Mozilla verkiest privacy gebruiker boven opvolgen standaarden

Mozilla heeft besloten een lang bestaand privacylek in de surfgeschiedenis van Firefox te gaan dichten. Het lek heeft onder andere te maken met de css-standaard en kan niet worden opgelost zonder van deze standaard af te wijken.

Door bezochte links een andere stijl te geven dan nog niet bezochte links, is een websitebeheerder in staat om te bepalen of een bezoeker een specifieke url al of niet eerder heeft bezocht. De combinatie met bijvoorbeeld de getComputedStyle-functie uit javascript maakt dit zichtbaar, maar er zijn ook manieren die geen javascript vereisen. Het probleem is al jaren bekend en is aanwezig in de meeste gangbare browsers, omdat het voortkomt uit de eisen die in de standaarden worden gesteld.

Het lek maakt het mogelijk om een profiel van een bezoeker op te bouwen door te kijken welke sites hij of zij in het verleden heeft bezocht. De snelheid waarmee de techniek kan worden gebruikt, kan het zelfs tot een securityprobleem maken. Beheerders kunnen meer dan 200.000 url's per minuut nalopen, wat een soort brute-force aanval op inlog-hashes kan betekenen.

Om dit probleem op te lossen, kiest Mozilla ervoor om javascript in Firefox niet langer toegang te geven tot de weergegeven stijl van bezochte links. Ook het aantal stijlen dat kan worden toegepast op links, wordt flink beperkt. Het is dan bijvoorbeeld niet langer mogelijk om bezochte en niet-bezochte links een verschillende achtergrondafbeelding mee te geven, alleen een achtergrondkleur. Met deze maatregelen verkiest Mozilla doelbewust de privacy van de gebruiker boven het opvolgen van de standaarden.

Het is nog niet bekend in welke versie van Firefox de oplossing wordt doorgevoerd. De code is momenteel nog in de review-fase. Mozilla heeft ervoor gekozen de informatie vast vrij te geven, omdat het invloed kan hebben op de werking van sommige websites. Overigens lost het probleem niet alle mogelijke privacy-problemen op; via de cache van de browser valt nog steeds een en ander te achterhalen, maar deze is veel vluchtiger dan de geschiedenis. Ook browser-headers kunnen van invloed zijn op de privacy van een gebruiker. Totdat Mozilla de fix doorvoert, kunnen bezorgde gebruikers tijdelijk andere oplossingen voor het lek toepassen.

Reacties (78)

Peter

2 april 2010 15:45

Ook WebKit zal dit gaan implementeren. Origineel middels een instelling die "CSSKeepVisitedLinksPrivate" heet, al zijn ze redelijk overstag gegaan naar de oplossing van David Barron van Mozilla. Dit stelt browsers die WebKit gebruiken, onder andere Google Chrome en Apple Safari (en tevens diverse mobiele-browsers) in staat om het gedrag rondom bezochte websites aan te passen op een manier die identiek is aan deze Firefox veranderingen.

Samen hebben de browsers een redelijk marktaandeel, en ik verwacht dat ook Opera ook nog wel eens een keuze als deze kan gaan doorvoeren, met name gezien ze best veel nadruk op privacy leggen. De discussie bij het W3 en de WHATWG zal daardoor vanzelf wel weer aangewakkerd worden

Op dat gebied heeft een beslissing als deze van Mozilla best veel invloed, als het gestandaardiseerd wordt dan zal Internet Explorer zich uiteindelijk ook aan gaan passen, hun inzet voor IE 9 volgende.

[Reactie gewijzigd door Peter op 22 juli 2024 23:07]

naam 2 april 2010 15:23

Aan de ene kant natuurlijk heel mooi dat mozilla de veiligheid van gebruikers voorop zet, maar ook wel jammer dat dit dus ten koste gaat van de standaard, maar blijkbaar is dit dus een lek in de standaard

[Reactie gewijzigd door naam op 22 juli 2024 23:07]

Verwijderd @naam • 2 april 2010 16:38

Voor zover ik heb gelezen gaat dit niet ten koste van de standaard.
De CSS2.1 geeft aan:

Note. It is possible for style sheet authors to abuse the :link and :visited pseudo-classes to determine which sites a user has visited without the user's consent.

