Инженер отдела по безопасности Google Майкл Залевски описал метод, позволяющий при помощи данных cache timings в браузерах получать список сайтов, на которых побывал пользователь.

В своем блоге он написал: «Ранее разработчики браузеров больше внимания уделяли защите от хищения информации. Также они занимались доработкой технологии CSS, в которой находили уязвимости, дающие возможность извлекать информацию о посещенных сайтах. Но есть и другие методы заполучить необходимую информацию».

Один из таких способов заключается в определении скорости рендеринга веб-сайта браузером пользователя. По результатам видно, если страница загружена из КЭШа, то пользователь ее ранее посещал.

Известно много атак направленных на кражу данных через кэш браузера. Но по некоторым причинам они считались маловероятными, поскольку их довольно сложно осуществить и пользователь может обнаружить, что подвергся атаке. Кроме того, состояние кэша постоянно изменяется, поэтому мошенничество нельзя осуществить более одного раза.

Однако Майклу удалось продемонстрировать, что подобные суждения являются ошибочными. Этим самым он доказал разработчикам браузеров то, что не стоит забывать об альтернативных методах краж персональных данных, пока они остаются нереализованными на практике.

Для того, чтобы защитить себя от похищения истории просмотров, нужно посещать сайты в режиме InPrivate. Он сейчас доступен во всех известных браузерах, а также периодически чистить кэш и удалять cookie.

добавлено: Tigeress