Amazon.com: Produktempfehlungen lassen sich manipulieren

Mit einem einfachen Trick können Amazons Produktempfehlungen manipuliert werden. Der jeweilige Kunde bekommt davon nichts mit.

Artikel veröffentlicht am ,
Buchempfehlungen nach Besuch einer manipulierten Webseite
Buchempfehlungen nach Besuch einer manipulierten Webseite (Bild: Amazon.com/Screenshot: Golem.de)

Eine manipulierte Webseite reicht aus, um Amazon.com vorzugaukeln, dass ein Kunde Interesse an einem bestimmten Produkt respektive einer Produktgruppe hat. Der Wirtschaftsinformatiker Felix Middendorf zeigt in seinem Blog Diskurswelt, wie das geht: Mit einem versteckten iFrame wird ein HTTP-GET-Request auf eine Produktwebseite ausgeführt.

In diesem Fall ist es ein Buch, "How to win friends and influence people" von Dale Carnegie. Amazon geht davon aus, dass der Nutzer an dem Buch interessiert ist und zeigt es beim nächsten Besuch der Homepage oder der Empfehlungsliste mit an. "Ich überlasse mögliche bösartige Anwendungen eurer Vorstellung", schreibt Middendorf.

  • Nur ein Test - mit verstecktem iFrame, das eine Produktwebseite von Amazon.com abruft... (Screenshot: Golem.de)
  • ... und die Empfehlung - das Buch links - findet sich dann auf der Amazon.com-Homepage. (Screenshot: Golem.de)
Nur ein Test - mit verstecktem iFrame, das eine Produktwebseite von Amazon.com abruft... (Screenshot: Golem.de)

Amazon.com könnte zur Gegenwehr den Response-Header der X-Frame-Options auf SAMEORIGIN einstellen, schlägt Middendorf vor. Moderne Browser erlaubten Webseiten nicht mehr, Webseiten zu integrieren. Bei Amazon.de sei das aber der Fall, anders als bei Amazon.com.

In den Kommentaren unter Middendorfs Blogeintrag zweifelt aber der neuseeländische Entwickler Rich Dougherty an, dass eine solche Cross-Site Request Forgery (CSRF) nur verhindert werden könnte, wenn der Server die Anfrage ganz ignoriert. Es reiche nicht, wenn der Browser die Antwort auf die Anfrage ignoriere. Der Server habe sie dann schon bearbeitet. Eine strikte CSRF sei bei einem Empfehlungssystem aber dennoch nicht sinnvoll, da der Nutzer dann durch Passwortabfragen gestört werden müsste.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Freitagsschreib... 30. Mär 2012

So kann man's auch sehen :-D

Freitagsschreib... 30. Mär 2012

"Clientseitig" und "Abhilfe" schließt sich im Userumfeld generell aus. Die einzige...

samy 29. Mär 2012

"Amazon.com könnte zur Gegenwehr den Response-Header der X-Frame-Options auf SAMEORIGIN...



Aktuell auf der Startseite von Golem.de
Künstliche Intelligenz
So funktioniert ChatGPT

Das mächtige Sprachmodell ChatGPT erzeugt Texte, die sich kaum von denen menschlicher Autoren unterscheiden lassen. Wir erklären die Technologie hinter dem Hype.
Ein Deep Dive von Helmut Linde

Künstliche Intelligenz: So funktioniert ChatGPT
Artikel
  1. Streamer: Rocket Beans muss in Kurzarbeit
    Streamer
    Rocket Beans muss in Kurzarbeit

    Der Gaming-Kanal Rocket Beans hat wirtschaftliche Schwierigkeiten. Mitarbeiter müssen in Kurzarbeit, einige Sendungen entfallen.

  2. i4: BMW lässt sich am Berg nicht updaten
    i4
    BMW lässt sich am Berg nicht updaten

    Die Besitzerin eines BMW i4 hat die Fehlermeldung entdeckt, ihr Parkplatz sei zu steil für ein Update der Bordsoftware.

  3. Volker Wissing: Schienengüterverbände sind gegen Autobahnausbau
    Volker Wissing
    Schienengüterverbände sind gegen Autobahnausbau

    Für den Güterverkehr sollte vermehrt auf die Bahn gesetzt werden und nicht auf mehr LKW. Für die gebe es eh nicht genug Fahrer, meinen Verbände.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RAM im Preisrutsch - neue Tiefstpreise! • Powercolor RX 7900 XTX 1.195€ • AMD Ryzen 7 5800X3D 329€ • Nur noch heute TV-Sale mit bis 77% Rabatt bei Otto • Lenovo Tab P11 Plus 249€ • MindStar: Intel Core i7 13700K 429€ • Logitech G915 Lightspeed 219,89€ • PCGH Cyber Week [Werbung]
    •  /