Abo
  • Services:
Anzeige
Buchempfehlungen nach Besuch einer manipulierten Webseite
Buchempfehlungen nach Besuch einer manipulierten Webseite (Bild: Amazon.com/Screenshot: Golem.de)

Amazon.com: Produktempfehlungen lassen sich manipulieren

Buchempfehlungen nach Besuch einer manipulierten Webseite
Buchempfehlungen nach Besuch einer manipulierten Webseite (Bild: Amazon.com/Screenshot: Golem.de)

Mit einem einfachen Trick können Amazons Produktempfehlungen manipuliert werden. Der jeweilige Kunde bekommt davon nichts mit.

Eine manipulierte Webseite reicht aus, um Amazon.com vorzugaukeln, dass ein Kunde Interesse an einem bestimmten Produkt respektive einer Produktgruppe hat. Der Wirtschaftsinformatiker Felix Middendorf zeigt in seinem Blog Diskurswelt, wie das geht: Mit einem versteckten iFrame wird ein HTTP-GET-Request auf eine Produktwebseite ausgeführt.

Anzeige

In diesem Fall ist es ein Buch, "How to win friends and influence people" von Dale Carnegie. Amazon geht davon aus, dass der Nutzer an dem Buch interessiert ist und zeigt es beim nächsten Besuch der Homepage oder der Empfehlungsliste mit an. "Ich überlasse mögliche bösartige Anwendungen eurer Vorstellung", schreibt Middendorf.

  • Nur ein Test - mit verstecktem iFrame, das eine Produktwebseite von Amazon.com abruft... (Screenshot: Golem.de)
  • ... und die Empfehlung - das Buch links - findet sich dann auf der Amazon.com-Homepage. (Screenshot: Golem.de)
Nur ein Test - mit verstecktem iFrame, das eine Produktwebseite von Amazon.com abruft... (Screenshot: Golem.de)

Amazon.com könnte zur Gegenwehr den Response-Header der X-Frame-Options auf SAMEORIGIN einstellen, schlägt Middendorf vor. Moderne Browser erlaubten Webseiten nicht mehr, Webseiten zu integrieren. Bei Amazon.de sei das aber der Fall, anders als bei Amazon.com.

In den Kommentaren unter Middendorfs Blogeintrag zweifelt aber der neuseeländische Entwickler Rich Dougherty an, dass eine solche Cross-Site Request Forgery (CSRF) nur verhindert werden könnte, wenn der Server die Anfrage ganz ignoriert. Es reiche nicht, wenn der Browser die Antwort auf die Anfrage ignoriere. Der Server habe sie dann schon bearbeitet. Eine strikte CSRF sei bei einem Empfehlungssystem aber dennoch nicht sinnvoll, da der Nutzer dann durch Passwortabfragen gestört werden müsste.


eye home zur Startseite
Freitagsschreib... 30. Mär 2012

So kann man's auch sehen :-D

Freitagsschreib... 30. Mär 2012

"Clientseitig" und "Abhilfe" schließt sich im Userumfeld generell aus. Die einzige...

samy 29. Mär 2012

"Amazon.com könnte zur Gegenwehr den Response-Header der X-Frame-Options auf SAMEORIGIN...



Anzeige

Stellenmarkt
  1. Habermaaß GmbH, Bad Rodach
  2. KfW Bankengruppe, Frankfurt am Main
  3. Robert Bosch GmbH, Böblingen
  4. Paulinenpflege Winnenden, Winnenden


Anzeige
Blu-ray-Angebote
  1. (u. a. Stephen Kings Es 8,97€, Serpico 8,97€, Annabelle 8,84€)

Folgen Sie uns
       


  1. U2F

    Yubico bringt winzigen Yubikey für USB-C

  2. Windows 10

    Windows Store wird zum Microsoft Store mit Hardwareangeboten

  3. Kabelnetz

    Eazy senkt Preis für 50-MBit/s-Zugang im Unitymedia-Netz

  4. Nintendo

    Super Mario Run wird umfangreicher und günstiger

  5. Seniorenhandys im Test

    Alter, sind die unpraktisch!

  6. PixelNN

    Mit Machine Learning unscharfe Bilder erkennbar machen

  7. Mobilfunk

    O2 in bayerischer Gemeinde seit 18 Tagen gestört

  8. Elektroauto

    Tesla schafft günstigstes Model S ab

  9. Bundestagswahl 2017

    IT-Probleme verzögerten Stimmübermittlung

  10. Fortnite Battle Royale

    Entwickler von Pubg sorgt sich wegen Unreal Engine



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Olympus Tough TG5 vs. Nikon Coolpix W300: Die Schlechtwetter-Kameras
Olympus Tough TG5 vs. Nikon Coolpix W300
Die Schlechtwetter-Kameras
  1. Mobilestudio Pro 16 im Test Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  2. HP Z8 Workstation Mit 3 TByte RAM und 56 CPU-Kernen komplexe Bilder rendern
  3. Meeting Owl KI-Eule erkennt Teilnehmer in Meetings

VR: Was HTC, Microsoft und Oculus mit Autos zu tun haben
VR
Was HTC, Microsoft und Oculus mit Autos zu tun haben
  1. Zukunft des Autos "Unsere Elektrofahrzeuge sollen typische Porsche sein"
  2. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  3. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor

Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

  1. Re: Seit 6 Monaten Win10, aber ...

    genussge | 15:27

  2. Re: ¤3000 bei ¤70k.... macht keinen grossen...

    JackIsBlack | 15:27

  3. 67W im Idle - Aua

    Quantium40 | 15:26

  4. Re: Typich das Veralten der Massen

    Trollversteher | 15:22

  5. Re: Interessant [...] ist immer die Kapazität des...

    Trollversteher | 15:20


  1. 15:31

  2. 13:28

  3. 13:17

  4. 12:25

  5. 12:02

  6. 11:58

  7. 11:34

  8. 11:19


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel