Wired.com et Huffington Post parmi la liste des sites Web portant atteinte à la vie privée

À nouveau papier (pdf) de chercheurs de l'Université de Californie à San Diego révèle qu'une proportion importante des 50 000 sites les plus visités sur le Web s'engagent dans un certain niveau de suivi comportemental. De plus, et plus inquiétant encore, quelques-uns examinent en fait l'historique de votre navigateur pour déterminer les autres sites que vous visitez, exploitant une vulnérabilité de sécurité connue depuis une décennie.

À quoi ressemble le Web du point de vue d'un navigateur javascript d'examen du comportement conçu sur mesure pour cette expérience.

Toutes les transgressions découvertes par l'auteur principal Dongseok Jan ne sont pas aussi envahissantes. Les sites comme Wired, Technorati, Answerbag et Perez Hilton sont moins offensants, qui utilisent le service d'analyse Tynt.com pour, par exemple, suivre le contenu que les utilisateurs copient et collent à partir de leurs sites Web, un processus appelé reniflage de comportement. Plus inquiétant est le comportement connu sous le nom de reniflage d'historique, dans lequel un site utilise javascript pour interroger un navigateur sur les sites que ses utilisateurs ont visités précédemment. La liste de Jan comprend 46 sites Web adoptant ce comportement.

Youporn.com, qui détermine si un utilisateur a visité les sites Web de ses concurrents, est même allé jusqu'à s'engager dans une forme primitive de cryptographie afin de masquer les URL des sites sur lesquels il s'interroge.

Le reniflage d'historique fonctionne parce que les navigateurs changent la couleur des liens qu'un utilisateur a déjà visités : le javascript utilisé sur ces sites interroge simplement ces liens spécifiques pour voir si leur couleur a été modifiée. L'exploit ne fonctionne pas dans les navigateurs Chrome de Google ou Safari d'Apple, et un correctif pour Firefox est disponible dans sa dernière version . Internet Explorer, cependant, reste vulnérable à cet exploit.

Les chercheurs ont désigné le Huffington Post pour un opprobre spécial :

Site Web suspect En enquêtant sur plusieurs sites qui ont installé des gestionnaires d'événements, nous avons également constaté que le site huffingtonpost.com présentait un comportement suspect. En particulier, chaque article de la page d'accueil du site dispose d'un gestionnaire d'événements au passage de la souris. Ces gestionnaires collectent dans une structure de données globale des informations sur les articles sur lesquels la souris passe. Malgré le fait que les informations ne soient jamais envoyées sur le réseau, nous considérons toujours ce cas comme suspect car non seulement l'infrastructure est présente, mais en fait elle collecte les informations localement.

Morningstar.com a signalé qu'il n'avait aucune idée qu'il collectait ces informations, qui semblent avoir été recueillies par un réseau publicitaire, appelé Interclick, diffusant des bannières sur son site. Interclick prétend que l'historique reniflant dans lequel il s'est engagé était simplement une tentative de rassembler des données de contrôle qualité pour vérifier les données anonymisées qu'il obtient d'autres sources. Ces données lui permettent de segmenter les utilisateurs par type, par exemple, passionné de voiture, acheteur de technologie, juggalo, etc.

Pour en savoir plus sur cette découverte, y compris le moteur de navigation Web personnalisé que les chercheurs ont conçu pour examiner le javascript de milliers de sites Web, consultez l'UCSD communiqué de presse et le papier original (pdf).

Ce poste est redevable aux rapports technologiques exceptionnellement bons (et approfondis) de La colline du Cachemire de Forbes.com .

cacher