211service.com
Wired.com y Huffington Post entre la lista de sitios web que invaden la privacidad
A nuevo papel (pdf) de investigadores de la Universidad de California, San Diego, revela que una proporción significativa de los 50.000 sitios más visitados en la web están participando en algún nivel de seguimiento del comportamiento. Además, y lo que es más inquietante, algunos están examinando el historial de su navegador para determinar qué otros sitios visita, aprovechando una vulnerabilidad de seguridad conocida desde hace una década.

Cómo se ve la Web desde la perspectiva de un navegador de examen de comportamiento de JavaScript creado a medida para este experimento.
No todas las transgresiones descubiertas por el autor principal Dongseok Jan son igualmente invasivas. Menos ofensivos son sitios como Wired, Technorati, Answerbag y Perez Hilton, que utilizan el servicio de análisis Tynt.com para, por ejemplo, rastrear qué contenido copian y pegan los usuarios de sus sitios web, un proceso llamado rastreo de comportamiento. Más preocupante es el comportamiento conocido como rastreo de historial, en el que un sitio usa javascript para consultar un navegador sobre qué sitios han visitado sus usuarios anteriormente. La lista de Jan incluye 46 sitios web que tienen este comportamiento.
Youporn.com, que determina si un usuario ha visitado los sitios web de sus competidores, llegó incluso a utilizar una forma primitiva de criptografía para ocultar las URL de los sitios sobre los que pregunta.
El rastreo de historial funciona porque los navegadores cambian el color de los enlaces que un usuario ya ha visitado: el javascript utilizado en estos sitios simplemente consulta esos enlaces específicos para ver si su color ha cambiado. El exploit no funciona en los navegadores Chrome de Google o Safari de Apple, y una solución para Firefox es disponible en su versión más reciente . Internet Explorer, sin embargo, sigue siendo vulnerable a esta vulnerabilidad.
Los investigadores señalaron al Huffington Post por un oprobio especial:
Sitio web sospechoso Al investigar varios sitios que instalaron controladores de eventos, también encontramos que el sitio huffingtonpost.com exhibe un comportamiento sospechoso. En particular, cada artículo de la página principal del sitio tiene un controlador de eventos al pasar el mouse. Estos controladores recopilan en una estructura de datos global información sobre los artículos sobre los que pasa el mouse. A pesar de que la información nunca se envía en la red, todavía consideramos que este caso es sospechoso porque no solo está presente la infraestructura, sino que de hecho recopila la información localmente.
Morningstar.com ha informado que no tenía idea de que estaba recopilando esta información, que parece haber sido recopilada por una red publicitaria, llamada Interclick, que ejecuta banners en su sitio. Interclick afirma que el historial de rastreo en el que participó fue simplemente un intento de recopilar datos de control de calidad para verificar los datos anónimos que obtiene de otras fuentes. Este dato le permite segmentar a los usuarios por tipo, por ejemplo, entusiasta del automóvil, comprador de tecnología, juggalo, etc.
Para obtener más información sobre este descubrimiento, incluido el motor de navegación web personalizado que los investigadores crearon para examinar el javascript de miles de sitios web, consulte UCSD presione soltar y el papel original (pdf).
Esta publicación está en deuda con los informes tecnológicos extraordinariamente buenos (y exhaustivos) de Kashmir Hill de Forbes.com .