[Gregor Seither - IES News Service - Juin 2009  ]

La semaine dernière, notre collègue Brendon Boshell de  “Making The Web” a fait une démonstration de page espion dans laquelle il récupérait à leur insu l’historique Web des visiteurs de son site. Cet exploit a suscité pas mal de commentaires, plein de gens disant qu’il suffisait d’être équipé de NoScript, pour bloquer cette tentative d’espionnage. Il revient donc cette semaine avec une version qui fonctionne même si vous avez activé NoScript. Si vous n’avez pas été choqué par sa démonstration antérieure, celle-ci devrait vous choquer.

Cliquez simplement sur “Start Scan” et regardez la liste des sites que vous avez visités s’afficher. Et encore, Brendon ne vous montre que le minimum, il pourrait pousser la chose plus loin et vous dire exactement ce que vous êtes allé regarder sur ces sites : autrement dit, si vous aimez les brunes ou les blondes, les petits nichons ou les gros lolos, les petits garçons ou les nymphettes…

La technique est des plus simples — plus simple encore que la version Javascript. Lors de l’accès à la page, une Iframe cachée charge une autre page qui contient un certain nombre de liens. Si un lien est visité, une image de fond (qui n’est pas vraiment une image de fond) est chargée, conformément au CSS. Cette “image de fond” enregistre les informations, les stocke (et, sur la page de Brendon, vous les affiche dans le champ log).

Normalement, ceci devrait vous mettre mal à l’aise : les sites Web que vous visitez au cours de votre journée ne sont pas censés connaître toutes ces informations sur vous. Cette fonction a le potentiel de permettre à quiconque, et particulièrement les publicitaires ou les agences gouvernementales, de vous pister et d’établir un profil à votre insu.

Si vous vous baladez sur les forums des saboteurs de caténaires et qu’ensuite vous allez sur un site gouvernemental, la police risque de venir défoncer votre porte peu de temps après…

http://www.making-the-web.com/misc/sites-you-visit/nojs/