根据美国加州大学圣地牙哥分校一份“JavaScript网页程序隐私资料流向验证”研究报告显示,Alexa排行前五万大的网站中,有485个网站利用浏览器漏洞未经使用者同意就读取浏览记录。包括Firefox及IE浏览器都尚未修补该漏洞。这485个网站中共有63个网站会把浏览记录上传,其中46个网站积极运用这些记录,其他17个网站则不确定用途。
由于大部分的浏览器让程序共用浏览记录、档案快取、网域名称快取,导致网站可以通过JavaScript程序取得浏览记录。该份报告指出,有两家网站分析工具公司Tealium与Beencounter销售此类工具软件。
网站通过JavaScript程序可以了解使用者看过哪些网站,甚至是哪些网页,网站可以据此呈现不同的广告,或者选定攻击的目标。但是恶意网站也可以据此判断使用者是否去过某网站(例如A银行),并诱导使用者链接到特定的网站。而不管是为了广告用途或者是恶意用途,网站可以通过这个功能判断使用者是否链接到特定网址。
该份报告指出,、、等网站均会读取使用者的浏览纪录,幸好新一代的浏览器已经对此免疫,苹果的Safari及Google的Chrome这两种浏览器最新版本已经修补这个问题,Firefox则要等到4.0版,IE浏览器只能在“InPrivate浏览”隐私模式下才能避免被读取浏览记录。FireFox的NoScript则可以关闭大部分的JavaScript程序,仅让授权过的程序执行。
除了侦测浏览技术之外,该份报告亦追踪网站关于窃取cookie、挟持网址(强迫使用者观看特定网页)、行为追踪等行为,例如微软、Wired杂志、日本雅虎及YouTube等网站会追踪使用者的行为,依网站不同可能追踪使用者滑鼠的位置、移动的方式、选取的文字等等。
查看研究报告:An Empirical Study of Privacy-Violating Information Flows in JavaScript Web Applications