WN

WN (https://www.wn.se/forum/index.php)
-   Serversidans teknologier (https://www.wn.se/forum/forumdisplay.php?f=4)
-   -   Att ta historiken ifrån besökare (https://www.wn.se/forum/showthread.php?t=31084)

SimonP 2008-08-11 16:13

Vet ej om detta varit uppe på WN förut , men det går att ta besökarnas surfhistorik, ett exempel som jag lagt upp för att testa det (obs! nedanstående är bara en test, jag lagrar ingen information):

Skall funka både med nyaste FF3 och IE7:
http://www.cryptonsystems.com/download/cat...tchhistory.html

Det kan ju vara både bra och dåligt, t.ex kan man få användar-anpassad reklam, det dåliga är att skyddet mot den personliga integriteten brister, inte alla som vill skylta med att man besökt vuxensidor osv.

Scriptet bygger på "SocialHistory" från http://www.azarask . in /blog/ dock har jag ändrat lite och anpassat efter svenska surfvanor.

orreborre 2008-08-11 16:27

Det farliga jag kan se är möjligheten att kontrollera levande sessioner/autoinloggningar bland besöka platser i historiken, d.v.s. möjligheten att hitta enkla CSRF-öppningar.

MMC 2008-08-11 16:29

Varför inte dela med dig av skriptet istället för bara resultatet? Det borde gå att få det att fungera med fler webbläsare än bara FF3 och IE7, men det kanske du redan vet? :)

Mike On Ads skrev om den här tekniken för ett tag sedan också, i reklamsammanhanget: http://www.mikeonads.com/2008/07/13/using-...stimate-gender/

Som så mycket annat kan det här användas både på rätt och fel sätt... Om man vore ond kunde man bygga upp en stor lista på alla de vanligaste porrsajterna i Sverige och sen börja plocka utpressningsmaterial, men det känns som att det finns enklare sätt om man vill göra något sådant.

Magnus_A 2008-08-11 20:36

Gammalt som gatan men tillämpningen ovan är kreativ och ny.
Bra blogg förresten, in bland bokmärkena ska den.
Buggen i FF ska snart börja skolan (född 2002) och man träter fortfarande om hur den ska stoppas.
https://bugzilla.mozilla.org/show_bug.cgi?id=147777
Motmedel: http://crypto.stanford.edu/sameorigin/stan...history-0.9.xpi

SimonP 2008-08-11 21:25

Citat:

Originally posted by MMC+--></span><table border='0' align='center' width='95%' cellpadding='3' cellspacing='1'><tr><td>QUOTE (MMC)Varför inte dela med dig av skriptet istället för bara resultatet? Det borde gå att få det att fungera med fler webbläsare än bara FF3 och IE7, men det kanske du redan vet? :)
[/b]


Japp, det fungerar säkert med många webläsare, men jag har bara testad det med ovanstående.
Eftersom det kan missbrukas vill jag inte att min server ska bli inblandad, därför la jag in ett simpelt skydd mot hotlinking.

Men i princip det enda jag gjort är att lägga in dom 300 "största" svenska sidorna + ett 50-tal övriga sidor i originalfilen "SocialHistory.js" som finns att ladda ner, jag fick bättre prestanda så än att lägga till sidorna i MoreSites-arrayen i html filen.

Citat:

Originally posted by Magnus_A@
Gammalt som gatan..
Japp, och det var det som var lite konstigt, jag sökte, men hittade ingen på WN som tagit upp det förut...
Det finns som sagt både fördelar och säkerhetsrisker med detta som kan vara värt att diskutera.

<!--QuoteBegin--Magnus_A

Motmedel:http://crypto.stanford.edu/sameorigi...istory-0.9.xpi[/quote]
Perfekt! Skall installeras.

eliasson 2008-08-12 08:26

Citat:

Originally posted by MMC@Aug 11 2008, 16:29
Varför inte dela med dig av skriptet istället för bara resultatet? Det borde gå att få det att fungera med fler webbläsare än bara FF3 och IE7, men det kanske du redan vet?
Mike On Ads skrev om den här tekniken för ett tag sedan också, i reklamsammanhanget: http://www.mikeonads.com/2008/07/13/using-...stimate-gender/
Som så mycket annat kan det här användas både på rätt och fel sätt... Om man vore ond kunde man bygga upp en stor lista på alla de vanligaste porrsajterna i Sverige och sen börja plocka utpressningsmaterial, men det känns som att det finns enklare sätt om man vill göra något sådant.

