Anzeige
Buchempfehlungen nach Besuch einer manipulierten Webseite
Buchempfehlungen nach Besuch einer manipulierten Webseite (Bild: Amazon.com/Screenshot: Golem.de)

Amazon.com Produktempfehlungen lassen sich manipulieren

Mit einem einfachen Trick können Amazons Produktempfehlungen manipuliert werden. Der jeweilige Kunde bekommt davon nichts mit.

Anzeige

Eine manipulierte Webseite reicht aus, um Amazon.com vorzugaukeln, dass ein Kunde Interesse an einem bestimmten Produkt respektive einer Produktgruppe hat. Der Wirtschaftsinformatiker Felix Middendorf zeigt in seinem Blog Diskurswelt, wie das geht: Mit einem versteckten iFrame wird ein HTTP-GET-Request auf eine Produktwebseite ausgeführt.

In diesem Fall ist es ein Buch, "How to win friends and influence people" von Dale Carnegie. Amazon geht davon aus, dass der Nutzer an dem Buch interessiert ist und zeigt es beim nächsten Besuch der Homepage oder der Empfehlungsliste mit an. "Ich überlasse mögliche bösartige Anwendungen eurer Vorstellung", schreibt Middendorf.

  • Nur ein Test - mit verstecktem iFrame, das eine Produktwebseite von Amazon.com abruft... (Screenshot: Golem.de)
  • ... und die Empfehlung - das Buch links - findet sich dann auf der Amazon.com-Homepage. (Screenshot: Golem.de)
Nur ein Test - mit verstecktem iFrame, das eine Produktwebseite von Amazon.com abruft... (Screenshot: Golem.de)

Amazon.com könnte zur Gegenwehr den Response-Header der X-Frame-Options auf SAMEORIGIN einstellen, schlägt Middendorf vor. Moderne Browser erlaubten Webseiten nicht mehr, Webseiten zu integrieren. Bei Amazon.de sei das aber der Fall, anders als bei Amazon.com.

In den Kommentaren unter Middendorfs Blogeintrag zweifelt aber der neuseeländische Entwickler Rich Dougherty an, dass eine solche Cross-Site Request Forgery (CSRF) nur verhindert werden könnte, wenn der Server die Anfrage ganz ignoriert. Es reiche nicht, wenn der Browser die Antwort auf die Anfrage ignoriere. Der Server habe sie dann schon bearbeitet. Eine strikte CSRF sei bei einem Empfehlungssystem aber dennoch nicht sinnvoll, da der Nutzer dann durch Passwortabfragen gestört werden müsste.


eye home zur Startseite
Freitagsschreib... 30. Mär 2012

So kann man's auch sehen :-D

Freitagsschreib... 30. Mär 2012

"Clientseitig" und "Abhilfe" schließt sich im Userumfeld generell aus. Die einzige...

samy 29. Mär 2012

"Amazon.com könnte zur Gegenwehr den Response-Header der X-Frame-Options auf SAMEORIGIN...

Kommentieren



Anzeige

  1. PHP-Entwickler (m/w)
    epubli GmbH, Berlin
  2. IT Supporter 2nd Level (m/w)
    ADP Employer Services GmbH, Dresden
  3. Diagnose Autor/in OES
    Robert Bosch GmbH, Plochingen
  4. Projektmanager (m/w) nationale und internationale Projekte
    PSI AG, Aschaffenburg

Detailsuche



Anzeige
Spiele-Angebote
  1. VORBESTELLBAR: Overwatch - Collector's Edition [PC/PS4/Xbox 360]
    129,99€ (Vorbesteller-Preisgarantie)
  2. VORBESTELLBAR: DEUS EX: MANKIND DIVIDED - Collector's Edition (PC/PS4/Xbox One)
    119,00€/129,00€ (Vorbesteller-Preisgarantie)
  3. Playstation 4 500 GB Konsole
    275,00€ inkl. Versand (Vergleichspreis ab 315€)

Weitere Angebote


Folgen Sie uns
       


  1. Skylake-R

    Intel veröffentlicht 65-Watt-Quadcores mit GT4e-Grafik

  2. Brasilien

    Whatsapp schon wieder blockiert

  3. Microsoft

    SQL Server 2016 steht ab dem 1. Juni bereit

  4. Netzpolitik

    Edward Snowden ist genervt

  5. Elektroauto

    BMW vergrößert die Reichweite des i3 deutlich

  6. Patentklagen

    Nvidia und Samsung legen Rechtsstreit bei

  7. 100 MBit/s

    Telekom-Chef nennt Diskussionskultur zu Vectoring vergiftet

  8. Flyboard Air

    Neuer Weltrekord im Hoverboarden

  9. Pre-Touch

    Microsofts neues Display reagiert vor der Berührung

  10. Mobilcom-Debitel

    DVB-T2 in 1080p wird Freenet TV heißen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Snowden: Natural Born Knüller
Snowden
Natural Born Knüller
  1. NSA-Affäre BND-Chef Schindler muss offenbar gehen
  2. Panama-Papers 2,6 TByte Daten zu dubiosen Offshore-Firmen
  3. ZDFInfo am Karfreitag Atari, Chaos Computer Club und Killerspiele

Cloudready im Test: Ein altes Gerät günstig zum Chromebook machen
Cloudready im Test
Ein altes Gerät günstig zum Chromebook machen
  1. Acer-Portfolio 2016 Vom 200-Hz-Curved-Display bis zum 15-Watt-passiv-Detachable

Das Flüstern der Alten Götter im Test: Düstere Evolution
Das Flüstern der Alten Götter im Test
Düstere Evolution
  1. E-Sports ESL schließt Team Youporn aus
  2. Blizzard Hearthstone-Cheat-Tools verteilen Malware
  3. Blizzard Hearthstone sperrt alte Karten im neuen Standardmodus

  1. Re: Ist so ein Gebaren auch aus Amazon USA bekannt..?

    Unix_Linux | 02:26

  2. Also kein DVB-T am Laptop mehr

    Keridalspidialose | 02:25

  3. Re: Besitzer von DVB-T2?

    HerrMannelig | 02:20

  4. Re: Warum eigentlich nur 64GB RAM max?

    Moe479 | 01:51

  5. Re: soc ...

    Moe479 | 01:48


  1. 00:35

  2. 00:35

  3. 21:22

  4. 18:56

  5. 18:42

  6. 18:27

  7. 18:17

  8. 18:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel