历史记录网页检测

ISSN1000-0054CN11-2223/N清华大学学报(自然科学版)JTsinghuaUniv(Sci&Tech),2012年第52卷第10期2012,Vol.
52,No.
1019/291440-1445基于非干扰模型的浏览历史嗅探网页的检测王茜茜1,董国伟2,蔡晶晶3,梁彬1(1.
中国人民大学信息学院,北京100872;2.
中国信息安全测评中心,北京100085;3.
北京启明星辰信息安全技术有限公司,北京100193)收稿日期:2012-08-27基金项目:国家自然科学基金资助项目(61170240,61070192,61100047)作者简介:王茜茜(1986—),女(汉),山西,助理研究员.
E-mail:jessiewqq@ruc.
edu.
cn摘要:为了有效检测浏览历史记录泄露,该文通过分析现有的浏览历史嗅探技术,总结出具有嗅探行为网页的共有特征.
根据这些特征,提出了一种基于非干扰模型的浏览历史记录嗅探网页检测方法.
在该方法中,待测网页被建模为拥有不同安全级别(高安全级别和低安全级别)的输入和输出的系统.
其检测原理是:正常的网页浏览不应该违反非干扰特性,即正常的网页浏览输出不应被高安全级别的输入所影响.
在有着相同的低安全级别输入(网页代码)和不同的高安全级别输入(浏览历史)的情况下,检测系统将记录低安全级别的网页输出信息.
如果输出不同,则认为对待测网页的浏览可能会触发历史嗅探行为.
该检测方法可覆盖多种浏览历史记录嗅探技术.
基于该方法实现了相应的原型检测系统,实验结果表明:该文方法可以高效地检测出现实的网站环境中具有浏览历史记录嗅探行为的网页.
关键词:浏览历史嗅探;非干扰;URL比较中图分类号:TP309.
2文献标志码:A文章编号:1000-0054(2012)10-0001-06Browsinghistorysniffingpagedetectionbasedonanon-interferencemodelWANGQianqian1,DONGGuowei2,CAIJingjing3,LIANGBin1(1.
SchoolofInformation,RenminUniversityofChina,Beijing100872,China;2.
ChinaInformationTechnologySecurityEvaluationCenter,Beijing100085,China;3.
BeijingVenustechCybervisionCo.
Ltd.
,Beijing100193,China)Abstract:Thecommoncharacteristicsofbrowsessniffingpagesarefoundanalyzingexistingbrowsinghistorysniffingtechniques.
Abrowsinghistorysniffingpagedetectionmethodisthengivenbasedonanon-interferencemodel.
Inthismethod,thetestpageismodeledasasystemwithdifferentinputandoutput(lowandhigh)securitylevels.
Thedetectionprincipleisthenthatbrowsingofnormalwebpagesshouldnotexperienceinterference,i.
e.
normalpageoutputshouldnotbeaffectedbyhighlevelinput.
Thedetectionsystemrecordsthelowleveloutputsforthetestpagewiththesamelowlevelinputs(webpagecode)butdifferenthighlevelinputs(browsinghistory).
Iftheoutputsdifferbrowsingofthetestpagemaytriggerhistorysniffingbehavior.
Thismethodcoversawidevarietyofbrowsinghistorysniffingtechniques.
Testsshowthatthismethodcaneffectivelyandefficientlydetectbrowsinghistorysniffingpagesinrealwebsites.
Keywords:browsinghistorysniffing;non-interference;URLcomparing个人隐私泄露在近年来引起人们的广泛关注.
尤其是随着物联网、云计算等新兴产业的发展,个人账号、手机号码、通信地址、邮箱地址甚至工作单位这些个人隐私信息等,经常被恶意泄露.
个人隐私泄露带来的不仅是垃圾短信、邮件的困扰,还可能引发一连串的诈骗圈套.
本文研究的浏览器历史记录嗅探技术可导致用户在Web上的活动轨迹被泄露.
这种攻击技术使得任何网站都有能力在未取得用户许可的情况下获取浏览用户在近期是否访问过某个网站(或某些网站)的信息.
一些恶意网站在获取用户浏览历史记录信息后会进一步研究利用所窃取的相关信息,并结合社会工程学发动具有针对性的钓鱼攻击,导致更严重的经济损失.
近年来隐私泄露事件频发,并不断成为焦点事件,并且随着个人计算机和浏览器性能的提升,浏览器历史嗅探技术拥有更大的危害性.
2005年,Indiana大学Jakobsson和Stamm提出利用浏览器历史记录嗅探技术可以大幅提高钓鱼攻击的准确率[1],阐述了如何利用浏览器历史记录准确判断用户身份信息,进而发动一次成功概率很高的钓鱼攻击.
做为回应,Jakobsson和Stamm于2006年提王茜茜,等:基于非干扰模型的浏览历史嗅探网页的检测1441出了一种在服务端提供保护措施的方法[2],但这种技术需要对每一个Web应用进行部署,因此适用性并不广泛.
在2010年,Janc和Olejnik分析并比较了在现代浏览器中,利用CSS历史记录嗅探攻击的性能.
同时作者还在其文章中验证了大规模获取用户浏览器历史记录已成为了可能[3].
同年4月,火狐浏览器的技术专员Baron提出了一种可以抵御目前所有已知的、自动化用户历史嗅探防御措施,但是依然保留区分已访问与未访问链接的功能,同时允许网站开发人员控制这种区别的产生.
Firefox3.
7RCs、IE8.
0、Chrome13.
0、Safari5.
1.
4及之后的浏览器版本全部采用了这种防御技术[4].
这是抵御用户隐私泄露的一个极大地进步,但是在2011年10月CarnegieMellon大学Weinberg[5]发现使用Web交互式应用的用户依然可以在不知不觉中泄露自己的历史记录隐私信息.
同年12月,美国Michal还发现,利用IFrame装载信息泄露漏洞依然可以快速有效地检测到浏览器历史记录[6].
美国California大学SanDiego分校Jangles等使用基于污点传播的动态信息流检测方法检测了在世界排名网站Alexa中全球前50000的网站首页[7],发现46例具有浏览器历史记录嗅探行为的网站案例.
浏览历史嗅探技术日新月异,而对检测浏览历史嗅探的网页的方法极其有限,针对现有浏览历史嗅探方法,本文提取具有嗅探行为恶意网站所具有的共有特征,并据此提出基于非干扰模型的浏览历史记录嗅探网页检测方法,该方法可以覆盖目前大部分已有嗅探技术,以实现相应的自动化检测系统.
1已有威胁及威胁模型1.
1浏览器历史记录嗅探技术原则上,一个网站不应该有能力确定它的用户是否访问过其他网站.
然而不幸的是,一些看似无害的Web功能使得网页刺探历史记录成为可能.
首先介绍目前已有的历史记录嗅探.
网站的研发人员为了方便控制网页设计,发明了级联样式表(cascadingstylesheet,CSS).
CSS提供了对页面每个元素外观的控制,包括如何呈现访问和未访问链接的区别.
图1展示了一个可以改变链接外观的样本集,每一行代码是一条样式规则.
每个样式规则由选择器开始,由它控制的HTML元素都受该条规则的影响;一个单独的a选择器会选择所有的a元素,比如:超链接a:link和a:visi-ted将各自选择未访问和已访问的链接.
大括号括起的是样式规则声明,每条声明由一个属性和一个值组成.
设置text-decoration为none是没有下划线的链接;设置color会改变文本的颜色.
如果在第二条和第三条规则中设置了相同的颜色值,访问与未访问的链接在网页中将无法被区分.
浏览器默认的样式表一般通过颜色的改变区分访问与未访问的链接,但是一个Web页面的样式表可以使用任何CSS样式属性来制造这一差别.
a{text-decoration:none}a:link{color:Red}a:visited{color:Blue}图1CSS控制呈现链接的示例CSS的这一功能使得网站有可能探测到浏览历史记录.
这个漏洞最早由Clover在2002年披露在BUGTRAQ邮件列表中[8].
直到2010年浏览器供应商和安全团体才意识到这个漏洞并不只是理论上存在:Jang等[7]发现了46个流行网站,它们利用此漏洞在未得到用户允许的情况下获取历史记录.
这些网站都被确定具有刺探浏览记录和将刺探信息发送回服务器的行为.
被检测到的网站大多数使用了专门设计的JavaScript库来刺探历史记录.
这一发现引发了个人隐私泄露争议热潮.
在2010年4月,火狐研发人员Baron等[4]针对Firefox浏览器设计了一种防御策略,该策略可以阻止基于CSS样式的历史记录嗅探攻击.
然而该策略在一定程度上保留了网站开发人员区分并控制访问与未访问链接的能力.
此防御策略已被Firefox3.
7RCs、IE8.
0、Chrome13.
0、Safari5.
1.
4及之后的浏览器所接受.
在2011年,Beinberg等[4]提出了利用交互式攻击法及旁路攻击法获取用户浏览记录的方法.
Beinberg等的研究虽然难以被恶意网页大规模应用,但是却展示了获取历史记录途径的多样性,也说明浏览器彻底阻止嗅探行为所面临的重大困难.
2011年12月,Michal[6]发现利用同源策略及浏览器缓存技术也可以嗅探历史记录.
该方法原理为:在IFrame的location.
href属性在网页加载时,利用浏览器未能正确防止JavaScript代码在违反同源策略所需的时间里采集数据的漏洞,远程攻击者通过构建包含恶意JavaScript代码的Web页面,诱1442清华大学学报(自然科学版)2012,52(10)使用户解析,判断目标用户浏览器缓存中的文件,进而获取用户历史记录.
此方法具有无损性及快速性2类特征,具备再次发动大规模用户历史记录嗅探的可能性.
通过对浏览器历史记录嗅探攻击技术的介绍,可以看出恶意网页可以使用多种方式刺探用户历史记录、隐蔽性较高.
然而具有嗅探行为的网页都会存在一些共有特征,这些特征能够使其区别于正常网页.
因此可以通过对恶意网页共有特征的检测对其进行识别.
在下节中将详细介绍恶意网页具有的共有特征.
1.
2威胁模型通常说来,非法检测浏览历史被称之为历史嗅探.
本文研究发现,具有历史嗅探行为的恶意网页必然包含一些共有的基本特征.
分别包括以下:1)若恶意网站想要嗅探用户浏览历史记录,那么恶意网页嗅探的URL链接必须包含在页面代码中.
而URL链接的存在形式分为2种:一种是静态的URL链接;另一种是由网页代码动态构建的URL链接.
2)恶意网页若想达到嗅探目的,最终知晓用户浏览历史记录信息,还必须将嗅探结果传送到服务器中.
这一行为将反映在网页发送的HTTP请求输出信息中.
HTTP请求信息包括HTTP请求信息内容和HTTP时间分布序列2种.
由于网络环境的复杂性,恶意网站往往会优先使用将嗅探结果添加到HTTP请求内容的方式来传送信息.
2检测方法非干扰(non-interference)是满足机密性策略的模型所应具有的一个特性[9].
它首次被Goguen和Meseguer在1982年提出,并在随后产生较为广泛的影响.
简单说来,一个系统(这个系统可以是一个计算机系统,也可以是一个数据库系统甚至可以是一段代码)使用拥有输入和输出的模型来描述.
输入和输出分别分为公共输入/输出(低敏感)和机密输入/输出(高敏感)2个等级.
一个系统符合非干扰特性当且仅当机密输入改变不会导致公共输出内容的改变,即系统的低密级输出仅由系统低密级输入决定.
图2中的方框代表一个待测系统,它具有公共输入Pin和机密输入Sin,系统运行后将产生一个公共输出Pout和一个机密输出Sout.
假设一个系统2次运行的输入输出分别为:1)公共输入:P′in和P″in;2)机密输入:S′in和S″in;3)公共输出:P′out和P″out;4)机密输出:由于非干扰特性对机密输出Sout并没有设置任何限制,因此不予考虑.
图2非干扰模型示意图如果一个系统满足非干扰特性,则当公共输入相同时,机密输入的改变不能影响公共输出的内容,即当P′in=P″in,S′in≠S″in时P′out=P″out.
如果待测系统在运行时满足上述要求,则说明该系统满足非干扰特性.
如果系统在2次运行时拥有相同的公共输入P′in=P″in和不同的机密输入S′in≠S″in,运行结束后得到不同的公共输出P′out和P″out,则称该系统是有干扰的.
本文认为:一个不具有历史嗅探行为的网页应该具有非干扰特性,即:当用户的浏览记录发生改变而其他的网页输入信息不变时,待测网页的输出不应该发生变化.
因此,当改变待测网页机密输入的内容(即浏览历史记录)时,可以通过比较网页输出(HTTP请求信息)是否相同判断该网页是否具有嗅探行为.
在相应的检测系统中,输入输出情况应为:1)Sin:浏览器历史记录;2)Pin:除浏览器历史记录以外的所有网页输入信息;3)Pout:网页发出的HTTP请求信息;4)机密输入的改变情况为:从浏览器历史记录为空变化为浏览器历史记录包含待测页面所有的URL链接信息.
