浏览器漏洞让网站可窃取网友浏览记录

　　根据美国加州大学圣地牙哥分校一份JavaScript网页程序隐私资料流向验证研究报告显示，Alexa排行前五万的网站中，有485个网站利用浏览器漏洞未经使用者同意就读取浏览记录。包括IE及Firefox都尚未修补该漏洞。

　　这485个网站中共有63个网站会把浏览记录上传，其中46个网站积极运用这些记录，其他17个网站则不确定用途。

　　由于大部分的浏览器让程序共用浏览记录、文件快取、域名快取，导致网站可以透过JavaScript程序取得浏览记录。该份报告指出，有两家网站分析工具公司Tealium与Beencounter销售此类工具软件。

　　网站透过JavaScript程序可以了解使用者看过哪些网站，甚至是哪些网页，网站可以据此呈现不同的广告，或者选定攻击的目标。但是恶意网站也可以据此判断使用者是否去过某网站(例如A银行)，并诱导使用者连接到特定的网站。而不管是为了广告用途或者是恶意用途，网站可以透过这个功能判断使用者是否连接到特定网址。

　　该份报告指出，YouPorn.com、TwinCities.com、Charter.net等网站均会读取使用者的浏览纪录，幸好新一代的浏览器已经对此免疫，苹果的Safari及Google的Chrome这两种浏览器最新版本已经修补这个问题，Firefox则要等到4.0版，IE只能在“InPrivate浏览”匿踪模式下才能避免被读取浏览记录。FireFox的NoScript则可以关闭大部分的JavaScript程序，仅让授权过的程序执行。

　　除了侦测浏览技术之外，该份报告亦追踪网站关于窃取cookie、挟持网址(强迫使用者观看特定网页)、行为追踪等行为，例如微软、Wired杂志、日本雅虎及YouTube等网站会追踪使用者的行为，依网站不同可能追踪使用者滑鼠的位置、移动的方式、选取的文字等等。（文章来源eNet）