随着用户越来越关注隐私并越来越注意防止在线跟踪,用户开始使用广告拦截器和脚本拦截器来阻止JavaScript跟踪脚本。目前,研究人员已经发现了一种新方法,利用HTML和CSS来跟踪网站访问者的鼠标移动,还可以绕过跟踪保护。
1 新攻击技术
大多数在线跟踪是通过加载到网站和广告中的JavaScript脚本完成的,这允许广告商和网站跟踪您上网的位置,您使用网站的方式或其他在线行为。
可以使用广告拦截器、浏览器跟踪保护(如Firefox的内容阻止)或完全阻止JavaScript来阻止这些脚本。
Firefox的内容阻止
研究人员发现了一种新方法,可在不使用任何JavaScript,仅使用HTML和CSS的情况下跟踪网站访问者在网页上的鼠标移动情况,阻止这种跟踪方式非常困难。
安全研究员Davy Wybiral在Twitter上展示了网站如何使用HTML和CSS在另一个浏览器窗口中观察一个浏览器窗口中的鼠标移动情况。
Wybiral通过创建一个利用CSS的HTML DIV网格实现了这一点:当鼠标移动到网格上的一个框上时,hover选择器可以请求新的背景图像。由于图像请求是在后台完成的,因此浏览器不会显示正在建立连接,因此所有请求对用户来说都是隐藏的。
HTML源代码
当用户将鼠标悬停在某个框上并请求新的背景图像时,该脚本将记录鼠标悬停的位置。然后,另一个浏览器中的用户可以使用/ watch URL进行实时监视。
可以利用该技术来进行多种操作,包括确定网站上的热点以及研究用户界面。除此之外,该技术还可用来进行动态(步态)分析以及深入了解访客的其它行为特征。
研究人员还表示除了hover选择器还可以利用其它选择器来跟踪浏览器行为。
2 其他CSS跟踪技术
Wybiral发现的方法并不是唯一一个表明CSS和HTML可用来跟踪网站用户的方法。
去年发布了一个名为CrookedStyleSheets的项目,允许网站收集用户信息,例如屏幕分辨率、正在使用的浏览器,用户点击链接时的信息,以及根据支持的字体推断用户使用的操作系统。
与Wybiral的方法一样,这都是使用HTML和CSS完成的,没有使用JavaScript。
声明:本文来自MottoIN,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
