如何填充虚假的浏览器历史记录?

时间:2013-07-01 14:37:02

标签: web user-experience browser-history

我正在一个与身体/心理受虐待者有关的网站上工作。

始终有一个紧急退出按钮,因此用户可以在"积极的"之前点击它。一个人进入计算机所在的房间。

当用户点击紧急按钮时,系统会自动将用户重定向到Google,其中包含"烹饪苹果派" (这是一个例子)。

此外,我们希望隐藏我们的网站与浏览器历史记录,以防攻击者检查被虐待者的历史。我认为这不可能在技术上完成。

至少,我们是否可以生成虚假的浏览历史记录,以便在用户访问我们网站时为侵略者辩护?

我试了很多东西来模拟一个"浏览"比如使用iframe或ajax查询到另一个网站,但没有填充浏览器历史记录。

这可以吗?

感谢您的投入!

4 个答案:

答案 0 :(得分:9)

我认为您可能过多地关注您无法控制的浏览器和计算机,而对您控制的内容和服务器的关注度不够。采取不同的方法怎么样?为什么不动态为用户生成页面?链接只有一次好。如果您单击主页按钮(您的转义键)并且攻击者在历史记录中查看第二次访问它们的尝试可以显示天气或彩票结果或无关紧要的事情,专注于您可以控制的内容。

答案 1 :(得分:6)

有用的技术细节

删除/防止后退按钮单击历史记录

您可以允许用户浏览整个网页,而无需在后退按钮上构建历史记录,只需单击javascript:链接即可。 这仍然无法从完整的浏览器历史记录中删除任何访问过的网站,因此它不是一个完整的解决方案。

以下是HTML JavaScript链接的示例:

<a href="javascript:document.location.replace('http://www.google.com/#q=something+innocuous');">CLICK HERE TO ESCAPE!</a>

如果这是可以接受的,您可以构建一个无害的主页,用户可以从该主页访问将使用JavaScript将其发送到真实网站的网站。该新网站上的每个链接都必须是一个javascript链接。这样做的缺点是他们将无法再使用后退按钮进行导航,并且该网站100%需要使用JavaScript。

消毒历史

确保网站中的任何网页都有无害的标题和图标,因此如果用户不删除其浏览器历史记录,则不会引起第三方的注意。

阻止访问受保护的内容

您拥有的一个选项是通过让用户在允许访问任何内容之前登录,将您的网站伪装成其他内容。你可以保存他们的会话/登录数据,如果他们点击它被删除或重置的转义按钮就被清除。作为登录页面的一部分,您可以为用户提供输入的备用密码,如果他们的滥用者变得可疑以要求他们登录,则会将其重定向到虚假内容。

会话/登录信息永远不应在浏览器会话之间保存,并且总是有一个短暂的过期时间,以进一步减少滥用者访问网站的机会。

伪装网站

考虑

如果您选择在主页或“假”登录后伪装网站,请非常小心选择有意义且不会引起怀疑或兴趣的内容。你不希望虚假页面成为某种游戏或任何可能引起第三方兴趣的东西。

你也不希望它看起来如此无聊或平凡,原始用户很难解释他们可能经常访问。它应该不是那么具体,以至于第三方会对访问它的原始用户三思而后行。例如,如果一个不喜欢户外活动的人在山地自行车上访问页面,可能会产生怀疑。

如果不解释他们必须登录才能访问谷歌,它也无法做到像重定向到谷歌这样的事情。

一般建议

私人浏览

多个来源建议让您的目标受众了解如何使用IE的InPrivate Browsing mode,Firefox的Private Browsing mode或Chrome的Incognito mode

遗憾的是,似乎没有办法阻止浏览器通过JavaScript将当前页面保留在其浏览历史记录中。可能会有某种插件或第三方控件可以实现这一点,但是让用户使用隐私浏览模式可能更容易。

清除历史

由于浏览器限制网站直接访问或更改用户计算机上的数据,因此无法清除用户的网络历史记录。由于用户的浏览器历史记录是此数据的一部分,因此如果任何网站可以清除历史记录,则会出现安全问题。

您应该向用户提供修剪或清除浏览器历史记录的说明,无论是在网站进入之前是在网站上还是通过您向他们展示如何访问您网站的任何资源。

生成虚假历史

如果您需要生成虚假的已访问网站列表,您可以随时使用JavaScript为用户(或可能的iframe)创建新的标签/窗口,但是用户必须为此禁用弹出窗口拦截器生效。

进一步阅读

以下是有关创建有用的Quick Disguised Exit From A Website的有用文章。我发现它的这个forum thread也有一些有用的信息,但很可能你已经看过了。

答案 2 :(得分:3)

  

至少,我们是否可以生成虚假的浏览历史记录,以便在用户访问我们网站时为侵略者辩护?

你有没有把它转过来?

如果从技术上讲,您的所有网页及其内容都是关于其他内容的。因此,您希望隐藏的内容以特殊方式加载,使您更容易避免在浏览器历史记录中使用它。

那么它就变得知道何时加载/显示特殊内容。

上面说过,@FrédéricHamidi所说的非常重要:

  

请记住,如果“咄咄逼人”的人控制着该计算机或网络,没有什么能阻止他/她在机器上安装记录器或分析网络流量。

答案 3 :(得分:1)

  

IE的InPrivate浏览模式,Firefox的私人浏览模式以及Chrome的隐身模式

我建议这样做可以防止滥用者在浏览历史记录中找到秘密网站。

此外,打开一个社交网站并让浏览历史记录收集,这将是花在计算机上的时间的绝佳和可信的借口。

相关问题
最新问题