Никогда не задумывался, что фишку с visited так можно повернуть.

leshaogonkov 10 декабря 2008, 11:59 #

удивлен что ska.ru попало в список проверяемых доменов)
вобще, троян, следящий за действиями пользователя, был бы более полезным «довеском», помоему)

Мирное применение данного способо гораздо интереснее, мне так думается)

pietrovich 10 декабря 2008, 12:16 # ↑

удивлен что ska.ru попало в список проверяемых доменов)

там перебором пробивалось, поэтому в список попадают все домены до 3-х знаков ;)

leshaogonkov 10 декабря 2008, 15:28 # ↑

ойё, даже не подумал об этом

pietrovich 10 декабря 2008, 12:15 #

Тут был
ya.ru
fly.ru
jug.ru
lib.ru

не соврал :)

любопытная информация, надо будет покурить ее на досуге, глядишь найдется мирное и полезное применение. как минимум для детектирования кто из клиентов к конкурентам ходит :)))

Riz 10 декабря 2008, 16:05 # ↑

Мне безумно нравится следующий юзеркейс(увы, не верящийся в наших реалиях).

Вы — владелец компании по продажи окон ООО «Скурдж», Ваш заядлый противник и вечный конкурени ООО «Племянники» имеют схожие с Вами цены и уровень услуг. Вы детектите что пользователь пришёл к Вам, предварительно посетив сайт конкурентов и главная страница удивительным образом заполняется новостями о том как Вы продали на 10% больше Племянников, или как обеспечили уровень качества лучше чем у них. А страницы отдельных товаров начинают предлагать Вам ограниченные по времени промо-коды, благодаря которым цена становиться _чуть_ ниже чем у Племмяников, или, что вообще утопично, лезут аяксом через прокси скрипт на страницу аналогичных товаров Племянников и берут цену оттуда. :)

НЛО прилетело и опубликовало эту надпись здесь

pietrovich 10 декабря 2008, 16:11 # ↑

аякси на себя и тяни CURL'ом с сервера ;)

Riz 10 декабря 2008, 16:19 # ↑

Вы открыли мне глаза. :) А теперь смотрим на то, что я написал: «лезут аяксом через прокси скрип» и думаем, а зачем я тут написал про прокси.

НЛО прилетело и опубликовало эту надпись здесь

Riz 10 декабря 2008, 18:49 # ↑

Объясняю для непонятливых.

Сделать аякс запрос на другой домен естественно нельзя, это не позволяют политики безопастности браузера, но никто не мешает сделать запрос к своему серверу example.com/proxy.php?url=ya.ru

На сервере-же этот крипт всего 1 строка

<?php echo file_get_contents($_REQUEST['url']); ?>

НЛО прилетело и опубликовало эту надпись здесь

Riz 10 декабря 2008, 18:59 # ↑

Никто не мешает сделать прокси скрипт более умным, с кешированием страниц. И никто не мешает вообще не делать аякс запросы в регулярно забирать данные с конкурентов и хранить где-то в базе, это было одно из возможных решений, их естественно множество и под каждую ситуацию стоит выбирать своё.

pietrovich 10 декабря 2008, 16:10 # ↑

примерно это и имелось в виду.
зная где посетитель обитает кроме твоего сайта можно сформировать для него лучшее относительно конкурентов предложение. идея касательно возвеличивания себя относительно других не очень интересна, а вот «промо-коды» и «спец-предложения» вполне себе инструмент по «перетягиванию одеяла», да…

НЛО прилетело и опубликовало эту надпись здесь

–1

avz 10 декабря 2008, 20:15 # ↑

Тоже такая мысль пришла. Только без вкладок — ходим туда сюда. Снижаем до нуля

Riz 10 декабря 2008, 20:43 # ↑

Ну чего Вы придумываете? Магазин всегда установит неснижаемую цену, ниже которой ему будет продавать невыгодно. Плюс, с чего Вы решили, что магазины буду знать о снижении цен друг и друга? Цены снижаются в рамках браузера пользователя(устанавливая какой-то промо код для него).

