Abo
  • Services:
Anzeige
Buchempfehlungen nach Besuch einer manipulierten Webseite
Buchempfehlungen nach Besuch einer manipulierten Webseite (Bild: Amazon.com/Screenshot: Golem.de)

Amazon.com: Produktempfehlungen lassen sich manipulieren

Buchempfehlungen nach Besuch einer manipulierten Webseite
Buchempfehlungen nach Besuch einer manipulierten Webseite (Bild: Amazon.com/Screenshot: Golem.de)

Mit einem einfachen Trick können Amazons Produktempfehlungen manipuliert werden. Der jeweilige Kunde bekommt davon nichts mit.

Eine manipulierte Webseite reicht aus, um Amazon.com vorzugaukeln, dass ein Kunde Interesse an einem bestimmten Produkt respektive einer Produktgruppe hat. Der Wirtschaftsinformatiker Felix Middendorf zeigt in seinem Blog Diskurswelt, wie das geht: Mit einem versteckten iFrame wird ein HTTP-GET-Request auf eine Produktwebseite ausgeführt.

Anzeige

In diesem Fall ist es ein Buch, "How to win friends and influence people" von Dale Carnegie. Amazon geht davon aus, dass der Nutzer an dem Buch interessiert ist und zeigt es beim nächsten Besuch der Homepage oder der Empfehlungsliste mit an. "Ich überlasse mögliche bösartige Anwendungen eurer Vorstellung", schreibt Middendorf.

  • Nur ein Test - mit verstecktem iFrame, das eine Produktwebseite von Amazon.com abruft... (Screenshot: Golem.de)
  • ... und die Empfehlung - das Buch links - findet sich dann auf der Amazon.com-Homepage. (Screenshot: Golem.de)
Nur ein Test - mit verstecktem iFrame, das eine Produktwebseite von Amazon.com abruft... (Screenshot: Golem.de)

Amazon.com könnte zur Gegenwehr den Response-Header der X-Frame-Options auf SAMEORIGIN einstellen, schlägt Middendorf vor. Moderne Browser erlaubten Webseiten nicht mehr, Webseiten zu integrieren. Bei Amazon.de sei das aber der Fall, anders als bei Amazon.com.

In den Kommentaren unter Middendorfs Blogeintrag zweifelt aber der neuseeländische Entwickler Rich Dougherty an, dass eine solche Cross-Site Request Forgery (CSRF) nur verhindert werden könnte, wenn der Server die Anfrage ganz ignoriert. Es reiche nicht, wenn der Browser die Antwort auf die Anfrage ignoriere. Der Server habe sie dann schon bearbeitet. Eine strikte CSRF sei bei einem Empfehlungssystem aber dennoch nicht sinnvoll, da der Nutzer dann durch Passwortabfragen gestört werden müsste.


eye home zur Startseite
Freitagsschreib... 30. Mär 2012

So kann man's auch sehen :-D

Freitagsschreib... 30. Mär 2012

"Clientseitig" und "Abhilfe" schließt sich im Userumfeld generell aus. Die einzige...

samy 29. Mär 2012

"Amazon.com könnte zur Gegenwehr den Response-Header der X-Frame-Options auf SAMEORIGIN...



Anzeige

Stellenmarkt
  1. über Robert Half Technology, München
  2. Bosch Thermotechnik GmbH, Wernau
  3. vwd TransactionSolutions AG, Frankfurt am Main
  4. über Robert Half Technology, Göppingen


Anzeige
Spiele-Angebote
  1. 399,00€ (Lieferung am 10. November)
  2. 54,85€
  3. 349,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Microsoft

    Besucher können die Hololens im Kennedy Space Center nutzen

  2. MacOS 10.12

    Fujitsu warnt vor der Nutzung von Scansnap unter Sierra

  3. IOS 10.0.2

    Apple beseitigt Ausfälle der Lightning-Audio-Kontrollen

  4. Galaxy Note 7

    Samsung tauscht das Smartphone vor der Haustür aus

  5. Falcon-9-Explosion

    SpaceX grenzt Explosionsursache ein

  6. Die Woche im Video

    Schneewittchen und das iPhone 7

  7. 950 Euro

    Abmahnwelle zu Pornofilm-Filesharing von Betrügern

  8. Jailbreak

    19-Jähriger will iPhone-7-Exploit für sich behalten

  9. Alle drei Netze

    Ericsson und Icomera bauen besseres Bahn-WLAN

  10. Oculus Rift

    Palmer Luckey im Netz als Trump-Unterstützer geoutet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Starship Technologies: Es wird immer nach Diebstahl und Vandalismus gefragt
Starship Technologies
Es wird immer nach Diebstahl und Vandalismus gefragt
  1. Recore Mein Buddy, der Roboter
  2. Weltraumforschung DFKI-Roboter soll auf dem Jupitermond Europa abtauchen
  3. Softrobotik Oktopus-Roboter wird mit Gas angetrieben

PES 2017 im Test: Vom Feeling her ein gutes Gefühl
PES 2017 im Test
Vom Feeling her ein gutes Gefühl

Classic Computing 2016: Wie Nordhorn für ein Wochenende zu Nerdhome wurde
Classic Computing 2016
Wie Nordhorn für ein Wochenende zu Nerdhome wurde
  1. Fifa 17 Was macht Dragon Age in meiner Fifa-Demo?
  2. Feuerwerkwettbewerb Pyronale 2016 Erst IT macht prächtige Feuerwerke möglich
  3. Flüge gecancelt Delta Airlines weltweit durch Computerpanne lahmgelegt

  1. Re: Treiber Qualität?

    Stebs | 10:46

  2. Re: 30 Sekunden Werbung für ein 4-min Video?!

    lgo | 10:31

  3. Unterstreicht die Mentalitaet in der Apple...

    Unwichtig | 10:14

  4. Re: Quatsch, veräppelt doch die Jugend

    Plasma | 10:10

  5. Re: Da fehlt was!!!

    basharan | 10:06


  1. 12:51

  2. 11:50

  3. 11:30

  4. 11:13

  5. 11:03

  6. 09:00

  7. 18:52

  8. 17:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel