攻防最前线：利用HTML+CSS跟踪鼠标移动

随着用户越来越关注隐私并越来越注意防止在线跟踪，用户开始使用广告拦截器和脚本拦截器来阻止JavaScript跟踪脚本。目前，研究人员已经发现了一种新方法，利用HTML和CSS来跟踪网站访问者的鼠标移动，还可以绕过跟踪保护。

1  新攻击技术

大多数在线跟踪是通过加载到网站和广告中的JavaScript脚本完成的，这允许广告商和网站跟踪您上网的位置，您使用网站的方式或其他在线行为。

可以使用广告拦截器、浏览器跟踪保护（如Firefox的内容阻止）或完全阻止JavaScript来阻止这些脚本。

Firefox的内容阻止

研究人员发现了一种新方法，可在不使用任何JavaScript，仅使用HTML和CSS的情况下跟踪网站访问者在网页上的鼠标移动情况，阻止这种跟踪方式非常困难。

安全研究员Davy Wybiral在Twitter上展示了网站如何使用HTML和CSS在另一个浏览器窗口中观察一个浏览器窗口中的鼠标移动情况。

Wybiral通过创建一个利用CSS的HTML DIV网格实现了这一点：当鼠标移动到网格上的一个框上时，hover选择器可以请求新的背景图像。由于图像请求是在后台完成的，因此浏览器不会显示正在建立连接，因此所有请求对用户来说都是隐藏的。

HTML源代码

当用户将鼠标悬停在某个框上并请求新的背景图像时，该脚本将记录鼠标悬停的位置。然后，另一个浏览器中的用户可以使用/ watch URL进行实时监视。

可以利用该技术来进行多种操作，包括确定网站上的热点以及研究用户界面。除此之外，该技术还可用来进行动态（步态）分析以及深入了解访客的其它行为特征。

研究人员还表示除了hover选择器还可以利用其它选择器来跟踪浏览器行为。

2  其他CSS跟踪技术

Wybiral发现的方法并不是唯一一个表明CSS和HTML可用来跟踪网站用户的方法。

去年发布了一个名为CrookedStyleSheets的项目，允许网站收集用户信息，例如屏幕分辨率、正在使用的浏览器，用户点击链接时的信息，以及根据支持的字体推断用户使用的操作系统。

与Wybiral的方法一样，这都是使用HTML和CSS完成的，没有使用JavaScript。

声明：本文来自MottoIN，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。