14

我在一个与身体/心理受虐者有关的网站上工作。

有一个随时可用的紧急出口按钮,因此用户可以在“好斗”的人进入计算机所在的房间之前单击它。

当用户点击紧急按钮时,用户会被自动重定向到谷歌,并带有“烹饪苹果派”之类的查询(这是一个示例)。

此外,我们希望在浏览器历史记录中隐藏我们的网站,以防攻击者查看受虐者的历史记录。我认为这在技术上是做不到的。

至少,我们是否可以生成虚假的浏览历史记录来向攻击者证明用户在我们网站上的时间?

我尝试了多种方法来模拟“浏览”,例如使用 iframe 或 ajax 查询到另一个网站,但没有一个填充浏览器历史记录。

这是可以做到的吗?

谢谢您的意见!

4

4 回答 4

9

我认为您可能过于关注您无法控制的浏览器和计算机,而没有足够关注您控制的内容和服务器。采取不同的方法怎么样?为什么不即时为用户生成页面?链接只有一次好。如果您单击主页按钮(您的退出键)并且攻击性的人查看历史记录,则可能会再次尝试访问它们以显示天气或彩票结果或无害的东西,请专注于您可以控制的内容。

于 2013-07-05T23:08:56.173 回答
6

有用的技术细节

删除/防止返回按钮点击历史

您可以允许用户浏览整个网页,而无需在后退按钮上建立历史记录,方法是让他们专门点击javascript:链接。这仍然不会从其完整的浏览器历史记录中删除任何访问过的网站,因此它不是一个完整的解决方案。

这是一个示例 HTML JavaScript 链接:

<a href="javascript:document.location.replace('http://www.google.com/#q=something+innocuous');">CLICK HERE TO ESCAPE!</a>

如果这是可以接受的,您可以构建一个无害的主页,用户可以从该主页访问使用 JavaScript 将他们发送到真实网站的站点。该新网站上的每个链接都必须是 javascript 链接。这样做的缺点是他们将不再能够使用后退按钮进行导航,并且网站运行需要 100% 的 JavaScript。

消毒历史

确保网站中任何页面的标题和图标都没有冒犯性,这样如果用户不删除他们的浏览器历史记录,他们就不会引起第三方的注意。

防止访问受保护的内容

您有一个选择是通过让用户在被允许访问任何内容之前登录来将您的网站伪装成其他东西。您可以以这样一种方式保存他们的会话/登录数据,如果他们按下退出按钮,它就会被清除或重置。作为登录页面的一部分,您可以为用户输入一个备用密码,如果他们的滥用者变得足够可疑以要求他们登录,则该密码会将他们重定向到虚假内容。

会话/登录信息不应在浏览器会话之间保存,并且始终具有较短的有效期,以进一步减少滥用者访问网站的机会。

伪装网站

注意事项

如果您选择在主页上或在“假”登录后伪装网站,请务必小心选择有意义且不会引起怀疑或兴趣的内容。您不希望虚假页面成为某种游戏或任何可能激起第三方兴趣的东西。

您也不希望它看起来如此无聊或平凡,以至于原始用户很难解释他们可能经常访问的原因。它不应该如此具体,以至于第三方会对访问它的原始用户三思而后行。例如,如果一个不喜欢户外活动的人访问山地自行车的页面,这可能会令人怀疑。

它也不能做一些事情,比如将他们重定向到谷歌而不解释他们必须登录才能访问它的事实。

一般建议

私人浏览

多个消息来源建议教育您的目标受众如何使用 IE 的InPrivate Browsing 模式、Firefox 的Private Browsing 模式或 Chrome 的Incognito 模式

不幸的是,似乎没有办法阻止浏览器通过 JavaScript 将当前页面保留在其浏览历史记录中。可能有某种插件或第三方控件可以启用此功能,但让您的用户使用隐私浏览模式可能更容易。

清算历史

由于浏览器限制网站直接访问或更改用户计算机上的数据,因此无法清除用户的网络历史记录。由于用户的浏览器历史记录是此数据的一部分,因此如果任何网站都可以清除历史记录,这将是一个安全问题。

您应该向您的用户提供有关修剪或清除浏览器历史记录的说明,无论是在他们进入网站之前,还是通过您向他们展示如何访问您的网站的任何资源。

生成虚假历史

如果您需要生成访问过的网站的虚假列表,您始终可以使用 JavaScript 以定时间隔为用户(或可能的 iframe)创建新的选项卡/窗口,但用户必须禁用他们的弹出窗口阻止程序才能生效。

延伸阅读

这是一篇关于从网站创建有用的快速伪装退出的有用文章。我发现的这个论坛帖子也有一些有用的信息,但您可能已经看过了。

于 2013-07-05T22:36:17.170 回答
3

至少,我们是否可以生成虚假的浏览历史记录来向攻击者证明用户在我们网站上的时间?

你考虑过扭转局面吗?

如果从技术上讲,您的所有页面及其内容都是关于其他内容的。因此,您要隐藏的内容以特殊方式加载,使您更容易避免将其包含在浏览器历史记录中。

那么它就变成了知道何时加载/显示特殊内容。

上面说过,@Frédéric Hamidi 所说的非常重要:

请记住,如果“好斗”的人控制了那台计算机或网络,那么没有什么能真正阻止他/她在机器上安装记录器或分析网络流量。

于 2013-07-04T13:15:02.803 回答
1

IE 的 InPrivate 浏览模式、Firefox 的隐私浏览模式和 Chrome 的隐身模式

我建议这样做以防止滥用者在浏览历史记录中找到秘密站点。

此外,打开一个社交网站并收集浏览历史记录,这对于花在计算机上的时间来说是一个极好的和可信的借口。

于 2013-07-09T13:31:15.973 回答