Les chercheurs ont découvert que des dizaines de sites Web utilisent de simples astuces Javascript pour fouiner dans l’historique de navigation Web des visiteurs. Bien que ces astuces ne soient pas nouvelles, elles sont à nouveau dans l’actualitéc’est donc le bon moment pour rappeler aux lecteurs les moyens de lutter contre ce comportement sournois.
La nouvelle est basée sur une étude publié par des chercheurs de l’Université de Californie à San Diego qui a trouvé qu’un certain nombre de sites « reniflaient » l’historique de navigation des visiteurs pour enregistrer où ils étaient allés.
Cette reconnaissance fonctionne car les navigateurs affichent les liens vers les sites que vous avez visités différemment de ceux que vous n’avez pas visités : par défaut, les liens visités sont mauve et les liens non visités sont bleu. Le code reniflant l’historique s’exécutant sur une page Web vérifie simplement si votre navigateur affiche des liens vers des URL spécifiques en violet ou en bleu.
Ce ne sont pas de nouvelles découvertes, mais le fait que les sites utilisent cette technique pour recueillir des informations auprès des visiteurs semble en avoir surpris plus d’un : un avocat de deux résidents californiens a déclaré qu’ils plainte déposée contre l’un des sites nommés dans le rapport – YouPorn – alléguant qu’il a violé les lois sur la protection des consommateurs en utilisant la méthode.
Comme cela a été largement rapporté depuis des mois, les sociétés d’analyse Web commencent à commercialiser des produits qui tirent directement parti de ce piratage. Eric Peterson signalé sur une société israélienne nommée Beencounter qui vend ouvertement un outil aux développeurs de sites Web pour demander si les visiteurs du site avaient déjà visité jusqu’à 50 URL spécifiques.
le Centre pour la démocratie et la technologie noté en mars qu’une autre société du nom de Tealium commercialise depuis près de deux ans un produit profitant de cet exploit. « Le service « Social Media » de Tealium effectue des recherches quotidiennes sur le nom d’un client pour des actualités et des articles de blog mentionnant les clients, puis exécute une application JavaScript sur le site du client pour déterminer si les visiteurs ont déjà lu l’une de ces histoires », a écrit CDT. « Le service permet aux clients de Tealium d’avoir un aperçu unique des sites que les visiteurs avaient précédemment lus sur l’entreprise et qui ont pu les conduire vers le site Web de l’entreprise.
Si vous souhaitez voir cette technique de détection d’historique en action, consultez ce billet de blog (à partir de 2008) et cliquez sur le bouton « Démarrer l’analyse de mon historique de navigation » à peu près au milieu de la page. Ce site essaiera également de deviner si vous êtes un homme ou une femme en indexant les sites qu’il trouve par rapport aux Top 10 000 des sites Quantcast. Il a deviné qu’il y avait une probabilité de 99 % que j’étais un homme (ouf !), mais votre kilométrage peut varier.
Heureusement, les fabricants de navigateurs (la plupart d’entre eux) ont réagi. Ces attaques de reniflement – telles que la preuve de concept que j’ai liée ci-dessus – ne semblent pas fonctionner contre les dernières versions de Chrome et Safari. Dans MozillaFirefoxces attaques de script peuvent être bloquées assez facilement à l’aide d’un plug-in de navigateur bloquant les scripts, tel que le Module complémentaire Noscript.
Mozilla a abordé cette faiblesse de renifleur d’historique dans un rapport de bogue qui a persisté pendant huit ans et n’a été corrigé que récemment, mais les modifications ne seront pas intégrées à Firefox avant version 4 est libérée. Par conséquent, les utilisateurs actuels de Firefox doivent toujours compter sur le blocage des scripts pour arrêter cela. Internet Explorer n’a actuellement pas de moyen simple de bloquer les scripts depuis le navigateur (oui, les utilisateurs peuvent bloquer Javascript à tous les niveaux et ajouter des sites à une liste blanche, mais cette liste blanche vit plusieurs clics à l’intérieur du panneau d’options IE).