شنبه ۲۱ اردیبهشت ۹۸ | ۰۹:۴۳ ۴۸۱ بازديد
یک محقق امنیتی راه جدیدی را برای ردیابی حرکات موشهای بازدیدکنندگان وب حتی زمانی که از بلوک کننده های تبلیغاتی یا افزونه هایی استفاده می کنند که جاوا اسکریپت را مسدود می کنند، نشان داده است.
همانطور که در Davy Wybiral در توییتر توضیح داده شده است و در گفتگو با Bleeping Computer این کار با بهره برداری از اثر شناور CSS انجام می شود که می تواند برای فعال سازی یک اثر بصری در هنگام مواجهه با ماوس کاربر بر روی آن استفاده شود. اگر این اثر بصری برای بارگذاری تصاویر از یک سرور از راه دور استفاده شود، متوجه شد که می تواند از آن برای ردیابی حرکت استفاده کند:
برای من اتفاق افتاد که شما می توانید با استفاده از برخی از CSS مکان یابی مکان یاب بدون جاوا اسکریپت را کنترل کنید: انتخابگرها را برای تغییر تصاویر پس زمینه پنهان (باعث ایجاد یک درخواست GET) می شود.
همانطور که ماوس در قسمت های مختلف یک شبکه HTML نامرئی روی صفحه حرکت می کند، تصاویر پس زمینه های مختلف از سرور درخواست می شود. مالک سرور می تواند به نام تصاویر درخواست شده نگاه کند و آنها را به قسمت های مختلف شبکه نشان دهد تا ببیند که چگونه ماوس کاربر روی صفحه حرکت می کند.
تصاویر پس زمینه به کاربر نهایی نشان داده نمی شود، و آنها را از ردیابی ماوس بی اطلاع می کند. Wybiral معتقد است که حتی باید در برابر مرور حریم خصوصی با تمرکز حریم خصوصی کار کرد. استفاده از آن کاملا به سادگی نیست. با این حال:
مرورگر تصویر پس زمینه را بارگیری نمی کند بنابراین این نسخه فقط حرکت را در ابتدا پیگیری می کند: شناور [در هر عنصر شبکه] ... اما ... از آنجا که درخواست متوقف می شود، سرور می تواند CSS بیشتری برای اضافه کردن جدید ارسال کند: هرکدام را انتخاب کنید زمان شروع می شود
در نسخه ی نمایشی، این حتی می تواند در زمان واقعی استفاده شود. چرا یک تبلیغ کننده مراقبت می کند؟ از آنجا که حرکات ماوس به آنها می گوید که کاربران چه میزان در صفحات علاقه دارند، از جمله اینکه چه مدت زمان لازم برای انجام اعمال مانند پیمایش را در عناصر مختلف صرف می کنند.
علاوه بر این،: شناور تنها انتخابگر CSS نیست که می تواند به این روش مورد استفاده قرار گیرد: تمرکز یکی دیگر از احتمالات، او گفت.
تکنیک جذاب است زیرا HTML و CSS (Cascading Style Sheets) زبان های برنامه نویسی نیستند و معمولا در مکالمات مربوط به ردیابی نیستند. ترفندهای فانتزی، تعامل و برنامه نویسی که صفحات وب استاتیک را به برنامه تبدیل می کند دامنه سومین زبان اصلی وب، جاوا اسکریپت است.
این جاوا اسکریپت را در خط اول ردیابی قرار می دهد، به همین دلیل است که adblockers و پلاگین های حریم خصوصی گزینه ای را برای رفع برخی از عناصر صفحه فراهم می کنند.
تکنیک Wybiral مانند یک نسخه تبلیغی گرا از مفهوم فرضیه (ما امیدواریم) استفاده از کلمات عبور Keylogging با استفاده از CSS، یک ایده دیگر است که انجام دور.
در ابتدا، به نظر می رسد تلاش زیادی برای ضبط داده ها در این راه است و هنوز هم نیاز به تفسیر دارد. همچنین در کد منبع بسیار آسان است. اما این حقیقت که میتواند مسدود کنندههای امروز را دور بزند، ممکن است به آن پاها بدهد.
به همین ترتیب، صاحبان وب سایت ها در حال حاضر بسیاری از راه های ایجاد شده برای ردیابی کاربران دارند که احتیاج به اختراع جدیدی ندارند.
همانطور که در Davy Wybiral در توییتر توضیح داده شده است و در گفتگو با Bleeping Computer این کار با بهره برداری از اثر شناور CSS انجام می شود که می تواند برای فعال سازی یک اثر بصری در هنگام مواجهه با ماوس کاربر بر روی آن استفاده شود. اگر این اثر بصری برای بارگذاری تصاویر از یک سرور از راه دور استفاده شود، متوجه شد که می تواند از آن برای ردیابی حرکت استفاده کند:
برای من اتفاق افتاد که شما می توانید با استفاده از برخی از CSS مکان یابی مکان یاب بدون جاوا اسکریپت را کنترل کنید: انتخابگرها را برای تغییر تصاویر پس زمینه پنهان (باعث ایجاد یک درخواست GET) می شود.
همانطور که ماوس در قسمت های مختلف یک شبکه HTML نامرئی روی صفحه حرکت می کند، تصاویر پس زمینه های مختلف از سرور درخواست می شود. مالک سرور می تواند به نام تصاویر درخواست شده نگاه کند و آنها را به قسمت های مختلف شبکه نشان دهد تا ببیند که چگونه ماوس کاربر روی صفحه حرکت می کند.
تصاویر پس زمینه به کاربر نهایی نشان داده نمی شود، و آنها را از ردیابی ماوس بی اطلاع می کند. Wybiral معتقد است که حتی باید در برابر مرور حریم خصوصی با تمرکز حریم خصوصی کار کرد. استفاده از آن کاملا به سادگی نیست. با این حال:
مرورگر تصویر پس زمینه را بارگیری نمی کند بنابراین این نسخه فقط حرکت را در ابتدا پیگیری می کند: شناور [در هر عنصر شبکه] ... اما ... از آنجا که درخواست متوقف می شود، سرور می تواند CSS بیشتری برای اضافه کردن جدید ارسال کند: هرکدام را انتخاب کنید زمان شروع می شود
در نسخه ی نمایشی، این حتی می تواند در زمان واقعی استفاده شود. چرا یک تبلیغ کننده مراقبت می کند؟ از آنجا که حرکات ماوس به آنها می گوید که کاربران چه میزان در صفحات علاقه دارند، از جمله اینکه چه مدت زمان لازم برای انجام اعمال مانند پیمایش را در عناصر مختلف صرف می کنند.
علاوه بر این،: شناور تنها انتخابگر CSS نیست که می تواند به این روش مورد استفاده قرار گیرد: تمرکز یکی دیگر از احتمالات، او گفت.
تکنیک جذاب است زیرا HTML و CSS (Cascading Style Sheets) زبان های برنامه نویسی نیستند و معمولا در مکالمات مربوط به ردیابی نیستند. ترفندهای فانتزی، تعامل و برنامه نویسی که صفحات وب استاتیک را به برنامه تبدیل می کند دامنه سومین زبان اصلی وب، جاوا اسکریپت است.
این جاوا اسکریپت را در خط اول ردیابی قرار می دهد، به همین دلیل است که adblockers و پلاگین های حریم خصوصی گزینه ای را برای رفع برخی از عناصر صفحه فراهم می کنند.
تکنیک Wybiral مانند یک نسخه تبلیغی گرا از مفهوم فرضیه (ما امیدواریم) استفاده از کلمات عبور Keylogging با استفاده از CSS، یک ایده دیگر است که انجام دور.
در ابتدا، به نظر می رسد تلاش زیادی برای ضبط داده ها در این راه است و هنوز هم نیاز به تفسیر دارد. همچنین در کد منبع بسیار آسان است. اما این حقیقت که میتواند مسدود کنندههای امروز را دور بزند، ممکن است به آن پاها بدهد.
به همین ترتیب، صاحبان وب سایت ها در حال حاضر بسیاری از راه های ایجاد شده برای ردیابی کاربران دارند که احتیاج به اختراع جدیدی ندارند.
- ۰ ۰
- ۱ نظر
استارتاپی برای افزایش علاقه توسعه دهندگان به امنیت سایبری
گوگل همچنان درگیر بدافزارهای malware روی پلی استور است!
یادگیری ماشین لرنیتنگ یا یادگیری ماشینی را از کجا شروع کنیم؟
حل مشکل فایرفاکس با برنامه های آنتی ویروس در HTTPS
پردرآمدترین زبان های برنامه نویسی در حوزه مالی
12 فریم ورک جذاب Node.js برای برنامه نویسان در سال 2019
فیلم هایی که از نتفیلیکس استفاده می کنید توسط زبان برنامه نویسی پایتون انجام می شوند
آیا TypeScript میتواند جایگزین JavaScript شود