UAs may therefore treat all links as unvisited links, or implement other measures to preserve the user's privacy while rendering visited and unvisited links differently.

http://www.w3.org/TR/CSS21/selector.html#link-pseudo-classes

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:07]

OddesE @Verwijderd • 2 april 2010 17:17

Goed gezien!! De bedenkers van de CSS standaard geven de browsers dus expliciet de ruimte om hier wat tegen te doen. Mozilla gaat dus *niet* tegen de standaard in.

Auteur

woekele @OddesE • 2 april 2010 18:50

Dat is de css-standaard. Maar mag het volgens javascript ook? Een niet kloppende waarde geven bij die specifieke functie? Een webdeveloper die deze javascript-'functionaliteit' gebruikt voor het correct werken van zijn site zal wellicht vreemd opkijken als het niet meer werkt zoals verwacht. Mozilla zegt erover:

A few sites that use more than color to differentiate visited links may look slightly broken at first while they adjust to these changes, but we think it’s the right trade-off to be sure we protect our users’ privacy. This is a troubling and well-understood attack; as much as we hate to break any portion of the web, we need to shut the attack down to the extent we can.

Ze zijn er zelf van bewust dat ze dus wel degelijk 'a portion of the web breaken'. Waarschijnlijk echter in beperkte hoeveelheid en met behoorlijk beperkte impact, waardoor ik het ook volledig met ze eens ben.

Dorgaldir @naam • 2 april 2010 15:44

Dan moeten ze de standaard aanpassen.
Goed werk mozilla, de boom in met standaarden en gewoon doen wat moet gebeuren! dat is mij motto.

Vicarious @Dorgaldir • 2 april 2010 16:07

Toen Microsoft dit deed was de wereld te klein

Rob Coops @Vicarious • 2 april 2010 16:41

Inderdaad ik denk eigenlijk dat Mozilla de verkeerde kant op werkt niet de browser moet de standaarden negeren om veiliger te worden mar de standaarden moeten aangepast worden om de gebruikers veiliger te laten surfen.

Een andere grote vraag is natuurlijk is het echt de moeite waard om te proberen op deze manier de gebruikers te beschermen? Uiteindelijk is het natuurlijk geen oplossing om te zeggen peop aan de standaarden wij gaan lekker doen wat wij willen omdat we dat veiliger achten. Andere bedrijven hebben al lang aangetoond dat die weg geen oplossing is en dat de hoeveelheid problemen dit dat op levert de "verbeteringen" niet rechtvaardigen.

Als standaarden niet voldoen dan is het geen reden om ze te negeren. Net als je niet te hard mag rijden of door rood mag rijden, ook niet als je haast hebt. Moet je ook dit soort standaarden niet gaan negeren omdat je vind dat ze niet voldoen aan je eisen.
Of je doet je beklag en probeert de standaard te veranderen of je accepteert het als zijnde een feit en je leert er mee leven. Een andere oplossing is hoe dan ook fout!

Verwijderd @Rob Coops • 2 april 2010 17:07

Je analogie klopt niet helemaal, te hard rijden is bij wet verboden en hier staat ook een staf tegenover.
Een standaard is een richtlijn, en gelukkig is het niet verplicht om je hier aan te houden.
Als dat wel zo zou zijn dan zou Microsoft al tientallen keren voor IE6 aangeklaagd zijn

Ik maak zelf ook websites en bezoek ook genoeg websites per dag en heb eigenlijk nog nooit gezien dat er voor een bezochte link een andere achtergrond afbeelding of kleur werd gebruikt d.m.v. javascript. De meeste websites gebruiken een stukje css code zoals:

A:link {color: xxx; text-decoration: xxx} A:visited {color: xxxx; text-decoration: xxx}

Wat nog steeds genoeg opmaak mogelijkheden geeft en prima voldoet.

edit:
Als je hier kijkt wat je al kan terug vinden met deze javascript "exploit":
http://www.whattheinternetknowsaboutyou.com/all

Dan vind ik toch dat het negeren van de standaard in dit geval de verbetering wel rechtvaardigt.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:07]

RoelRoel @Verwijderd • 3 april 2010 00:55

Gelukkig? Hoe relaxed was het geweest voor webdesigners en de ontwikkeling van internet in het algemeen als browsers zich verplicht aan de standaarden moesten houden. Dat zou bijna de helft ontwikkeltijd schelen. Een enorme berg geld.

Verwijderd @RoelRoel • 3 april 2010 06:59

Dus voor webdesigners is het eigenlijk alleen maar goed (aangezien ze er een berg geld mee verdienen)?

RoelRoel @Verwijderd • 5 april 2010 22:12

Ja als je het zo bekijke is er idd meer werk, maar ik denk niet dat webmasters het leuk vinden om zich hiermee bezig te houden. Ik denk dat ze liever mooie, goed werkende sites maken en niet steeds willen klooien om het eruit te laten zien zoals ze bedoelt hebben. En er zijn ook veel websites die van de webmaster zelf zijn, dan gaat dit verhaal al helemaal niet op.

[Reactie gewijzigd door RoelRoel op 22 juli 2024 23:07]

Tsjilp @Verwijderd • 4 april 2010 12:16

Ook voor de opdrachtgever, scheelt hem namelijk ook een enorme bak geld. Als een klant bij mij aankomt dat ie per se IE6 wil, dan gaat hem dat (veel) geld kosten (hangt er natuurlijk een beetje vanaf wat voor soort site ie wil)

Verwijderd @Verwijderd • 4 april 2010 00:13

Bedankt voor deze link, heel informatief, ik was verbaasd hoeveel een website over je kan te weten komen, zelfs met java uitgeschakeld(Noscript)...Facebook, netlog, bank, provider, welke youtubefilmpjes ik vandaag heb bekeken,... Allemaal blijkbaar heel gemakkelijk te achterhalen door eender welke website.

Gelukkig genoeg staat de oplossing hiervoor op die website...
In Firefox about:config de waarde 'layout.css.visited_links_enabled' omschakelen naar false en ik kan terug veilig het web op... $_/-\o_$

Pluimpje voor Firefox dat ze dit probleem willen oplossen...

OddesE @Rob Coops • 2 april 2010 17:15

We moeten e.e.a. wel in perspectief zien natuurlijk.

Het gaat hier om CSS regels van de vorm:

a:visited {
background-color: yellow;
}

(a is een Anchor, een anker voor een link, en :visited geeft aan dat deze stijl alleen toegepast moet worden op reeds bezochte links)

In combinatie met Javascript kun je een pagina maken met (al dan niet zichtbaar) een paar duizend links er op van sites waar je van wilt weten of de bezoeker er al eens is geweest. Als je dan van elke link via Javascript de computed-style opvraagt kun je zien dat een bezoeker er al eens is geweest; dan staat de achtergrondkleur van die link immers op geel.

CSS en Javascript zijn vrij losgekoppelde standaarden die apart van elkaar zijn ontwikkeld. In de *combinatie* van die twee standaarden blijkt een kwetsbaarheid te schuilen. Het is specifiek die combinatie die Mozilla aanpakt.

Oftewel, CSS blijft werken zoals men verwacht en eigenlijk verandert er ook in het Javascript gedrag niets, behalve precies in deze combinatie. Ik kan eigenlijk weinig praktische scenario's bedenken waarin je hier ooit last van zou hebben als ontwikkelaar.

Verder moeten we niet vergeten dat dit niet de eerste keer is dat men dit soort wijzigingen doorvoert en dat andere browsers vaak het voorbeeld hebben gevolgd. Zo kon je vroeger aan een <input type="file" /> (voor uploads) d.m.v. Javascript opvragen wat de bestandsnaam (incluis volledig pad) van het te uploaden bestand was. Kan ook niet meer want dan kun je een pad als "C:\corporate\customers\financial\topsecret\customercode\12345\somefile.txt" lospeuteren waardoor de indeling van het filesysteem van de bezoeker kon worden doorgegeven aan de website... Ook gefixed wegens privacy redenen.

Ik steun Mozilla volledig in deze. Het web moet betrouwbaar zijn anders durven mensen het zometeen helemaal niet meer te gebruiken!

three2five @OddesE • 4 april 2010 04:30

Dit is niet helemaal correct. De fout zit hem wel degelijk in CSS.

Wanneer een constructie puur in html en css word bedacht als de volgende constructie kan de history nog prima worden achterhaald

a#link1:visited {
background-image:url(/log.php?link1wasvisited);
}

<a href="http://google.com" id="link1">

Als ik dan een scriptje hang achter /log.php kan ik prima achterhalen dat je wel of niet google hebt bezocht.

Auteur

woekele @Rob Coops • 2 april 2010 17:06

Ben ik niet met je eens. De standaard heeft opzich niks van doen met veiligheid, maar meer met gebruiksgemak. Het zorgt echter voor een veiligheidsprobleem.

Veiligheid is wat mij betreft belangrijker dan gebruiksgemak.

Dus nee, inderdaad niet door rood rijden (veiligheid), ookal is het zo lekker makkelijk om niet naar die lichten te hoeven kijken (gebruiksgemak).

ltcom @woekele • 2 april 2010 17:22

Dus in de config het volgende aanpassen is te veel (evt. via een addon)?
</quote> Disabling CSS styling of visited links

A slightly more palatable solution is to remove special rules for displaying visited links, at the cost of not immediately knowing which pages you've already been to.

Firefox 3.5 users will be happy to learn that their browser has a configuration option which disables visited links. To enable it, type in about:config in the address bar and set the layout.css.visited_links_enabled option to False.
</quote>
bron: (linkje in de post)

Standaarden zijn er om op te volgen. De gebruiker kan er dan naar eigen inzicht en kennis van af wijken, maar als het structureel is, dan lijkt het me beter om de standaard aan te passen dan de software.

CrashOne @ltcom • 2 april 2010 18:38

Lekker kortzichtige reactie. Een normale gebruiker zou zich hier helemaal niet druk om hoeven te maken omdat het goed geregeld hoort te zijn.

Verwijderd @CrashOne • 3 april 2010 08:37

Ja, daarom dat standaarden eigenlijk horen gevolgd te worden. Het is volledig implementeren of niet. Half en half raakt kant nog wal. Dan ondersteun je de standaard niet. Hier en nu is het nog duidelijk wat er aangepast is, maar als we kijken wat MS vroeger met IE heeft uitgespookt. Ze dragen er nu zelf nog altijd de gevolgen van. IE is de lastigste browser om ervoor te zorgen dat website correct worden weergegeven. Zeker als je wilt dat er geen verschil zit tussen verschillende versies.

Ik ken een bedrijf dat nog lang vooral met ie5.5 heeft gewerkt, vanwege website compatibiliteit. Nu is ie6 daar de meestgebruikte browser. (Niet alle bedrijven willen veel geld betalen om regelmatig te kunnen updaten)

De standaard zou gewijzigd moeten worden, om deze problemen aan te pakken.

Jaco69 @Verwijderd • 3 april 2010 10:24

Een standaard niet volledig implementeren word ander heel vaak gedaan. Als dan maar duidelijk is wat wel en wat niet ondersteund word. Iets anders dan de standaard implementeren is kwalijker.
Kunnen ze in dit geval niet de link stijl houden volgens de standaard maar bij het opvragen altijd de zelfde stijl als antwoord geven ongeacht wat de stijl echt is?

BeosBeing @CrashOne • 6 april 2010 16:09

Als tijdelijke oplossing is dit wel goed. Standaard zou ik hem dan op disabled zetten, met de mogelijkheid om het weer op enabled te zetten.

De definitieve oplossing ligt uiteindelijk bij een aanpassing van de css-standaard.

@Vicarious:

Toen Microsoft dit deed was de wereld te klein

Microsoft week af van de standaard op een veelvoud van punten, dat was niet goed. Als het beperkt blijft tot één of enkele kleine afwijkingen, en dan enkel vanwege een concrete zwaarwegende reden, zoals hierboven. Dan nog, zoals je hierboven kunt lezen wordt dit door sommigen bekritiseerd, al wijt ik dat dan toch aan de dominee's mentaliteit hier.

Supremo @Rob Coops • 2 april 2010 17:14

Door rood rijden mag volgens mij wel indien er een noodsituatie is.

Of je het privacyprobleem wel of niet een noodsituatie vindt is weer een andere discussie.

Maar zoals haytjes hieronder aangeeft is het geen probleem om vanwege privacy van de standaard af te wijken. Dus een beetje een storm in een glas water.

blouweKip @Vicarious • 2 april 2010 17:24

Het verschil is de reden: microsoft deed het om de concurrentie dwars te zitten, mozilla doet het voor de gebruiker.

Verwijderd @Dorgaldir • 2 april 2010 16:13

En iedereen bedenkt weer zijn eigen standaard omdat ze daar hun eigen (betere) ideeen in kunnen stoppen?
Lijkt mij eerder dat de standaard aangepast zou moeten, om het lek te dichten. (en dan de andere browsers ook natuurlijk)

Auteur

woekele @Verwijderd • 2 april 2010 16:21

Webkit lijkt dezelfde implementatie als Mozilla door te gaan voeren. Uiteindelijk zal het in de standaard ook wel aangepast worden neem ik aan.

Verwijderd @naam • 2 april 2010 15:25

Toen ik de titel las was ik sceptisch aangezien ik een voorstander ben van standaarden maar in dit geval kan ik er wel begrip voor opbrengen.
Dit lijkt inderdaad meer op een lek in de standaard.

SuperDre @Verwijderd • 2 april 2010 22:43

tja, waar leg je de grens....

Marathir 2 april 2010 15:56

Bij bedrijven mag vaak alleen IE gebruikt worden omdat dat "veiliger" zou zijn.

Dit zie ik op deze manier in rap tempo veranderen

Verwijderd @Marathir • 2 april 2010 18:37

Dat zeggen ze waarschijnlijk omdat ze IE zo ingesteld hebben met policies dat het zo veel mogelijk waterdicht is.

En als jij dan Firefox installeert waarmee je kwaadwillige activex elementen en andere troep kunt installeren gebruikt dan snap ik waarom ze dat niet veilig vinden.
Kost natuurlijk ook veel tijd (=geld) om voor Firefox,Opera, Chrome etc... policies te gaan maken, en IE voldoet eigenlijk prima voor een beetje simpel surfen op je werk.

hackerhater @Verwijderd • 4 april 2010 10:50

activeX in firefox?
Lijkt me aardig onmogelijk gezien firefox dat niet ondersteund

Sjaaky @Marathir • 2 april 2010 16:08

Met dit soort trucs kun je als bedrijf bepalen met welke andere bedrijven een klant zaken doet...

Verwijderd @Marathir • 2 april 2010 16:09

IE is nog wel het minst veilige ...?

wildhagen

Internet
Privacy

2 april 2010 15:24

Hmm, enerszijds is dit een goede zaak, omdat het de privacy ten goede komt.

Anderszijds creërt Mozilla nu wel weer een nieuw probleem, omdat webdevelopers straks dus ook specifieke versies voor Mozilla moeten maken, net zoals dat met oudere versies van IE ook moest, om alles goed te laten functioneren.

Overall lijkt me dit dan ook geen goede zaak, want dit komt de standaardisatie op het web niet bepaald ten goede.

Verwijderd @wildhagen • 2 april 2010 15:26

Hoezo? Het enige wat Mozilla saboteert is de mogelijkheid om die link kleur feedback uit de browsers te trekken. Dus de enige die er last van hebben zijn de mensen die om welke dubieuze redenen dan ook die info moeten hebben van de bezoeker.

Al is afwijken van standaarden wel slecht, tot zo ver ben ik het met je eens.

Flowmo @Verwijderd • 2 april 2010 15:29

Eeh nee, dat is niet het enige doel van getComputedStyle. Dit kan ook andere functies hebben.

Je moet niet denken dat deze functie ervoor is geschreven om bezochte url's te checken via JS.

Verwijderd @Flowmo • 2 april 2010 15:30

Voor welke toepassing zou je die informatie moeten hebben?

_{En zoals harrald terecht opmerkt zeg ik ook nergens dat het alleen daarvoor gebruikt word/moet worden/kan worden.}

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:07]

MrTheMan @Verwijderd • 2 april 2010 15:35

Er zijn allerlei toepassingen te bedenken voor het gebruik van getComputedStyle. Het is echter niet zo dat deze functie onklaar wordt gemaakt, in het geval van bezochte links wordt alleen een resultaat gegeven alsof deze niet bezocht is.

Het enige 'probleem' is dat je bezochte links niet langer volledig anders kan stijlen dan niet bezochte links. Dit lijkt me - als webdeveloper - maar een klein ongemak. Dit in verband brengen met oudere versies van IE is in ieder geval een loze vergelijking, zoveel zal er niet veranderen.

[Reactie gewijzigd door MrTheMan op 22 juli 2024 23:07]

YopY @MrTheMan • 2 april 2010 16:34

Het enige 'probleem' is dat je bezochte links niet langer volledig anders kan stijlen dan niet bezochte links. Dit lijkt me - als webdeveloper - maar een klein ongemak.

Ik ook - kan me niet indenken dat er mensen zijn die bezochte links enorm anders stijlen dan niet-bezochte links, buiten een ander kleurtje om.

kozue

Browsers

@YopY • 3 april 2010 11:47

En ik kan het me nog minder voorstellen dat er in die beperkte groep dan nog mensen tussen zitten die na het opgeven van de stijl nog weer eens op willen vragen welke stijl ze het ook alweer gegeven hadden. Een site met Alzheimer ofzo?

berend_engelbrecht @Verwijderd • 2 april 2010 16:24

Wij gebruiken getComputedStyle in javascript-code voor het met de muis breder of smaller maken (slepen) van een kolom in een tabel. getComputedStyle kan je gebruiken om de huidige stijl van een element precies te bepalen, dat maakt een meer correcte berekening van de afmetingen mogelijk.

Om te voorkomen dat de afmetingen van een visited link wijzigen, kan je die bijvoorbeeld ook niet meer vet drukken met de security fix van Firefox. Immers vetgedrukte tekst neemt meer plaats in en dat zou je dan weer kunnen detecteren met getComputedStyle.

YopY @berend_engelbrecht • 2 april 2010 16:36

Om te voorkomen dat de afmetingen van een visited link wijzigen, kan je die bijvoorbeeld ook niet meer vet drukken met de security fix van Firefox. Immers vetgedrukte tekst neemt meer plaats in en dat zou je dan weer kunnen detecteren met getComputedStyle.

Niet als getComputedStyle niet werkt op links... maar wel weer als je er een element naast hebt te staan die van plaats verandert natuurlijk. Hm, vraag me af of ze daar ook over nagedacht hebben. Weet natuurlijk niet hoeveel de ':visited' stijl beperkt wordt qua mogelijkheden.

harrald @Flowmo • 2 april 2010 15:36

Dat beweert McKillem ook niet.
getComputedStyle kan alleen niet meer kijken of er een style aan de pseude class :visited is gehangen (buiten de backgroundcolor dan). Voor de rest verandert er niks aan getComputedStyle.

OddesE @Flowmo • 2 april 2010 17:18

Ze halen niet heel getComputedStyle() weg! Dat zou wat zijn!

Ze zorgen alleen dat deze functie niet meer gebruikt kan worden om specifiek deze privacy gevoelige informatie te achterhalen. Goede zaak lijkt me.

Alle discussie over of deze functie verder wel of geen nut heeft is dus niet relevant.

SWINX @wildhagen • 2 april 2010 15:31

Ik neem aan dat de getComputedStyle gewoon de algemene stijl van een linkje kan teruggeven dan?

Dan is het toch compatible, zonder dat het onveilig is.
De werking is dan wel anders, maar dat is juist de veiligheid die Mozilla nu gaat inbouwen.

Het alleen toestaan op hetzelfde domein, wat hieronder door Naatan genoemd wordt zou ook nog wel een interessante tussenoplossing zijn.

[Reactie gewijzigd door SWINX op 22 juli 2024 23:07]

dolfje @SWINX • 2 april 2010 16:03

Dat is ook wat er gebeurd. Firefox zal nu altijd de stijl van een niet-bezochte link bij getComputedStyle() teruggeven

mduijvendijk @wildhagen • 2 april 2010 15:27

Je kan ook de standaard aanpassen. Bijvoorbeeld in CSS 3

jmxd 2 april 2010 15:24

Het is het een of het ander, ik vind het een goede zaak

Hier een voorbeeld van de "lek" in actie: http://didyouwatchporn.com/

Lord Daemon @jmxd • 2 april 2010 15:38

Zou die website niet http://wereyouparanoidenoughtouseprivatebrowsingmode.com moeten heten?

Verwijderd @jmxd • 2 april 2010 16:05

Heel goed voorbeeld.

Zo zie je ook dat de CSS standaard op dit gebied al behoorlijk zoog.

De enigste goede actie zou zijn dat de standaard sowieso aangepast moet worden.
Of helemaal niet toestaan of zoals bij unsigned java gedaan wordt alleen voor de eigen site.

Raar dat hier nooit security vragen of iets dergelijks over rond zijn gegaan.

Weer een goede reden om Firefox te gebruiken.

YopY @jmxd • 2 april 2010 16:37

Hier een voorbeeld van de "lek" in actie: http://didyouwatchporn.com/

da's een goeie.

Oeh, ook een lijst met pr0nsites daaro (view source - sites.js)

* YopY is onschuldig, bij de weg

[Reactie gewijzigd door YopY op 22 juli 2024 23:07]

Hipska @YopY • 3 april 2010 09:43

Onschuldig dankzij de 'pornoknop' zeker?

hollandismad @jmxd • 3 april 2010 09:27

Het is het een of het ander, ik vind het een goede zaak
Hier een voorbeeld van de "lek" in actie: http://didyouwatchporn.com/

Deze is alleen voor vrouwen neem ik aan? Die voor mannen was toch http://howmuchporndidyouwatch.com/ ?

moozzuzz 2 april 2010 15:26

Hmmm, hier ben ik niet zo'n voorstander van. Dan kan je mi beter per browse-sessie de visited links bijhouden en na een browsesessie weggooien. Op die manier kan men enkel een profiel opmaken adhv wat je die dag bekeek... wat voor de meesten onder ons sterk onder de 200.000 zal liggen :^p

Cloud @moozzuzz • 2 april 2010 15:32

En als je dat dan op de server opslaat kun je dat profiel elke keer dat de gebruiker de website bezoekt, verder uitbreiden. Je hebt wel niet alles in één keer, maar je kunt nog steeds een hoop informatie krijgen. Daarnaast vind ik één browsersessie aan visited links al te veel eigenlijk.

Lord Daemon @moozzuzz • 2 april 2010 15:40

Het gaat er natuurlijk niet om dat een website 200.000 pagina's die jij hebt bekeken af kan gaan per seconde, maar dat deze 200.000 mogelijke pagina's af kan gaan per seconde om te zien of jij die bekeken ebt. Daarmee kan je beveiligingen kraken die werken doordat je een speciale URL krijgt opgestuurd/toegewezen. (Nu is dat natuurlijk sowieso niet zo'n goede vorm van beveiliging, maar toch.)

Verwijderd 2 april 2010 15:25

Er valt wat van te zeggen, al vind ik dit wel een beetje symptomenwerk. Als het daadwerkelijk zo makkelijk is profielen te bouwen van mensen moet er denk ik eens over de standaard nagedacht worden.

YopY @Verwijderd • 2 april 2010 16:39

Dat kan, en dat wordt het al, maar zoals je waarschijnlijk weet duurt het jaren en jaren voordat een nieuwe standaard 'af' is, en dan nog eens zo'n tijd voordat het geimplementeerd is in alle browsers.

Gamebuster 2 april 2010 15:47

Vreemd dat ze de standaard niet aanpassen. Ik dacht er laatst nog over: Het is vrij nutteloos om aparte achtergrondafbeelding toe te passen op bezochte externe URL's.

[Reactie gewijzigd door Gamebuster op 22 juli 2024 23:07]

YopY @Gamebuster • 2 april 2010 16:40

Dan krijg je dingen als 'je kunt background-image op alle elementen toepassen, behalve op a:visited elementen'. Uitzonderingen zijn vies.

_beevee_ 2 april 2010 17:25

Ik kan me er van de ene kant wel in vinden, van de andere kant zouden ze misschien beter iets bedacht kunnen hebben wat rekening houdt met de oorsprong van een link.

Want i.g.v. site interne links of externe links die vanuit de site aangeklikt worden zouden, zonder dat daardoor de privacy mogelijk in het geding komt, gewoon een visted style kunnen krijgen, toch?

Verwijderd @_beevee_ • 2 april 2010 18:40

Het aanpassen van de visited style is ook nog steeds mogelijk, alleen de style is niet meer uit te lezen door javascript in Firefox.

Verwijderd 2 april 2010 23:21

Ik vind het eerlijk gezegd raar dat Mozilla geen verandering in de standaard teweeg kan brengen via de W3C waar ze toch echt lid van zijn. Ligt er dan een ander lid (MS? Apple?) dwars of zijn de vreselijke vermoedens die ik voel bij het lezen van deze lidmaatschapslijst waarheid (namelijk dat bijvoorbeeld Boeing en Pfizer evenveel inspraak hebben als degenen die daadwerkelijk moeten proberen een enigszins veilige en stabiele browser voor het hele zooitje te ontwikkelen en dat dat soort enorme bedrijven het niet zo'n prioriteit vinden om hieraan te gaan sleutelen)

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:07]

Verwijderd @Verwijderd • 3 april 2010 00:26

Als je naar de lijst kijkt zie ook een paar redenen waarom Mozilla dit niet aangepast krijgt.

Kijk naar deze members:
ENISA (European Network and Information and Security Agency)
Google, Inc.
Microsoft Corporation
Yahoo!, Inc.
Deze willen het het zeer waarschijnlijk niet eens aan passen ze hebben een zoek belang.

Dan heb je vage leden zoals deze die de lijst erg lang maken. 328 leden om precies te zijn.
Partners HealthCare System, Inc.
United States Holocaust Memorial Museum
Wat het belang is om zo'n leden te hebben?

Ik vind dat het internet veel meer terug gegeven moet worden naar de tweede partij die het internet gebruikte.

De eerste partij de Militairen
De tweede partij de universiteiten.

De huidige set-up, vercommercialisering met bijvoorbeeld DRM en properitry protocollen en censuur en spionage van regeringen, van het internet zal het hele internet naar de verdoemenis helpen.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (78)

Sorteer op:

Weergave: