Názory k článku
CSS exploit a neexistující soukromí na webu

A neslo by to osetrit vlastnim CSS (to browsery podporujou), kde by se ty parametry pro odkazy a vsechny jejich deti prenastavily?

Jenže to by znamenalo nastavit jim všechny parametry. I kdyby byly na auto, je tu pořád ta barva. Navíc je problém i se sourozenci, což by znamenalo konec jakémukoli stylování v textu, kde se vyskytl aspoň jeden odkaz.

V CSS nenapíšete selektor typu "element, který má něco společného s elementem ostylovaným selektorem :visited", takže byste musel vpodstatě zahodit jakékoli stylování dokumentů s navštíveným odkazem.

Spíš si myslím, že by bylo lepší ignorovat v prohlížeči třídu :visited aspoň v případech, kdy ten odkaz vede do jiný domény a z této domény jsem odkaz ještě nenavštívil. Netscape měl kdysi model "poskvrněných" dat, která se (tehdy z javascriptu) nesměla dostat na server. To byl náznak řešení, bohužel to umřelo.

Škoda že rozšíření SafeHistory nejede pod Firefoxem 3 :-(.

tak si ho upravte... staci si prepisat min/max verziu v manifeste... postup sa da vygooglit (ja som si tak upravil pluginy ktore som chcel pre ff3, tie co ma zaujimali v pohode fungovali)

...nebo muzete pouzit Nightly Tester Tools...

Zkuste najít v about:config (stačí zadat do adresního řádku FF a odklepnout) volbu layout.css.vi­sited_links_e­nabled a nastavit ji na false. ,)

Stejne nechapu k cemu muze byt nekomu informace, ze nejaka IP adresa navstevuje nejake stranky (snad krome FBI). Nemluve o tom ze v CR (a predpokladam, ze asi v cele EU) je tohle ilegalni.

Když má někdo takové informace o tisících lidí, tak to už k něčemu je. Sice ji dokáže využít jen málokdo, ale to na nepříjemnosti této věci nic nemění. Ale i s jednou IP adresou by se dalo zažít dost srandy (samozřejmě s nepříjemným dopadem pro uživatele dané IP adresy).

Vždyť to bylo napsáno i v článku...

Pokud v obchodě A zjistí, že sis v obchodě B koupil latexový oblek, tak ti nabídnou bič s neodolatelnou slevou. Nebo ti ten exploit dají v práci na intranet a až zjistí, že navštěvuješ freefoto.cz, vyhodí tě.

Prostě z toho plynou samé problémy. :-)

"Nebo ti ten exploit dají v práci na intranet a až zjistí, že navštěvuješ freefoto.cz, vyhodí tě."

Toto mi nepride ako dobry priklad. Preco by zamestnavatel mal kontrolovat navstivene stranky cez nejaky obskurny exploit v prehliadaci? Data predsa tecu cez stroje zamestnavatela, takze grep do logu routra na zamestnancovu ip a je to. Samozrejme, kto by to stale konjtroloval, ze;)

Zaměstnavatel ne, ale o manželka? :P

Ty jsou nejhorší. To kvůli nim si šifrujeme disky, dáváme silná hesla a připojujeme se k síti přes tajné servery!

lenže tá stránka, ktorá by exploit využívala by musela obsahovať obrovské množstvo linkov na porno stránky, vrátane ich podadresárov. Inak je šanca, že trafíte pomerne malá.

jeden kamarat o tom nedavno pisal zaujimavu pracu. ked chces, tak napis mail na certicky@gmail.com a poslem ti ju

Pokud je ta práce opravdu zajímavá, tak by stálo za to domluvit její zveřejnění.

Safari bohuzel pouzivaji pouze masochiste a blek. takze opet zadne reseni ...

blek. pouziva safari? ze mi neni znamo. ja myslel, ze kdyz je autorem linksu2, tak ze bude radeji pouzivat svuj vytvor ;-)

Ano, autorem Linksu je sice jeden z osadníků tohoto serveru, ale Clock a ne BLEK.(Leda by byla BLEK. nějaká další skrytá identita)

nevim, ale u me v Links 2.1pre28, je tento popularni psychopat a kernel hacker uvedeny jako jeden z autoru... ;-]

To by mně teda zajímalo kde. Já tam mám jen:

Mikulas Patocka <mikulas@twibright.com>
    Karel Kulhavy <clock@twibright.com>
    Petr Kulhavy <brain@twibright.com>
    Martin Pergel <perm@twibright.com>

Verze 2.1pre32. Dokonce jsem nechal grepovat ve všech souborech toho balíčku BLEKa a nenalezena žádná shoda.

