Британский исследователь нашел простой способ сказать, вошли ли посетители
его сайта в систему Gmail, Facebook, Twitter, Digg и тысяч других сайтов.

Метод, разработанный Майком Кардвэллом из Ноттингема, использует коды
состояний, возвращаемые многими сайтами, которые различаются в зависимости от
того, вошел ли пользователь в систему, или нет. Вставляя небольшой кусок
JavaScript, содержащий ссылку на один из его интересующих сайтов, он немедленно
может определить, вошел ли пользователь в систему. Метод надежно работает для
Twitter, Facebook и Digg когда посетители используют браузеры Firefox, Safari
или Chrome.

Метод не работает, когда посетители используют Internet Explorer или Opera.

Эксплойт работает путем определения HTTP status code, который возвращается,
когда браузер посетителя сталкивается с ссылкой в скрипте Кардвэлла. Код 200,
показывающий, что запрос был успешно выполнен, отражает, что человек не вошел в
сеть, тогда как коды 404, 500 и другие коды, означающие ошибку, отражают
обратное.

"Это проблему трудно преодолеть, если вы разрабатываете сайт", - пишет
Кардвэлл

здесь
. "Некоторые из этих запросов могут быть остановлены путем проверки
ссылающегося домена; отклоняйте все внешние ссылающиеся домены для содержимого,
оставляя его только для вошедших в систему".

Для обнаружения того, вошел ли посетитель в систему Gmail, требуется другой
скрипт, который использует скрытое изображение, которое хранится в папке почты
Кардвэлла с такими настройками, что его может просматривать каждый пользователь.
Кардвэлл сказал, что он сообщил о своей находке Google и ему сказали, что "этого
следовало ожидать".

"Вам может быть всё равно, если я могу сказать, что вы вошли в систему Gmail,
но будет ли вам всё равно если я скажу, что вы вошли в систему одного из
порносайтов или сайтов с нелицензированным программным обеспечением?", - задает
Кардвэлл риторический вопрос.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии