Vlákno názorů k článku
CSS exploit a neexistující soukromí na webu

Chápu správně, že pokud ve Firefoxu nastavím v souboru userContent.css
a:visited {background-image: url() !important} čímž by se mělo přepsat nastavení stránky a vypnu JavaScript jsem také chráněn?

Ne, nebude to stačit např. proti konstrukci :visited + * {background-image:url(track.gif)}

a je tímto způsobem (přes tento soubor) možná ochrana? fungovalo by např. html:visited {background-image:url() !important}?

Ne, pomohlo by jen kompletní vypnutí obrázků pozadí (společně s vypnutým JavaScriptem), tedy něco jako * {background-image:none !important}, ovšem mělo by to dopad na vzhled nemálo webových stránek (vypnou se všechny obrázky na pozadí, které stránka používá).

Tím se zabrání hromadnému testování, ale stále zbývá malá teoretická skulinka, kdy se využije nastylování :visited odkazu pro upoutání pozornosti uživatele a kliknutí někam, kam by jinak neklikl. Je to sice za interakce uživatele a nepůjde tak detekovat moc adres za sebou, ale ta malá možnost tu pořád je.

preco vypinat bg-image napr. pre taky div, ked nema :visited?

Protože je pokryje např. selector :visited + *

njn, ale ako je to vyuzitelne?
Mozno mi nieco unika, ale mam pocit, ze div:visited mi je z pohladu spominaneho CSS exploit, resp. ochrany pred nim, nanic. Preto mu nepotrebujem vypinat bg-image => nie je nutne vypinat vsetky pozadia, ale len pozadia liniek. Teda dopad na vzhlad nemala stranok nemusi byt tak dramaticky.

Nepochopil jste to. Jde o to, že útočník nemusí použít selektor ":visited" ale třeba ":visited ~ div" (div, který je někde za navštíveným odkazem) nebo ":visited + div" (div, který je hned za navštíveným odkazem).