To je ale záhada... Člověk by přitom řekl, že by měl být hned na ráně. :-)

:-]]

Mikulas Patocka = Blek

Aha, to já ale netušil.

Na Macu je Safari velmi schopné. Pokud znáš Safari z jiného systému, tak se nedivím Tvé poznámce, tam je to horší.

blek? nie je to ten co ma poruchu osobnosti? :-D

Nastavení v opeře:

opera:config -> Link

Vypnout Color, a Expiry a Expiry (hours) nastavit na 0.

stále si myslím, že tento exploit je skôr hračičkou, ktorá nemá nejaké reálne vyžitie a teda ani nebezpečnosť. Komu už pomôže, že vystaví na web zoznam adries a zistí, že niekto niektorú z nich za posledných pár dní (FF má defaultne tuším 6) navštívil. Problémom je vôbec zostaviť zoznam, ktorý by niekomu na niečo mohol byť. Stránok s danou tématikou je plno, chodiť sa dá na ne rôznym spôsobom (nemusí sa začínať domovskou stránkou, ľudia majú bežne zabookmarkovanú nejakú konkrétnu sekciu)a skutočnosť, že niekto niektorú z nich v poslednej dobe navštívil, nie je príliš cennou informáciou.
Výnimkou by snáď mohli byť niektoré internetové služby - dalo by sa zistiť, či niekto využíva internet banking alebo určitý e-mail, ale k tomu je potrebné vedieť aj totožnosť návštevníka stránky. A tí, čo vedia zistiť aj tú, asi nie sú odkázaní na takúto amatérsku metódu.
Pokiaľ využívam internet na nejakú potenciálne zneužiteľnú službu, dostatočnou ochranou asi je používať pre návštevu citlivých stránok (banka, e.mail, e-shop) osobitný profil prehliadača (prípadne osobitný browser) s nastavenou krátkou históriou.

asi áno, ale pokiaľ viem, tak úspešnosť bannerov sa vyhodnocuje inými metódami. Dala by sa takto monitorovať návštevnosť jednej alebo dvoch konkurenčných stránok, ale čo s tým? Zistil by som, že moju stránku zameranú na ... navštevujú ľudia, ktorí chodia aj na ďalšie podobné stránky. Čo asi nie je prekvapivé.

Videl som nejaky blog kde popisoval ako tento exploit vyuzit pre zobrazenie roznych liniek typu delicious a stumble upon len pre tie weby, ktore dany pouzivatel navstevuje, cim sa rapidne zvysi sanca ze uzivatel tam tu svoju oblubenu sluzbu zbada a pouzije ju. (pretoze inac bud mas pod blogom cca. 30 ikoniek roznych sluzieb, alebo si musis vybrat 3-4 oblubene a zbytok nepokryjes)

toto je ale skôr zlepšenie kvality webu, než špehovanie. To isté by dokázala asi aj nejaká cookie. Ťažie by bolo tento exploit naozaj zneužiť, hoci verím, že fantázia ľudí v tomto smere je neobmedzená.

Copak by na to asi řekl BLEK.?
Asi něco ve stylu: "Já vám říkal, že ten můj prohlížeč není jen pro lidi s poruchou osobnosti..."

Děkuji Ondru Skutkovi a anonymovi za doplnění co se týče prohlížečů Opera a Safari. Řešení jsem neznal a právě je zkoumám.

Nastavení v opera:config, které popsal Ondra výše, se velmi podobá tomu, co dělá SafeHistory, tedy historie prohlížeče normálně funguje, pouze při zobrazování stránek se odkazy zobrazují jako nenavštívené. Dalo by se tak říct, že Opera má rozšíření SafeHistory nativně již v sobě, stačí ho jen zapnout, z pohledu uživatele výhra.

Mód Private Browsing v Safari (na Macu v menu pod Safari, na Windows pod Edit) je trochu jiný. Při svém spuštění mj. přestane ukládat stránky do historie prohlížeče, ovšem historie před spuštěním Private Browsing je stále přístupná, zřejmě má primárně sloužit k dočasnému zapínání (ne nadarmo tak kdosi Safari označil za ideální pornoprohlížeč). Ovšem v případě, že uživatel používá Safari výhradně v Private Browsing režimu, je proti CSS exploitu skutečně imunní.