Likelihood of you being FEMALE is 56%
Likelihood of you being MALE is 44%
:(

jayzee 2008-08-14 22:56

Intressant teknik, men något som lär täppas igen relativt snart.

Jag har sett att både Gecko samt Opera utveckare (IE vet jag inte) har fått upp ögonen för detta och redan funderar på olika lösningar för att täppa igen detta. Skulle inte förvåna mig ifall det blir täppt vid nästa release eller release efter nästa.

Finhack 2008-08-15 12:22

Citat:

Originally posted by jayzee@Aug 14 2008, 22:56
Intressant teknik, men något som lär täppas igen relativt snart.
Jag har sett att både Gecko samt Opera utveckare (IE vet jag inte) har fått upp ögonen för detta och redan funderar på olika lösningar för att täppa igen detta. Skulle inte förvåna mig ifall det blir täppt vid nästa release eller release efter nästa.

Det är inget som behöver "täppas till"; HTTP är uppbyggt att skicka med s.k. referer (10.13 RFC 1945) vilket webbläsare gör by default.

Citat:

10.13 Referer
The Referer request-header field allows the client to specify, for the server's benefit, the address (URI) of the resource from which the Request-URI was obtained. This allows a server to generate lists of back-links to resources for interest, logging, optimized caching, etc. It also allows obsolete or mistyped links to be traced for maintenance. The Referer field must not be sent if the Request-URI was obtained from a source that does not have its own URI, such as input from the user keyboard.

Referer = "Referer" ":" ( absoluteURI | relativeURI )

Example:

Referer: http://www.w3.org/hypertext/DataSources/Overview.html

If a partial URI is given, it should be interpreted relative to the Request-URI. The URI must not include a fragment.

Note: Because the source of a link may be private information or may reveal an otherwise private information source, it is strongly recommended that the user be able to select whether or not the Referer field is sent. For example, a browser client could have a toggle switch for browsing openly/anonymously, which would respectively enable/disable the sending of Referer and From information.

Förhindras enkelt genom att stänga av referer i webbläsaren.

MMC 2008-08-15 12:31

Citat:

Ursprungligen postat av Finhack
Citat:

Ursprungligen postat av jayzee
Intressant teknik, men något som lär täppas igen relativt snart.
Jag har sett att både Gecko samt Opera utveckare (IE vet jag inte) har fått upp ögonen för detta och redan funderar på olika lösningar för att täppa igen detta. Skulle inte förvåna mig ifall det blir täppt vid nästa release eller release efter nästa.

Det är inget som behöver täppas till; HTTP är uppbyggt att skicka med s.k. referer (10.13 RFC 1945) vilket webbläsare gör by default.
Citat:

10.13 Referer
The Referer request-header field allows the client to specify, for the servers benefit, the address (URI) of the resource from which the Request-URI was obtained. This allows a server to generate lists of back-links to resources for interest, logging, optimized caching, etc. It also allows obsolete or mistyped links to be traced for maintenance. The Referer field must not be sent if the Request-URI was obtained from a source that does not have its own URI, such as input from the user keyboard.
Referer = Referer : ( absoluteURI relativeURI )
Example:
Referer: http://www.w3.org/hypertext/DataSources/Overview.html
If a partial URI is given, it should be interpreted relative to the Request-URI. The URI must not include a fragment.
Note: Because the source of a link may be private information or may reveal an otherwise private information source, it is strongly recommended that the user be able to select whether or not the Referer field is sent. For example, a browser client could have a toggle switch for browsing openly/anonymously, which would respectively enable/disable the sending of Referer and From information.


Förhindras enkelt genom att stänga av referer i webbläsaren.

Fast nu är det ju inte Referer-fältet som används här utan fenomenet att alla större webbläsare färgar besökta länkar annorlunda än icke besökta. Du vet, CSS-selektorn :visited. Jag tror inte heller att detta kan "täppas till" eftersom det är en viktig funktion som de flesta användare förväntar sig ska finnas.

SimonP 2008-08-15 12:37

Som sagt, det handlar definitivt inte om Referer, denna "bugg" har funnits i mer än 6år, så det är nog inte enkelt att lösa.


Alla tider är GMT +2. Klockan är nu 22:55.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson