It's not a bug but it's freaky

15.06.2009 21:22

Nehmen wir mal an ich wäre der Betreiber einer bösen Internetseite und ich würde dem ahnungslosen Surfer einen Link auf eine beliebige URL präsentieren. Nehmen wir weiterhin an ich würde mittels CSS a.visited diesem Link ein Background Image geben. Ein sehr bestimmtes Bild. Zum Beispiel ein Bild, dessen Name den md5 Hash der mir bekannten URL enthält. Das Bild liegt selbstverständlich auf meinem Server. Wenn der Surfer in letzter Zeit auf der URL war wird sein Browser dieses Hintergrundbild nachladen. (Respektive wenn es in der History des Browsers ist.) Somit kann ich als Betreiber einer bösen Internetseite eine True/False Abfrage starten ob der Besucher des Besuchers eine bestimmte Seite in der History hat. Mache ich das mit viiiielen Links (die zB auch per JavaScript einzeln, nach einander eingeblendet werden können (und sich neue potentielle URLs über XmlHttpRequest nachladen)) kann ich eine Liste darüber anfertigen auf welchen Seiten meine Besucher waren.

Bug fixen? Die CSS Eigenschaft visited nicht zulassen für dritte Seiten? Oder irgendsowas. Ist aber auf jedenfall Krass wie viele Probleme man sich mit Browsern an Board holt. Und es geht ja auch ohne JavaScript. Lange statische Listen sind ja auch so möglich.


Kommentare
Freaky!
Christian Berg, Mittwoch, 17. Juni 2009 21:25:50
Ein/Ausklappen

Ja, das ist leicht Freaky, wie nennst du die Technik? XS-CSS-Bug?

Doch frag ich mich ob das einen spezielles finanzielles Bedürfnis befriedigen kann? Page Clicks kann man ja auch viel einfacher abfangen.

Statische Listen sind ja wirklich nicht so schwer zu erstellen eine md5() Funktion bietet heutzutage jede Web Taugliche Scriptsprache. Der Großteil aller HTML Seiten werden automatisch generiert und es spricht nichts dagegen auch Stylesheets und Javascript automatisch zu generieren.

Außerdem hast du eines in deiner Überlegung vergessen. Das Bild muss nicht existieren, der Webserver loggt auch 404 Fehler mit, mit fehlendem background-Image ist dem Link nichts anzumerken, und der Disk I/O ist auch geringer.

So sollte sich die Auswertung auch viel einfacher gestalten: AW-Stats macht das automatisch für dich. (404 Statistik inkl. Counter der Aufrufe)


Bewertung: 113 Punkte bei 12 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Freaky!
Daniel Gultsch, Mittwoch, 17. Juni 2009 21:50:48
Ein/Ausklappen

nur noch mal kurz als Anmerkung: Mit Bild mein ich ich natürlich ein PHP Script welches immer das gleiche, 1x1px PNG ausliefert aber unter verschiedenen URIs erreichbar ist (nämlich dem Hash oder irgendeinem anderem Map der URL) Dann hab ich auf Server Seite direkt den Aufruf inklusive Browser Kennung und IP und kann das sonst wie in meiner DB verarbeiten. Serverseitig sind das ~30 Zeilen PHP Code auf Client Seite fürs automatische Nachladen und Darstellen isses was mehr. Vielleicht so 80 oder so.


Bewertung: 169 Punkte bei 15 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Freaky!
Christian Berg, Donnerstag, 18. Juni 2009 10:53:54
Ein/Ausklappen

An so eine Möglichkeit hab ich nach Absenden des Kommentars auch gedacht.

Dabei ist mir ein weiterer Gedanke gekommen.
Browser schicken auch beim Laden von Bildern brav die Cookies mit.

Ich kann also mit Hilfe eines Cookies, etwas CSS und PHP auch ganz genau rausfinden welcher User auf welchen Seiten war und vermeide es seine History doppelt und mehrfach in die Statistik aufzunehmen.

Mit etwas Geo-IP Magie aufgewürzt, lassen sich damit sicher interessante Statistiken erstellen die einen Käufer finden.

Die Idee gefällt mir so gut, ich war schon am überlegen ob ich www.ichwarschonmal.org kaufe und eine Public-Demo aufstelle.


Bewertung: 122 Punkte bei 13 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

572 Hits
Wertung: 117 Punkte (5 Stimmen)

Schlecht Gut

Infos zum Autor

Daniel Gultsch

Daniel Gultsch ist Student an der RWTH Aachen. Seit über 7 Jahren setzt er nun ausschließlich Linux auf seinen Rechnern ein. Zur Zeit läuft auf seinem Desktop ein Gentoo Linux mit KDE 4.4 und auf seinem Thinkpad X301 ein Gentoo mit dem Tiling WM i3. In seiner Freizeit hält er ein Netzwerk mit ~250 Benutzern am Laufen.

Zum Blog von Daniel Gultsch →