信息追踪:跟踪你的鼠标移动的CSS

释放双眼,带上耳机,听听看~!

自从用户越来越关注他们的隐私以来,为了防御在线跟踪,他们开始使用广告拦截器和脚本拦截器来阻止JavaScript跟踪脚本。

而大多数在线跟踪是通过加载到网站和广告中的JavaScript脚本完成的。这允许广告商和网站跟踪你在网络上的位置,使用网站的方式以及其他在线行为。

而有的浏览器可以使用广告拦截器,浏览器跟踪保护(如Firefox的内容阻止)或完全阻止JavaScript来阻止这些跟踪脚本的运行。

然而目前已经发现了一种新方法,允许站点仅使用HTML和CSS来跟踪访问者的鼠标移动,这可以绕过跟踪保护。

研究人员发现了一种新方法,可用于在不使用任何JavaScript的情况下跟踪网站访问者在页面上的鼠标移动,而是仅使用HTML和CSS。这使得以这种方式阻止跟踪非常困难。

安全研究员Davy Wybiral最近在Twitter上展示了网站如何使用HTML和CSS在另一个浏览器窗口中观察一个浏览器窗口中的鼠标移动。

Wybiral能够通过创建一个利用CSS的HTML DIV网格来实现这一点:当鼠标移动到网格上的一个框上时,悬停选择器可以请求新的背景图像。由于图像请求是在后台完成的,因此浏览器不会指示它们正在建立连接,因此所有请求都是对用户隐藏的。

HTML源码

当用户将鼠标悬停在某个框上并请求新的背景图像时,该脚本将记录悬停在网格上的位置。

然后,另一个浏览器中的用户可以使用/watch URL实时监视当前正在悬停的网格框,如上面的视频所示。

该技术可用于多种方面,包括确定站点上用户经常点击的地方从而用于用户界面研究。

这种方法可以用于以下方面

1、运动(步态)分析

2、人们对光标使用不同的静止位置

3、识别鼠标运动与触摸板

4、深入了解访客的其他行为特征

研究人员还告诉我们:hover选择器不是唯一可用于跟踪浏览器行为的选择器。

“除了鼠标跟踪之外,还有许多其他CSS选择器可以为浏览行为提供分析。

例如,焦点应该能够监控用户主动关注哪些元素,并且[值]选择器已经知道有一段时间能够有效地查询输入元素。

围绕[value]的规则改变以使它不那么强大,但它可能仍然只能用于判断用户是否已经开始输入或者已经改变了某些东西

Wybiral的跟踪鼠标Github工程如下

https://gist.github.com/wybiral/c8f46fdf1fc558d631b55de3a0267771

Wybiral的方法并不是唯一一个显示CSS和HTML如何用于跟踪网站用户的方法。

去年发布了一个名为CrookedStyleSheets的项目,允许站点收集信息,例如他们的屏幕分辨率,正在使用的浏览器,用户点击链接时的信息,以及他们根据支持的字体使用的操作系统。

就像Wybiral的方法一样,这都是使用HTML和CSS完成的。没有JavaScript。

该工程的Github代码如下

https://github.com/jbtronics/CrookedStyleSheets

上面这个项目,强烈推荐有需要的同学玩一下哦。

来源:

https://www.bleepingcomputer.com/news/security/researcher-finds-css-only-method-to-track-mouse-movements/

上期看点:


欢迎下方长按识别二维码关注本公众号

更多情报和数据,请关注公众号

点击菜单栏,扫码加入知识星球

感谢您的关注和转发

右下角

朕编不下去了了

本文源自微信公众号:黑鸟

人已赞赏
安全工具

伊朗APT组织的网络间谍工具源代码和攻击者被泄露和曝光

2019-10-16 10:37:05

安全工具

在野“0day” PDF样本简单分析,可跟踪使用Google Chrome作为本地PDF查看器的用户

2019-10-16 10:37:09

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索