211service.com
Wired.com och Huffington Post bland listan över integritetskränkande webbplatser
TILL nytt papper (pdf) från forskare vid University of California, San Diego avslöjar att en betydande andel av de 50 000 mest besökta webbplatserna på webben ägnar sig åt någon nivå av beteendespårning. Dessutom, och mer oroande, är det några som faktiskt undersöker din webbläsares historia för att avgöra vilka andra webbplatser du besöker, och utnyttjar en säkerhetsrisk som har känts till i ett decennium.

Hur webben ser ut ur perspektivet av en webbläsare som undersöker javascript-beteendet som är specialbyggd för detta experiment.
Inte alla överträdelser som avslöjats av huvudförfattaren Dongseok Jan är lika invasiva. Mindre stötande är sajter som Wired, Technorati, Answerbag och Perez Hilton, som använder analystjänsten Tynt.com för att till exempel spåra vilket innehåll användare kopierar och klistrar in från sina webbplatser, en process som kallas beteendesniffning. Mer oroande är beteendet som kallas historiasniffning, där en webbplats använder javascript för att fråga en webbläsare om vilka webbplatser dess användare har besökt tidigare. Jans lista inkluderar 46 webbplatser som engagerar sig i detta beteende.
Youporn.com, som avgör om en användare har besökt sina konkurrenters webbplatser, gick till och med så långt som att engagera sig i en primitiv form av kryptografi för att dölja webbadresserna till webbplatserna den frågar om.
Historiesnuffning fungerar eftersom webbläsare ändrar färgen på länkar som en användare redan har besökt: javascriptet som används på dessa webbplatser frågar helt enkelt efter de specifika länkarna för att se om deras färg har ändrats. Exploateringen fungerar inte i Googles Chrome eller Apples Safari-webbläsare, och en fix för Firefox är det tillgänglig i sin senaste version . Internet Explorer är dock fortfarande sårbart för detta utnyttjande.
Forskarna pekade ut Huffington Post för speciella anmärkningar:
Misstänkt hemsida När vi undersökte flera webbplatser som installerade händelsehanterare fann vi också att webbplatsen huffingtonpost.com uppvisar misstänkt beteende. I synnerhet har varje artikel på sajtens förstasida en händelsehanterare för musen över. Dessa hanterare samlar i en global datastruktur information om vilka artiklar som musen passerar över. Trots att informationen aldrig skickas på nätverket, anser vi fortfarande att det här fallet är misstänkt eftersom inte bara infrastrukturen finns, utan den samlar in informationen lokalt.
Morningstar.com har anmält att den inte hade någon aning om att den samlade in denna information, som verkar ha samlats in av ett annonsnätverk, kallat Interclick, som kör banners på sin webbplats. Interclick hävdar att historiken som den ägnade sig åt var helt enkelt ett försök att samla in kvalitetskontrolldata för att verifiera den anonymiserade informationen den får från andra källor. Denna data gör att den kan segmentera användare efter typ, till exempel bilentusiast, teknikköpare, juggalo, etc.
För mer om denna upptäckt, inklusive den anpassade webbläsarmotorn som forskarna byggde för att undersöka javascripten för tusentals webbplatser, kolla in UCSD pressmeddelande och den originalpapper (pdf).
Detta inlägg står i tacksamhetsskuld till den ovanligt goda (och noggranna) teknikrapporteringen av Forbes.coms Kashmir Hill .