我知道你去過甚麼地方
阿恆
Jeremiah Grossman 在他的網誌上用 JavaScript 編寫了一個實驗性的小程式,若果你使用的是 Firefox、Safari、Mozilla 或者 Netscape,一部份你曾經造訪的網站和瀏覽器上安裝的擴充模組便會顯示出來。由於這個程式在動態處理 CSS 上使用了一些 IE6 不兼容(但符合 W3C 的標準)的方法,所以無法在 IE6 上執行,但是已經有人把它修改變成 IE6 兼容的版本。
Jeremiah Grossman 本身是白帽子黑客公司的創辦人兼技術總監,白帽子黑客也稱為有道德的黑客,指那些善意的、協助別人解決保安問題的黑客,這個名稱是特意與那些傳統上戴黑帽的「黑帽子黑客」相對。
Jeremiah 的程式示範了一個別用心的網站窺視訪客的瀏覽紀錄是一件多麼簡單的事,不過他所用的方法也有限制,首先 Jeremiah 必須預先在 JavaScript 中輸入一長串網址,然後用 JavaScript 逐一把網址加進網頁中並且檢查它們的顏色,若果顏色與 vlink 的顏色相同便表示訪客曾經到過這個網站,Jeremiah 的實驗只有 58 個網址,但是要下載一個數 MB 的網址名單(作為一個黑客當然懂得使用 mod_gzip)並不消耗多少頻寬,配合 ajax 便可以把結果暗地裏送回伺服器。另一個限制是若果瀏覽器安裝了限制 JavaScript 或者瀏覽記錄的擴充模組,例如 Firefox 中的 NoScript,這個程式便不能運作。
Jeremiah 所用的方法在較早前已經有人發現,例如印第安那大學和史丹福大學都曾經分別發表這個發現,Mozilla 內部也有相關的討論,據說 Firefox 2.0 RC 1 便沒有這個問題,但具體的細節尚未清楚。