Buchempfehlungen nach Besuch einer manipulierten Webseite
Buchempfehlungen nach Besuch einer manipulierten Webseite (Bild: Amazon.com/Screenshot: Golem.de)

Amazon.com Produktempfehlungen lassen sich manipulieren

Mit einem einfachen Trick können Amazons Produktempfehlungen manipuliert werden. Der jeweilige Kunde bekommt davon nichts mit.

Anzeige

Eine manipulierte Webseite reicht aus, um Amazon.com vorzugaukeln, dass ein Kunde Interesse an einem bestimmten Produkt respektive einer Produktgruppe hat. Der Wirtschaftsinformatiker Felix Middendorf zeigt in seinem Blog Diskurswelt, wie das geht: Mit einem versteckten iFrame wird ein HTTP-GET-Request auf eine Produktwebseite ausgeführt.

In diesem Fall ist es ein Buch, "How to win friends and influence people" von Dale Carnegie. Amazon geht davon aus, dass der Nutzer an dem Buch interessiert ist und zeigt es beim nächsten Besuch der Homepage oder der Empfehlungsliste mit an. "Ich überlasse mögliche bösartige Anwendungen eurer Vorstellung", schreibt Middendorf.

  • Nur ein Test - mit verstecktem iFrame, das eine Produktwebseite von Amazon.com abruft... (Screenshot: Golem.de)
  • ... und die Empfehlung - das Buch links - findet sich dann auf der Amazon.com-Homepage. (Screenshot: Golem.de)
Nur ein Test - mit verstecktem iFrame, das eine Produktwebseite von Amazon.com abruft... (Screenshot: Golem.de)

Amazon.com könnte zur Gegenwehr den Response-Header der X-Frame-Options auf SAMEORIGIN einstellen, schlägt Middendorf vor. Moderne Browser erlaubten Webseiten nicht mehr, Webseiten zu integrieren. Bei Amazon.de sei das aber der Fall, anders als bei Amazon.com.

In den Kommentaren unter Middendorfs Blogeintrag zweifelt aber der neuseeländische Entwickler Rich Dougherty an, dass eine solche Cross-Site Request Forgery (CSRF) nur verhindert werden könnte, wenn der Server die Anfrage ganz ignoriert. Es reiche nicht, wenn der Browser die Antwort auf die Anfrage ignoriere. Der Server habe sie dann schon bearbeitet. Eine strikte CSRF sei bei einem Empfehlungssystem aber dennoch nicht sinnvoll, da der Nutzer dann durch Passwortabfragen gestört werden müsste.


Freitagsschreib... 30. Mär 2012

So kann man's auch sehen :-D

Freitagsschreib... 30. Mär 2012

"Clientseitig" und "Abhilfe" schließt sich im Userumfeld generell aus. Die einzige...

samy 29. Mär 2012

"Amazon.com könnte zur Gegenwehr den Response-Header der X-Frame-Options auf SAMEORIGIN...

Kommentieren



Anzeige

  1. Account Manager / Teamkoordinator IT Service Management (m/w)
    TUI InfoTec GmbH, Hannover
  2. Senior Auditor IT (m/w)
    Bertelsmann SE & Co. KGaA, Gütersloh
  3. Senior Data Architect Heating- and Building Systems (m/w)
    Bosch Thermotechnik GmbH, Lollar
  4. Test-Spezialist/in für Automotive IT-Systeme
    ESG Elektroniksystem- und Logistik-GmbH, München

 

Detailsuche


Folgen Sie uns
       


  1. Linshof

    Die gut versteckte Firma hinter dem Wunder-Smartphone

  2. Gericht

    Entscheidung über Haft für Dotcom kommende Woche

  3. Star Wars Episode VII

    The Force Awakens im ersten Teaser

  4. Speedport Hybrid

    Hybrid-Tarif der Telekom ohne LTE-Drosselung

  5. Docker-Alternative

    Spoon bietet virtualisierte Container für Windows

  6. Überbewertete Superrechner

    Quantencomputer hätten kaum was zu tun

  7. FAA

    Privatdrohnen gefährden Flugverkehr

  8. Großbritannien

    Pink Floyd und Arctic Monkeys sorgen für Vinyl-Boom

  9. Raumfahrt

    Hayabusa 2 startet in wenigen Tagen

  10. Winter is coming

    Game of Thrones ab Anfang Dezember 2014



Haben wir etwas übersehen?

E-Mail an news@golem.de



Smarthome: Das intelligente Haus wird nie fertig
Smarthome
Das intelligente Haus wird nie fertig
  1. Smart Home Das vernetzte Zuhause hilft beim Energiesparen
  2. Leuchtmittel Die Leuchtdiode kommt aus dem 3D-Drucker
  3. Agora, Energy@home und EEBus Einheitliche Sprache für europäische Smart Homes

Star Wars X-Wing (DOS): Flugsimulation mit R2D2 im Nacken
Star Wars X-Wing (DOS)
Flugsimulation mit R2D2 im Nacken

Android-ROM: Slimkat - viele Einstellungen und viel Schwarz
Android-ROM
Slimkat - viele Einstellungen und viel Schwarz

    •  / 
    Zum Artikel