Mi ta ukázka ve FireFoxu 3 nechce nějak fungovat(a to je nastaven zcela defaultně). Nevíte někdo prosím jak to opravit?

Odhaduji, že zafungoval "rychlý back" prohlížeče, při kterém znovu nepustí skripty. Zkuste reload.

odhaduju, ze firefox 3 je proti tomu imuní. žádný reload nefunguje...

…a…už. Trošku mu to trvalo. Proč já vždycky musím dostat ten rozbitý?

Chápu správně, že pokud ve Firefoxu nastavím v souboru userContent.css
a:visited {background-image: url() !important} čímž by se mělo přepsat nastavení stránky a vypnu JavaScript jsem také chráněn?

Ne, nebude to stačit např. proti konstrukci :visited + * {background-image:url(track.gif)}

a je tímto způsobem (přes tento soubor) možná ochrana? fungovalo by např. html:visited {background-image:url() !important}?

Ne, pomohlo by jen kompletní vypnutí obrázků pozadí (společně s vypnutým JavaScriptem), tedy něco jako * {background-image:none !important}, ovšem mělo by to dopad na vzhled nemálo webových stránek (vypnou se všechny obrázky na pozadí, které stránka používá).

Tím se zabrání hromadnému testování, ale stále zbývá malá teoretická skulinka, kdy se využije nastylování :visited odkazu pro upoutání pozornosti uživatele a kliknutí někam, kam by jinak neklikl. Je to sice za interakce uživatele a nepůjde tak detekovat moc adres za sebou, ale ta malá možnost tu pořád je.

preco vypinat bg-image napr. pre taky div, ked nema :visited?

Protože je pokryje např. selector :visited + *

njn, ale ako je to vyuzitelne?
Mozno mi nieco unika, ale mam pocit, ze div:visited mi je z pohladu spominaneho CSS exploit, resp. ochrany pred nim, nanic. Preto mu nepotrebujem vypinat bg-image => nie je nutne vypinat vsetky pozadia, ale len pozadia liniek. Teda dopad na vzhlad nemala stranok nemusi byt tak dramaticky.

Nepochopil jste to. Jde o to, že útočník nemusí použít selektor ":visited" ale třeba ":visited ~ div" (div, který je někde za navštíveným odkazem) nebo ":visited + div" (div, který je hned za navštíveným odkazem).

Pro pána krále :D Vždyť ve Firefoxu stačí prostě jen v Úpravy>Předvolby>Soukromí zrušit zaškrtnutí "Uchovávat historii stránek" a je to ne? xD

To by sice pomohlo, ale ne lidem, kteří chtějí s historií pracovat, což třeba já dělám. A mimoto, historie je v nové instalaci prohlížeče zapnutá, takže naprostá většina lidí je tímto napadnutelná. A to je problém, který by prohlížeče měli řešit, zvlášť když už se dostává do širšího povědomí.
Jako přijatelný kompromis mě napadá, aby měli prohlížeče deufaltně nastaveno "prozrazovat" stránce používající pseudotřídu :visited jen ty odkazy, které uživatel navšívil přímo z dané stránky (tedy spíše z domény). Tím by se většina komfortu zachovala, protože v naprosté většině případů tato pseudotřída slouží k usnadnění orientace na daných stránkách. A případný exploit by mohl sledovat jen využívanost vlastních odkazů, což se samozřejmě řeší mnohem snáze a mnoho webů to dělá. A historie by zůstala plně využitelná.

To mi přijde jako dobrý nápad.

no ale napriklad taky google by mal s tym problem, resp tvoja pouzitelnost vyhladavaca. nevidel by si ktore odkazy si uz z danej session navstivil alebo nie, lebo google neodkazuje sam na seba ...

Nejsem si jist jestli jsi to pochopil správně. Na příkladu Googlu - všechny odkazy které jsi navštívil přímo prokliknutím z Googlu by se ti označili jako navštívené (:visited). Ale stránky, které jsi navštívil před chvílí například přímým zadáním adresy by se ti na stránce výsledků v Googlu neoznačili jako navštívené. Podle mě by to snížilo použitelnost natolik mizivě, že by si toho skoro nikdo ani nevšim. V naprosté většině případů totiž jen potřebuješ vidět, které odkazy jsi už prošel. Stránky navštívené odjinud nejsou tolik časté. Zato CSS exploit by zcela ztratil smysl.
U vyhledávače by to bylo patrné jen v takových situacích kdy si někde přečteš něco zajímavého, chceš se o tom dozvědět více a zadáš to vyhledávat. U nekonkurečních slov by se se ti pravděpodobně někde ve výsledcích měla objevit i stránka, kterou sis právě přečetl, a ta by nebyla označená. Což je ale zanedbatelné.
Žádný jiný případ, kde by to mohlo být patrné na použitelnosti mě nenapadá, jestli vás něco napadne, rád si to přečtu.

Mno a co takle udělat, to že by prohlížeč prostě požádal server o všechny data.
Tedy by se tvářil, že stránku uživatel nikdy nenavšíl :link ale i navštívil :visited, ale na stránce by to zobrazil tak, jak by měl. Jediný problém by byl, že přibude trafic a zpomalí se zobrazování stránky. (optimalizace)

Je sice zajímavé sledovat například na stránce konkrétního zboží v e-obchodu zda návštěvník nehleděl na stránku se stejným zbožím u konkurenta, ale tím přinesu konkurentovi zpětný odkaz a předám cosi ze svého PR (moje stránka je tématicky shodná).
Minimálně bych takový odkaz chtěl skrýt před uživatelem i robotem vyhledávače. Jakpak si to vyloží robot, když objeví skrývané odkazy?

rel="nofollow"? Nebo tam ty odkazy přidat JavaScriptem.

Napadlo mě řešení, které je ale bohužel účinné pouze proti CSS variantě. Což takhle browser donutit (patchem, pluginem, ...), aby po načtení stránky, či stylesheetu, preventivně "osahal" všechny ve stylech definované url(), včetně těch patřících pod pseudotřídu :visited. To by pro případného šmíráka znamenalo výsledek, že uživatel navštívil všechny jím prubované URL, čili takový výsledek je znehodonocený. Vedlejší účinky takového opatření jsou pouze mírné zvýšení naročnosti na konektivitu, které by však bylo u běžného použití této pseudotřídy neznatelné.
Další vedlejší efekt by byl docela přínosný - zřejmě každý, kdo chtěl kdy vytvořit grafický hover efekt (např. pro střídání vzhledu buttonu po najetí myši) musí "vynálezce" css proklínat, protože při, na první pohled ideálním, použití :hover pro změnu background-image, je výsledek nepoužitelný, neboť se druhý obrázek začne načítat až v okamžik najetí myši na daný element, což způsobuje znatelný lag a nebohý kodér je donucen použít javacsritpt, či jiné alternativní řešení. Kdyby se všechny v CSS definované url() preloadovaly při načtení stránky, vyřešilo by to jak možnost zneužití :visited, tak lag při použití :hover.

Díky Martine za článek. O problému jsem doposud nevěděl a tvůj článek mi ho detailně objasnil.

ja u cilene reklamy vidim jenom spise positiva. kdyz mi prijde reklama na pobyt v hotelu u lipy, tak mne to otravuje, protoze tam nikdy nepojedu. Ale kdyz mi prijde reklama na pekne veci do bytu, tak mne to inspiruje si neco pekneho koupit a udelat si radost nebo se jenom proste podivat, jak to muze byt jinde. Mam rad techniku a nemuzu rict ze si stejne neprolezam ruzne weby a hledam specifika. pak uz tu reklamu neberu jako negativni. Vite co? touhle cilenou reklamou se konecne zbavime tech negativnich reklam na ruzne zajezdy, pujcky, viagry, vibratory(nechapu kdyz jsem chlap), microsofti servery atd.

...nevím přesně jak ale v aktuálním Chrome (verze 6.0.X.X) už javascript nezíská údaje :visited odkazu. Javascript dostane vždy stejná data jako nenavštívený odkaz, přestože na stránce má viditelně jiné css, tak jak je požadováno. Různé online ukázky CSS exploitu v chrome mají taky smůlu. Obrázek na pozadí jsem nezkoumal, takže nevím jestli proti tomuhle je taky odolný, ale tady se bojím že ne.