研究：瀏覽器漏洞讓網站可竊取網友瀏覽記錄

根據美國加州大學聖地牙哥分校一份「JavaScript網頁程式隱私資料流向驗證」研究報告顯示，Alexa排行前五萬大的網站中，有485個網站利用瀏覽器漏洞未經使用者同意就讀取瀏覽記錄。包括IE及Firefox都尚未修補該漏洞。

這485個網站中共有63個網站會把瀏覽記錄上傳，其中46個網站積極運用這些記錄，其他17個網站則不確定用途。

由於大部分的瀏覽器讓程式共用瀏覽記錄、檔案快取、網域名稱快取，導致網站可以透過JavaScript程式取得瀏覽記錄。該份報告指出，有兩家網站分析工具公司Tealium與Beencounter銷售此類工具軟體。

網站透過JavaScript程式可以了解使用者看過哪些網站，甚至是哪些網頁，網站可以據此呈現不同的廣告，或者選定攻擊的目標。但是惡意網站也可以據此判斷使用者是否去過某網站（例如A銀行），並誘導使用者連結到特定的網站。而不管是為了廣告用途或者是惡意用途，網站可以透過這個功能判斷使用者是否連結到特定網址。

該份報告指出，YouPorn.com、TwinCities.com、Charter.net等網站均會讀取使用者的瀏覽紀錄，幸好新一代的瀏覽器已經對此免疫，蘋果的Safari及Google的Chrome這兩種瀏覽器最新版本已經修補這個問題，Firefox則要等到4.0版，IE只能在「InPrivate瀏覽」匿蹤模式下才能避免被讀取瀏覽記錄。FireFox的NoScript則可以關閉大部分的JavaScript程式，僅讓授權過的程式執行。

除了偵測瀏覽技術之外，該份報告亦追蹤網站關於竊取cookie、挾持網址（強迫使用者觀看特定網頁）、行為追蹤等行為，例如微軟、Wired雜誌、日本雅虎及YouTube等網站會追蹤使用者的行為，依網站不同可能追蹤使用者滑鼠的位置、移動的方式、選取的文字等等。（編譯/沈經）