avz 10 декабря 2008, 21:32 # ↑

Ну, во-первых, это слегка юмор.
Во-вторых, про знание магазинов друг о друге — выше писали «лезут аяксом через прокси скрипт на страницу аналогичных товаров».
Хотя в таком случае сервер конкурентов будет иметь запрос уже не от браузера пользователя, а от прокси. Да, похоже, в таком случае вариант со снижением не проходит. Но что вернет сервер на запрос прокси (если знает что это прокси конкурентов) — завышенные цены, чтобы кокурент снизил цены, но они остались все равно высокими, или наоборот заниженные, чтобы конкурент прогорел, снижая цены до минимума?

Riz 11 декабря 2008, 00:23 # ↑

А это уже решат магазины :) Но прокси сервер может лезть тоже через прокси, что его обнаружение затруднит.

kurokikaze 10 декабря 2008, 12:32 #

Это можно провернуть и без Javascript — ставя visited-ссылкам разные бэкграунды (например background-image: url(«spacer.gif?ya.ru») ), и затем посмотрев в логах какие из них были скачаны юзером.

Riz 10 декабря 2008, 15:52 # ↑

Можно, но мне кажется это гораздо менее удобным решением.

russianpiligrim 10 декабря 2008, 16:10 # ↑

тогда можно и сразу php, который будет в писать в базу данные о пользователе.

в css пишем:
.linkya_ru:visited {background-image: url(spacer.php?url=ya.ru)}
.linkkm_ru:visited {background-image: url(spacer.php?url=km.ru)}

в html:
<a href=«ya.ru class=»linkya_ru>ya.ru</a>
<a href=«km.ru class=»linkkm_ru>km.ru</a>

spacer.php
<?php
$url=$_GET['url'];
$user_id=1; //здесь поставить id пользователя, из куки или сессии, где то ведь оно должно быть
$ipaddr = $_SERVER[''REMOTE_ADDR''];
echo "$url $user_id $ipaddr"; // Вместо вывода поставить функцию обработки информации
?>

Riz 10 декабря 2008, 16:31 # ↑

Я вижу тут следующую проблему. Вот у Вас для каждой ссылки свой стиль, это плохо. Потому что обновление DOM дерева на вставку стиля и ссылки будет больше чем только на ссылку.

По поводу получения user_id, если интересно — я могу написать статейку о генерации фингерпринтов для браузера, позволяющей с достаточной уверенностью идентифицировать между вызовами скрипта незарегенных пользователей.

avz 10 декабря 2008, 21:02 # ↑

Пишите статейку про фингерпринты

sda 10 декабря 2008, 21:31 # ↑

и эта старая и добрая технология «отпечатков» зовется… cookies .)

хотя, для этого вполне можно прикрутить и хак со стилями выше:
каждому юзверю даем уникальный random-линк, а потом проверять по visited-свойству. получится ИД-сессии, но без «печенья». вполне занятный кроссворд, если на поиграться :)

pietrovich 10 декабря 2008, 16:25 # ↑

javascript'ом удобно привязываться к контексту конкретного посетителя а не толпы в целом. иначе в ссылке прийдется указывать и UID пользователя чтобы потом в логах отыскать… хотя если обращения будут не к статике, а к скриптам то они смогут выцепить UID из сессии/кук.
кстати скриптом можно навесить посетителю себе куку с результатами проверки чтобы не аяксить, или запускать проверку по определенному признаку, да и словари для проверки менять удобнее… в общем скрипты это хорошо, а такой способ только для ситуаций когда javascript представляется непозволительной роскошью, имхо

justhack 10 декабря 2008, 13:33 #

socialhistory

LDEV 15 декабря 2008, 19:51 #

Интересная концепция, но чем больше сайтов для проверки «интересов», тем выше нагрузка на клиента и собственно список сайтов «палится» на нём же.

Riz 15 декабря 2008, 21:06 # ↑

Нагрузка на клиент очень маленькая, а список не палить увы не получится, даже есл грузит его частями в зависимости от интересов, но да это и не надо. :)