Buchempfehlungen nach Besuch einer manipulierten Webseite
Buchempfehlungen nach Besuch einer manipulierten Webseite (Bild: Amazon.com/Screenshot: Golem.de)

Amazon.com Produktempfehlungen lassen sich manipulieren

Mit einem einfachen Trick können Amazons Produktempfehlungen manipuliert werden. Der jeweilige Kunde bekommt davon nichts mit.

Anzeige

Eine manipulierte Webseite reicht aus, um Amazon.com vorzugaukeln, dass ein Kunde Interesse an einem bestimmten Produkt respektive einer Produktgruppe hat. Der Wirtschaftsinformatiker Felix Middendorf zeigt in seinem Blog Diskurswelt, wie das geht: Mit einem versteckten iFrame wird ein HTTP-GET-Request auf eine Produktwebseite ausgeführt.

In diesem Fall ist es ein Buch, "How to win friends and influence people" von Dale Carnegie. Amazon geht davon aus, dass der Nutzer an dem Buch interessiert ist und zeigt es beim nächsten Besuch der Homepage oder der Empfehlungsliste mit an. "Ich überlasse mögliche bösartige Anwendungen eurer Vorstellung", schreibt Middendorf.

  • Nur ein Test - mit verstecktem iFrame, das eine Produktwebseite von Amazon.com abruft... (Screenshot: Golem.de)
  • ... und die Empfehlung - das Buch links - findet sich dann auf der Amazon.com-Homepage. (Screenshot: Golem.de)
Nur ein Test - mit verstecktem iFrame, das eine Produktwebseite von Amazon.com abruft... (Screenshot: Golem.de)

Amazon.com könnte zur Gegenwehr den Response-Header der X-Frame-Options auf SAMEORIGIN einstellen, schlägt Middendorf vor. Moderne Browser erlaubten Webseiten nicht mehr, Webseiten zu integrieren. Bei Amazon.de sei das aber der Fall, anders als bei Amazon.com.

In den Kommentaren unter Middendorfs Blogeintrag zweifelt aber der neuseeländische Entwickler Rich Dougherty an, dass eine solche Cross-Site Request Forgery (CSRF) nur verhindert werden könnte, wenn der Server die Anfrage ganz ignoriert. Es reiche nicht, wenn der Browser die Antwort auf die Anfrage ignoriere. Der Server habe sie dann schon bearbeitet. Eine strikte CSRF sei bei einem Empfehlungssystem aber dennoch nicht sinnvoll, da der Nutzer dann durch Passwortabfragen gestört werden müsste.


Freitagsschreib... 30. Mär 2012

So kann man's auch sehen :-D

Freitagsschreib... 30. Mär 2012

"Clientseitig" und "Abhilfe" schließt sich im Userumfeld generell aus. Die einzige...

samy 29. Mär 2012

"Amazon.com könnte zur Gegenwehr den Response-Header der X-Frame-Options auf SAMEORIGIN...

Kommentieren



Anzeige

  1. Software-Entwickler (m/w) NC-Tools
    DR. JOHANNES HEIDENHAIN GmbH, Traunreut
  2. ERP Systembetreuer (m/w) für Microsoft Dynamics NAV und Datenbanklösungen
    Elektrokeramik Sonneberg GmbH, Sonneberg
  3. Application Manager für Global Ordering (m/w)
    Daimler AG, Stuttgart
  4. OpCon-Programmierer (m/w)
    Scheugenpflug AG, Neustadt an der Donau

 

Detailsuche


Top-Angebote
  1. VORBESTELLBAR: Xbox One 1TB Limited Edition inkl. Forza Motorsport 6
    449,00€ - Release 18.09.
  2. NEU: Filmfest - Eine Woche reduzierte Filme, Serien & Box-Sets
    (z. B. 5 Blu-rays für 30 EUR u. a. Terminator 3, Last Action Hero, Salt, Underworld Evolution...
  3. NEU: Driver: San Francisco Deluxe Edition
    11,99€

 

Weitere Angebote


Folgen Sie uns
       


  1. Streaming

    Parallele Benutzung von Apple Music stoppt Wiedergabe

  2. Erneuter Gewinnrückgang

    Samsung verschätzt sich bei Galaxy S6 und S6 Edge

  3. Store-Zubehör

    Anbieter müssen Designvorgaben von Apple einhalten

  4. US-Polizei

    iPhone-Hüllen können zur tödlichen Gefahr werden

  5. City-Surfer

    VW will elektrisches Dreirad bauen

  6. Ridewith

    Google steigt ins Mitfahrgeschäft ein

  7. Media Broadcast

    DVB-T2 verspricht exklusive Inhalte in 1080p/50

  8. Airbus E-Fan 2.0

    In 38 Minuten nach Calais

  9. Square Enix

    Mac-Version von Final Fantasy 14 zurückgezogen

  10. Smartphone

    Oneplus Two soll unter 450 US-Dollar kosten



Haben wir etwas übersehen?

E-Mail an news@golem.de



Musik-Streaming-Dienste: Apple Music klingt wie alle anderen
Musik-Streaming-Dienste
Apple Music klingt wie alle anderen
  1. Apple Music iCloud verpasst der eigenen Musik einen Kopierschutz
  2. Apple Music Beats 1 kann auch mit Android-Geräten gehört werden
  3. Musik-Streaming Apple einigt sich offenbar mit Indie-Labels

BND-Selektorenaffäre: Die Hasen vom Bundeskanzleramt
BND-Selektorenaffäre
Die Hasen vom Bundeskanzleramt
  1. Geheimdienst NSA spähte Dutzende Telefone der Regierung Brasiliens aus
  2. Ex-Minister Pofalla NSA-Affäre war doch nicht beendet
  3. BND-Sonderermittler Graulich Zen-Buddhist mit Billig-Smartphone und Virenscanner

Intel Compute Stick im Test: Der mit dem Lüfter streamt
Intel Compute Stick im Test
Der mit dem Lüfter streamt
  1. Management Intel-Präsidentin tritt zurück und Mobile-Chef muss gehen
  2. FPGAs Intel wird Kauf von Altera heute ankündigen
  3. FPGAs Intel will FPGA-Experten Altera doch noch kaufen

  1. Re: 2nd World Problems

    Sharra | 08:41

  2. Re: Kundenliste

    v3nd3774 | 08:38

  3. Re: Gesunder Menschenverstand...

    Chantalle47 | 08:37

  4. Re: Verrückt

    Sharra | 08:36

  5. Re: Sie versuchen es...

    DY | 08:34


  1. 08:47

  2. 08:34

  3. 08:30

  4. 08:18

  5. 07:35

  6. 07:10

  7. 18:12

  8. 18:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel