Situs-situs yg pernah kau kunjungi yg tersimpan dalam peramban / web browser kau bisa, diakses tanpa sepengetahuan & seijin kamu.
Kode JavaScript yg disebarkan oleh aneka macam situs serta penyedia layanan iklan online mekhasiatkan kerentanan peramban untuk memilih situs mana yg pernah & belum kau kunjungi, berdasarkan penelitian gres yg dilakukan oleh para ilmuwan komputer di Universitas California, San Diego.
Para peneliti mendokumentasikan aba-aba JavaScript yg belakang layar mengumpulkan gosip aneka macam situs yg pernah dikunjungi oleh penguna Web melalui "history sniffing" / "pengendusan riwayat" & mengirim gosip tersebut melalui jaringan. Walaupun pengendusan riwayat serta potensi implikasinya terhadap pelanggaran privasi telah didiskusikan & didemonstrasikan, penelitian gres menyediakan analisis empiris pengendusan riwayat pada Web yg bekerjsama untuk pertama kalinya.
"Tak seorang pun tahu bila siapa saja di Internet menggunakan pengendusan riwayat untuk mendapat gosip langsung situs-situs kunjungan para pengguna. Yang bisa kami tunjukkan ialah bahwa hal tersebut mungkin dilakukan," tutur Profesor ilmu komputer UC San Diego Hovav Shacham. Para ilmuwan komputer dari UC San Diego Jacobs School of Engineering mempresentasikan studi ini pada bulan Oktober dalam Konferensi Computer and Communications Security 2010 (CCS 2010) dalam makalah yg berjudul, "An Empirical Study of Privacy-Violating Information Flows in JavaScript Web Applications".
Pengendusan Riwayat
Pengendusan riwayat terjadi tanpa sepengetahuan / seijin kau & mengkamulkan pada fakta bahwa peramban menampilkan tautan / link ke situs-situs yg telah kau kunjungi berbeda dari yg belum kau kunjung: normalnya tautan yg sudah dikunjungi berwarna ungu, & yg belum dikunjungi berwarna biru. Kode JavaScript pengendusan riwayat yg dijalankan pada sebuah halaman Web mengecek apakah peramban kau menampilkan tautan ke alamat situs tertentu dengan warna ungu / biru.
Pengendusan riwayat bisa, dipakai oleh para pemilik situs web untuk mengetahui situs pesaing mana yg telah / belum dikunjungi oleh para pengunjung. Pengendusan riwayat bisa, juga disebarkan oleh aneka macam perusahaan pengiklan untuk membangun profil pengguna, / dipakai oleh para penjahat online untuk mengumpulkan gosip untuk serangan pengelabuan / phishing berikutnya. Misalnya, dengan mengetahui situs-situs bank mana saja yg kau kunjungi akan menginformasikan halaman bank palsu mana yg akan ditampilkan selama serangan pengelabuan yg ditujukan untuk mengumpulkan gosip login akun bank kamu.
"JavaScript merupakan sesuatu yg mengagumkan, bahasa skrip tersebut memungkinkan aneka macam hal ibarat Gmail & Google Maps serta tumpukan aplikasi-aplikasi Web 2,0; tapi skrip itu juga membuka banyak kerentanan keamanan. Kami ingin masyarakat luas tahu bahwa pengendusan riwayat mungkin dilakukan, hal itu memang terjadi di luar sana, & banyak orang yg rentan terhadap serangan ini," kata profesor ilmu komputer UC San Diego Sorin Lerner, ibarat yg dikutip dari Physorg (03/12/10).
Versi terakhir Firefox, Chrome, & Safari kini memblokir serangan-serangan pengendusan riwayat yg dimonitor oleh para ilmuwan komputer. Namun Internet Explorer tidak menunjukkan santunan terhadap pengendusan riwayat. Pokoknya siapa pun yg tidak menggunakan versi terakhir peramban yg secara bersiklus di-update juga rentan terhadap serangan tersebut.
Mengetahui Pengendusan Riwayat
"Kami membangun mesin anutan data dinamis bagi JavaScript untuk melacak pengendusan riwayat. Saya tidak tahu intstrumen mudah lainnya yg sanggup dipakai untuk melaksanakan studi luas ini," kata Dongseok Jang seorang mahasiswa ilmu komputer bergelar Ph.D UC San Diego yg menyebarkan teknologi JavaScript monitoring ini. Para peneliti berencana untuk memperluas penelitian mereka & mempelajari gosip apa yg dibocorkan oleh aplikasi-aplikasi pada media umum & situs-situs Web 2,0 lainnya.
Para ilmuwan komputer tersebut mencari pengendusan riwayat pada halaman-halaman depan 50.000 situs web teratas berdasarkan peringkat situs global Alexa. Mereka menemukan bahwa 485 dari 50.000 situs teratas menilik properti style yg bisa, dipakai untuk menduga riwayat peramban. Dalam 458 situs, 63 mentransfer riwayat peramban ke dalam jaringan. "Kami mengkonfirmasi bahwa 46 di antaranya benar-benar melaksanakan pengendusan riwayat, salah satu dari situs-situs tersebut berada di peringkat 100 teratas Alexa," ibarat yg ditulis oleh para ilmuwan komputer UC San Diego dalam makalah CCS 2010 tersebut.
Perspektif Pengendusan Riwayat
Untuk melihat bagaimana pengendusan riwayat dalam prakteknya kau bisa, mengunjungi: http://www.whatthe … aboutyou.com.
"Saya pikir mereka yg telah meng-update / mengganti peramban mereka kini mungkin harus khawatir dengan hal-hal selain pengendusan riwayat, ibarat menjaga supaya Flash plug-in mereka tetap yg terbaru supaya agar mereka tidak dieksploitasi. Namun, hal tersebut tidak berarti bahwa perusahaan-perusahaan yg telah berkecimpung dalam pengendusan riwayat 60 persen populasi pengguna dikala ini yg rentan terhadap hal itu mendapat karcis masuk gratis," ujar Shacham.
Melacak Pengendusan Riwayat
Alat pendeteksi pengendusan-riwayat UC San Diego menganalisa JavaScript yg dijalankan pada halaman untuk mengidentifikasi & melabelkan semua instance ketika riwayat peramban se&g diperiksa. Cara sistem tersebut melabelkan setiap potensi acara pengendusan riwayat sanggup dibandingkan dengan tinta / cat yg ditambahkan pihak bank ke tas-tas uang yg dicuri.
"Segera sehabis JavaScript mencoba melihat semua warna tautan, kami segera memberi "cat" terhadap acara itu. Beberapa situs mengumpulkan gosip tersebut tapi tak pernah mengirimkannya ke jaringan, jadi masih ada semua "cat" ini dalam peramban. Namun, dalam kasus lain, kami mengamati "cat" dikirim ke jaringan yg mengindikasikan bahwa pengendusan riwayat se&g terjadi," terang Lerner. Para ilmuwan komputer hanya menganggapnya sebagai pengendusan riwayat bila gosip riwayat peramban dikirim melalui jaringan ke sebuah server.
"Kami mendeteksi ketika riwayat peramban diperiksa, dikumpulkan pada peramban tersebut & dikirim ke jaringan dari peramban tersebut ke server-server mereka. Apa yg kemudian dilakukan server-server tersebut terhadap gosip itu merupakan spekulasi," kata Lerner.
Pendekatan pengendusan "cat" untuk memonitor JavaScript bisa, dipakai lebih dari sekadar pengendusan riwayat, terang Lerner. "Hal tersebut bisa, berkhasiat untuk mengetahui gosip apa yg se&g dibocorkan oleh aplikasi-aplikasi di aneka macam situs Web 2,0. Banyak aplikasi-aplikasi ini menggunakan tumpukan JavaScript."
Oleh alasannya yaitu itu sangat disarankan bagi kau untuk secara rutin meng-update peramban yg kau gunakan demi keamanan & privasi kau di Internet.
Informasi lebih lanjut bisa, kau temukan di: An Empirical Study of Prvacy-Violating Information Flows in JavaScript Web Applications.
Kategori Terkait:
