Muchas veces saltan a la palestra, noticias sobre la privacidad en los navegadores actuales, y más concretamente en Firefox, que la mayoría de las veces son falsas alarmas, desinformación malintencionada o simple paranoia. En el caso que me quiero centrar hoy, se trata de un problema compartido por todos los navegadores y que es generado por el simple hecho de que los enlaces que visitamos se marcan de otro color para que el usuario pueda identificarlos.
Son varios los blogs y sitios de noticias que me he encontrado ya enlazando a la web startpanic.com, una web que dice detectar los sitios que has visitado. Hasta cierto punto es verdad, con la particularidad que la web tiene que tener a priori una lista de sitios que quiere ver si has visitado o no. En el caso de esta web, tiene una lista de miles de sitios famosos, que posteriormente si ve que cambian de color gracias a la propiedad css :visited (osea, que los has visitado), los analiza en busca de todos los enlaces que tenga y ve si los has visitado también.
Este es un proceso lento y costoso para el navegador, por eso notareis que incluso parece colgarle. Esto es algo conocido, hay un bug abierto en Bugzilla (#147777) dónde se explica todo el problema. Pero la solución puede ser fácil:
- Desactivar el cambio de color para todos los enlaces visitados.
- Desactivar el cambio de color para los enlaces visitados que no pertenezcan a la página que estas visitando actualmente.
- Usar el modo de navegación privada que aplica automáticamente el punto 1.
El primer punto se puede hacer accediendo en Firefox desde la barra de dirección a about:config, buscar la clave layout.css.visited_links_enabled y fijar su valor a false.
El segundo punto es inviable actualmente porque la cantidad de recursos que necesitaría para hacer esta comprobación en cada página que visites haría la navegación extremadamente lenta.
Y el tercer y último punto estará disponible en la próxima versión de Firefox 3.5.
En este momento estas son las únicas soluciones que se pueden aplicar para este problema de privacidad y el propio W3C ya avisa en la especificación de la pseudo-clase :visited sobre este problema. La pregunta final es: ¿Deberíamos sacrificar la posibilidad de identificar los enlaces visitados a cambio de solucionar este problema o deberían ser los usuarios preocupados por la privacidad los que aplicaran alguna de las soluciones propuestas?
Información adicional en el blog de Sharovatov (en inglés).
5 comentarios recibidos
17/05/2009 @12:45
De todos modos, sigo viendo esto como algo paranóico. Vale que todo es información privada y tal y cual, pero… A mi personalmente me importa una ****** que sepan las webs que visito, y más cuando tienen que ser de entre una lista que ellos mismos tienen que hacer.
Acabo de entrar a la web que pones y me ha sacado 19 webs de todo mi historial, y creéme que alguna más de esas he visitado, por lo que… ¿quién crea esa lista? A mi me parece bastante curioso el tema, pero como digo, no me preocupa lo más mínimo de momento, y más aún cuando se ve lo que “peta” esa página, por lo que se vería muy mucho el plumero a cualquiera que lo intentase hacer de manera oculta…
En resumen: creo que hay temas más importantes a los que dedicarlos tiempo, y dejar este en el GTD hasta terminar todas esas tareas
17/05/2009 @13:43
Una posibilidad interesante que se ha comentado es tener una lista de webs de entidades bancarias y personalizar la información en base a la que hayas visitado, que posiblemente sea la tuya.
Supongo que se le pueden sacar más usos, como ponerte publicidad electoral contraría a la tendencia política del periódico que visites, recomendarte determinados productos en base a los blogs que visitas… no se, seguro que hay gente con bastante creatividad y otros con bastante mala intención.
Pero como bien dices, de momento no implica grandes problemas para muchos y los usuarios preocupados por la privacidad no deberían guardar el historial o usar el modo de navegación privada.
17/05/2009 @22:31
Pues a mí me parece un problema más serio de lo que pensaba al comenzar a leer tu artículo. Creo que el tiempo que tarda startpanic.com en detectar los sitios visitados es porque usa JavaScript, pero:
1) Un sitio con verdadera mala intención no comprobará miles de sitios, sólo unas decenas, que son los que le interesa conocer.
2) No usará JS, sino posiblemente una técnica como la indicada en http://seclists.org/bugtraq/2002/Feb/0271.html . El tiempo de CPU en ese caso es el del propio servidor atacante. Para el navegador sólo son 10 URLs simples que visitar.
La verdad es que los principales fabricantes deberían sentarse a pensar opciones para controlar la detección de :visited y presentarlas al W3C para que se convierta en especificación.
17/05/2009 @22:49
El problema es que la solución no es trivial, o se desactiva el comportamiento o ¿qué más se puede hacer?
25/05/2009 @3:49
El problema es que la solución no es trivial, o se desactiva el comportamiento o ¿qué más se puede hacer?
Efectivamente, ¿qué más se puede hacer? Y aunque encontraran solución técnica al problema, sigue existiendo un problema de privacidad que, precisamente, yo he vivido en mis propias carnes.
Y lo dejaré aquí para la posteridad:
Escenario: yo vivía en un cierto sitio X compartiendo piso con compañeros. Uno de ellos avisó de que iba a dejar la habitación, así que pronto tendríamos que buscar compañero de piso nuevo.
Trama: yo también estaba interesado en mudarme, pero no quería decir nada hasta estar seguro. Así que me puse a mirar anuncios de craigslist por la zona.
Pillado: cuando me puse con mi compañera de piso en mi ordenador para crear el anuncio de búsqueda de nuevo compañero de piso, los enlaces a las sub-secciones de craigslist de búsqueda de apartamentos estaban en otro color, así que no sé si ella se dio cuenta del “pescao” antes de que yo se lo dijera días después :-/
Jajajaja, la verdad es que ahora resulta gracioso, pero cuando me ocurrió, no me hizo ni pizca de gracia.
Deja un comentario