CSS History Hack
I den senere tid har der været en del snak om det såkaldte “CSS History Hack”, først fra en sikkerhedsmæssig og privacy vinkel og senest fra en SEO-vinkel. I gårsdagens udgave af mit radioprgram Strikepoint snakkede vi om dette og andre tilsvarende hacks, og hvordan disse “hacker tekniker” kan anvendes legitimt – og mindre legitimt (og ja, ulovligt kan det også hurtigt blive – som så meget andet i denne stil …). Læs mere om dette hack nedenfor …
CSS history hack bygger på den historik der gemmes i de fleste browsere over, hvilke sites man har besøgt gennem tiden. Det er denne “hukommelse” der gør, at de links man har besøgt (kan) vises i en anden farve end dem, man ikke har besøgt. Via et simpelt JavaScript kan man så tjekke, om den der besøger en bestemt webside (med dette script på) tidligere har besøgt andre definerede websites. Og hvad kan det så bruges, eller misbruges til?
Først og fremmest kan det bruges til en simpel for for “spinage”. Og det er naturligvis også det som diverse privacy-forkæmpere har kritiseret. Og når man først ved hvilke sites folk har besøgt tidligere kan man (mis-) bruge dette til f.eks. at vise forskelligt indhold, alt efter hvor de har været.
Hvis nu f.eks. en besøgende tidligere har besøgt en af dine konkurrenter, så kunne det jo være at denne besøgende skal have et særligt godt tilbud. Du kunne også tjekke om en besøgende har været inde og kigge på et bestemt produkt hos en konkurrent og så automatisk give denne besøgende på dit website en pris der er 5% lavere end konkurrentens. Kun til denne ene bruger. Du kunne også gå videre og tjekke om brugeren har eksekveret bestemte scripts på dine konkurrenters sider, f.eks. deres signup side til nyhedsbrev eller tilsvarende og så bruge denne information.
En anden mulighed er at misbruge CSS history hack til mere bedrageriske former for linkudveksling. Du kunne ganske simpelt sende emails til nogle af de sites du gerne vil have links fra og skrive til dem at du har fundet deres site, synes det er fedt og tilføjet et link til dem (gerne fra en prominent side på dit site) og så spørge om de har lyst til at linke tilbage. Når de besøger den side hos dig der har linket, vil dette link kun blive vist hvis det site du skriver til er i den besøgendes CSS history. Det vil den med 99,99% sikkerhed være hos ejeren af dette website. Bedragerisk? jeps. Virker det? Måske 🙂
Det er kun kreativiteten (og muligvis loven) der sætter grænserne. Hvor langt du kan gå indenfor lovens rammer aner jeg ikke. Så hvis du kaster dig ud i eksperimenter af denne type skal du ikke brokke dig til mig, hvis du ender i spjældet 🙂
Men, det er så bare CSS history hack – der er mange andre “spændende” CSS, JavaScript og ikke mindst ActiveX hacks som er værd at kende til. Ikke mindst for at du kan beskytte dig selv ordentligt når du surfer rundt (f.eks. på konkurrenters websites).
En af de gamle JavaScript hacks, som kun få mennekser alligevel kender til, er clipboard hack’et. Med en enkelt linie JavaScript kode kan du læse hvad folk har kopieret ind i deres clipboard – altså, når man trykke “Copy” (eller Ctrl C) i Windows. Her gemmer folk mange underlige ting – private beskeder, webadresseer og nogle gange passwords. Med en anden, tilsvarende, linie JavaScript kan man faktisk også skrive direkte i folks clipboard! Jeg er dog ikke sikker på det er et godt sted at placere sine reklamebudskaber – det giver nok lidt for meget bad-will 🙂
Og så kommer vi til ActiveX. Mange folk har indstillet deres browsers sikkerhed så ActiveX objekter tillades. Det er farligt. Hvis du tillader ActiveX er der i princippet ingen grænser for, hvad et “angribende” website kan læse og skrive på din computer. Heldigvis er fuld accept af ActiveX ikke default indstillingen i Internet Explorer.
Jeg har med vilje ikke lagt nogle af de omtalte scripts ind her i dette indlæg. Hvis du vil rode med den slags, må du finde de nødvendige scripts andre steder eller hyre en der kan 🙂
Morten skriver
Yderst interessant læsning… Thanks for sharing.
Mikkel deMib Svendsen skriver
tak 🙂
Knut Nägele skriver
Ja meget interessant. Havde aldrig hørt om at sådanne oplysninger kunne være tilgængelige for websites man besøger.
Markus Loong Brandt skriver
Har set den med clipbardet for nogle år siden på grc.com. Blev godt nok lidt bleg i hovedet da jeg kunne se et password jeg lige havde pastet ind i et weblogin på deres side. Siden dengang har jeg holdt fingrene fra at copy&paste følsomme ting uden bagefter lige at rense clipboardet med lidt volapyk jeg kopierer. Ved ikke om det hjælper, da man vist kan se flere steps tilbage??
Nå men grc.com er faktisk en udmærket side. lort at finde rundt i og lidt nørdet, men ret gode iagtagelser og en kanaon beskrivelse af et RL DDOS angreb (sorry for going off topic Mikkel 🙂 )
Mikkel deMib Svendsen skriver
Det er ikke off-topic 🙂 Tak for kommentaren
Kurt Moskjær Andersen skriver
Rigtig godt indlæg, som sætter fokus på nogle ting man normalt ikke tænker på – heller ikke set med markedsføringsbrillerne på.