นักวิจัยพบ Safari มีช่องโหว่ให้กูเกิลติดตามการเข้าเว็บได้, กูเกิลได้ปิดการติดตามดังกล่าวแล้ว

by nuntawat
19 February 2012 - 22:41
Read full version on Blognone.com

เมื่อวันศุกร์ที่ผ่านมา Wall Street Journal ได้เผยผลงานวิจัยจากนักวิจัยของมหาวิทยาลัยสแตนฟอร์ด ซึ่งเขาได้พบช่องโหว่บนเบราว์เซอร์ Safari ที่ทำให้ผู้ให้บริการโฆษณารวมถึงกูเกิลสามารถติดตามพฤติกรรมการเข้าเว็บไซต์ต่างๆ ผ่านทางไฟล์คุกกี้ได้

โดยปกติแล้ว Safari จะยอมรับไฟล์คุกกี้จากเว็บไซต์ที่ผู้ใช้เข้าถึงเท่านั้น และจะบล็อคไฟล์ดังกล่าวหากมาในรูปแบบอื่นซึ่งผู้ให้บริการโฆษณามักจะแอบฝังมา แต่นักวิจัยดังกล่าวกลับพบว่าผู้ให้บริการโฆษณาก็ยังสามารถหลอกล่อผู้ใช้ให้สามารถรับไฟล์คุกกี้ได้อย่างไม่ตั้งใจอยู่ดี

ในกรณีของกูเกิลนั้น บริษัทได้ฝังปุ่ม "+1" ที่ถูกสร้างขึ้นจากเทคโนโลยี DoubleClick ไว้ตามโฆษณาต่างๆ ที่อยู่ในรูปของ "iframe" (container ที่มองไม่เห็นที่ยอมให้คอนเทนต์จากเว็บไซต์นึ่งสามารถถูกฝังอยู่ในอีกเว็บไซต์หนึ่งได้) จากจุดนี้กูเกิลสามารถระบุได้ว่าผู้ใช้เข้าเว็บผ่าน Safari และสามารถใส่ข้อมูลในรูป form ที่มองไม่เห็นลงไปใน iframe นั้นได้ ซึ่ง form ดังกล่าวจะ submit ข้อมูลโดยอัตโนมัติ และเนื่องจากเหตุการณ์นี้ดูเหมือนผู้ใช้ได้ submit เอง ทำให้ Safari ยอมรับไฟล์คุกกี้จากกูเกิลมาเก็บในเครื่องได้

เหตุการณ์นี้จะเกิดขึ้นก็ต่อเมื่อผู้ใช้ล็อกอินเข้าบริการ Google+ และตกลงยอมรับที่จะเห็นโฆษณาที่มีปุ่ม +1 เท่านั้น ถึงแม้ว่าไฟล์คุกกี้จะมีอายุเพียง 24 ชั่วโมงเท่านั้นแต่ไฟล์คุกกี้หนึ่งก็อาจเปิดช่องให้ Safari รับไฟล์คุกกี้อื่นได้อีกเนื่องจากเบราว์เซอร์ดังกล่าวจะยอมรับไฟล์คุกกี้จากเว็บไซต์นั้นอีกหากเคยยอมให้ไฟล์คุกกี้จากเว็บไซต์เหล่านั้นมาเก็บอยู่ในเครื่องแล้ว

กูเกิลก็ได้เริ่มลบไฟล์คุกกี้เพื่อการโฆษณา (advertising cookie) จาก Safari ทันทีเมื่อ Wall Street Journal แจ้งให้ทราบ พร้อมกับออกมาขอโทษว่าระบบปุ่ม +1 จะทำให้กูเกิลสามารถติดตามพฤติกรรมการเข้าเว็บไซต์จากไฟล์คุกกี้ได้ แต่กูเกิลก็ยังยืนยันว่าไฟล์คุกกี้นี้ไม่ได้มีข้อมูลส่วนบุคคลของผู้ใช้แต่อย่างไร ส่วนทางแอปเปิลก็แจ้งว่าบริษัทกำลังหาวิธีหยุดยั้งการละเมิดนโยบายความเป็นส่วนตัวบน Safari อยู่

เรื่องนี้คงจะไม่จบลงโดยง่ายแล้ว เพราะล่าสุดผู้แทนจากมลรัฐแคลิฟอร์เนีย Mary Bono Mack ได้เรียกกูเกิลเข้ามาชี้แจงในเรื่องนี้แล้ว โดย Bono Mack กล่าวว่าถึงแม้กูเกิลจะไม่ตั้งใจแต่บริษัทก็ควรเปิดเผยต่อสาธารณชนว่าได้เก็บข้อมูลอะไรจากผู้ใช้บ้างและจะใช้ข้อมูลดังกล่าวอย่างไร แต่ก็น่าจะเป็นการดีที่กูเกิลควรจะเข้ามาหารือวิธีการที่จะปกป้องความเป็นส่วนตัวของผู้ใช้ในอนาคต

ที่มา: Wall Street Journal, USA Today

Read on Full Site
Blognone Jobs Premium