Xakep #305. Многошаговые SQL-инъекции
Интересное исследование в журнале New Media & Society опубликовала сводная группа исследователей, в которую вошли Елена Марис (Elena Maris) из компании Microsoft, Тимоти Либерт (Timothy Libert) из Университета Карнеги-Мелона, а также Дженнифер Хенриксен (Jennifer Henrichsen) из Университета Пенсильвании.
Специалисты изучили 22 484 порносайта из топового миллиона по версии Alexa и проанализировали их исходный код в поисках правил конфиденциальности (privacy policy). В тексте этих документов исследователи поискали признаки того, что сайт может собирать данные о своих посетителях, а затем передавать собранную информацию третьим лицам.
Текст privacy policy удалось обнаружить на 3856 изученных сайтах (17% от общего числа). Среднее количество слов в таком документе равняется 1750, а на чтение уходит семь минут. При этом исследователи отмечают, что «для их понимания может потребоваться два года отучиться в колледже».
Однако далеко не все ресурсы для взрослых вообще имеют хоть какие-то правила конфиденциальности. Зачастую администраторы попросту добавляют в код различные следящие механизмы без ведома пользователей. В общей сложности эксперты определили 230 компаний, которые отслеживают пользователей, но чаще всего встречаются трекеры несколько крупных игроков, собирающие большую часть данных. Так, чаще всего на порносайтах исследователям попадались трекеры Google (они были найдены на 74% из 22 484 сайтов), exoClick (40%), Oracle (24%), JuicyAds (11%) и Facebook (10%).
Эксперты пишут, что 93% страниц передают пользовательские данные третьим лицам, и в среднем собранная информация уходит на 7 разных доменов. Кроме того, 79% сайтов содержат следящие cookie (в среднем 9 файлов cookie на сайт). И лишь 17% ресурсов работают с использованием HTTPS.
Исследователи предупреждают, что одной из главных опасностей такой слежки является то, что следящие скрипты часто записывают URL страницы, которую помещает пользователь порносайта. Структура ссылок на многих ресурсах для взрослых (примерно на 45% сайтов) такова, что позволяет установить природу материала, который просматривал человек. Получается, что сторонний наблюдатель, анализирующий такие URL, может составить представление о сексуальных предпочтениях пользователей, а люди, скорее всего, предпочли бы сохранить подобное в тайне и не связывать с рекламными профилями.
Хуже того, по данным экспертов, использование режима инкогнито в любом браузере вряд ли поможет от подобной слежки. Дело в том, что приватный режим предназначен не для изоляции пользователей от трекеров, но скорее создан для того, чтобы не оставлять следов в локальной истории браузера.