מי קורא את היסטוריית הגלישה שלכם?
אתר חדש, StartPanic, חושף בפני המשתמשים את היסטוריית הגלישה – כדי להתריע מפני העובדה שהיא חשופה לכל. הפתרון החלקי: להתקין תוסף לפיירפוקס, או לחסום את השימוש בסקריפט
האם היסטוריית הגלישה שלכם פתוחה לקריאה בפני כל בעל אתר אינטרנט? לפי האתר החדש StartPanic, נראה שהתשובה חיובית, לפחות באופן חלקי. האתר מאפשר למשתמש לצפות – בלחיצת כפתור אחת – בהיסטוריית הגלישה שלו, כשהוא מציג אתרים שהמשתמש כבר שכח שביקר בהם. כך מדווח הרג'יסטר הבריטי.
יתר על כן, אם הגולש מסכים למסור לאתר את שמו וכתובת המייל שלו, הוא מציע לו לחוות בהיסטוריית הגלישה של משתמשים אחרים – אם ימסור לאתר את פרטיהם. המטרה של StartPanic היא להביא למודעות המשתמשים את העובדה שכברירת מחדל, היסטוריית הגלישה שלהם חשופה ושזרים יכולים להשיג אותה בקלות רבה.
הרג'יסטר מציין שהבעיה של פגיעותה של היסטוריית הגלישה קיימת מימיה הראשונים של הרשת. והיא פוגעת במשתמשי כל הדפדפנים.מקימי StartPanic מבקשים מהמשתמשים לחתום על עצומה שתישלח למפתחי הדפדפנים השונים, בדרישה לסגור את פרצת המידע הזו. עד כה חתמו על העצומה כ-2,950 איש. כותבי הרג'יסטר ציינו עוד כי הבקשה הזו עשויה להיות בעייתית: StartPanic לא מבהיר מה בדעתו לעשות עם כתובת המייל ופרטיו האחרים של המשתמש שהוא מקבל בעת החתימה על העצומה, ומדובר במשתמשים שכבר חשפו בפני האתר את היסטוריית הגלישה שלהם.
לדברי ארז מטולה, מומחה לאבטחת מידע בחברת 2BSECURE, כל אתר אינטרנט יכול לחקור את הדפדפן, ולבקש פרטים על היסטוריית הגלישה של המשתמש. האתר אמנם אינו יכול לקבל באופן גורף רשימה מלאה של האתרים שבהם ביקר הגולש, אך ניתן באופן פשוט יחסית לקבל תשובה על שאלה ספציפית: האם הגולש ביקר באתר מסוים. פרצה זו משרתת בעלי אתרים, שיכולים לבנות רשימה ארוכה של אתרים ולשאול את הדפדפן לגבי כל אחד מהם, האם הגולש ביקר בהם.
מטולה מציין כי קיימים שני פתרונות אפשריים לבעיה. האחד - לשנות את הגדרות הדפדפן, כך שלא יתאפשר לאתרים להריץ פקודות סקריפט, שבאמצעותן ניתן לנצל את הפרצה. עם זאת, הגדרה כזו תפריע גם לפעולה של אתרים לגיטימיים, כמו למשל אתר ג'ימייל, שחלק מהאפשרויות שלו לא יעבדו כהלכה.
הגולשים באמצעות דפדפן פיירפוקס, יכולים להתקין את התוסף NoScript, המאפשר למשתמש ליצור רשימה של אתרים מורשים, ורק אתרים אלה יוכלו לעשות שימוש בסקריפט. כך אפשר למנוע מאתרים חשודים לאסוף מידע על המשתמש. גם למשתמשי הדפדפן אופרה יש אפשרות דומה אך מוגבלת יותר להגביל את השימוש של אתרים בסקריפט, בעוד שלמשתמשי האינטרנט אקספלורר אין אפשרות כזו.
13 תגובות לכתיבת תגובה