若待测网页满足非干扰特性,则当浏览器历史记录由空变化为包含有待测网页所有URL链接信息时,待测页面向外发送的HTTP请求信息不应发生变化.
若发生变化,则说明浏览历史的改变干扰了网页内容的输出,或者说该网页将机密信息在输出中以某种方式泄露,由此可知该网页具有嗅探行为.
3方法设计根据第二节提出的检测方法,本文设计并实现了相应的检测系统,检测系统的体系结构如图3所王茜茜,等:基于非干扰模型的浏览历史嗅探网页的检测1443示.
该图展示了利用非干扰检测思想检测待测网页是否具有历史嗅探行为的系统结构图.
主要检测模块分为对待测网页的2次访问以及对待测网页输出内容的比较等2部分.
为了说明这一流程,下面将会举出一个简单的例子加以说明.
图3非干扰检测系统体系结构在本例中,Alice是一名检测人员,她要确定被检测的网站http://www.
bob.
com是否具有浏览历史嗅探行为.
Alice在第一遍检测中清空了自己的浏览器历史记录数据(S′in),然后访问Bob的网站,并获取到了访问Bob网站时浏览器向外发送的一系列HTTP请求列表,在这里将其定义为HTTP请求列表P′out,同时Alice还利用工具获取到了Bob网站中所有的URL列表;在第二遍检测前,Alice将获取的Bob网站中所有的URL列表信息作为历史记录添加到浏览器历史记录中(S″in),再次访问Bob的网站,并获取浏览器向外发送的HTTP请求列表P″out;此时Alice将对2个HTTP请求列表进行对比,如果浏览器输出的2个HTTP请求列表内容相同(P′out=P″out),则说明Bob的网站满足非干扰特征,没有浏览历史记录嗅探行为,若不同(P′out≠P″out)则说明Bob网站存在针对浏览历史记录嗅探的行为.
在这里需要说明的是,Alice会采取一系列方法来保证待测网页在2次运行过程中系统输入的一致性,即在2次访问中非浏览器历史记录信息P′in和P″in要完全一致.
下面将重点讲述如何保证非浏览器历史记录信息(Pin)的一致性、如何在访问过程中获取并改变浏览器历史记录(Sin)以及对系统输出(Pout)的比较方法.
3.
1保证公共输入Pin的一致性网络环境错综复杂,会有多种因素影响系统网页的公共输入,而公共输入在检测过程中要保持一致,因此需要采取措施保证网页公共输入的一致性.
待测网页在运行过程中可能会获取多种公共输入信息:像操作系统信息、浏览器信息、访问时间信息、用户身份信息等等.
下面将分别介绍为保证这些信息的一致性,检测系统所采取的保障措施.
1)软硬件输入信息软硬件输入信息一般包括操作系统信息、浏览器信息等等,这些信息都可以通过使用统一的实验平台来对其进行一致性保障.
2)访问时间信息一些网页会利用JavaScript中的一些函数来构造随机数防止页面被代理服务器缓存,也有一些网页会利用生成的随机数选择为用户发放的广告内容.
而在检测系统中随机数作为系统公共输入,不应该在多次检测过程中有所改变.
通过实验调查,网站常常使用Math.
random()方法、Date().
getTime()方法以及一些DOM属性document.
lastModified等时间信息来生成随机数.
这些数值都会作为系统公共输入信息参与到对待检测网页非干扰特性的检测中,检测系统需要把这些变化的输入因素进行统一,使得检测系统无论何时在浏览器运行该网页时,上述提到的方法和属性都能够返回相同的数值.
采用修改浏览器源代码的方法进行相关实验,对Firefox3.
1.
6版源码进行了修改,保证了检测系统时间信息的一致性.
3)网站动态内容信息通过对实例网站的调研发现,由于浏览网页时间点的不同,待测网页中的动态内容往往会随时间而改变.
为了保证在2次检测中浏览器运行内容一致,还需要保证浏览器在多次发送请求时,对方返回的内容是相同的,即确保网页动态内容信息的一致性.
本文的检测系统采用的方法是:使用前端代理服务器将浏览器第一次访问的网页内容存储起来,在浏览器发送第二次访问请求时代理服务器返回与上次访问相同的内容.
这样就消除了待测网页内容随时间变化的可能性.
从此需求出发,检测系统利用Squid设置了缓存服务器来对第一次请求内容进行存储.
该设置保证了浏览器在不同时间访问同一网站时可获取相同的页面内容.
选用Squid3.
1.
15版本作为检测系统的代理服务器,对其关键文件和代码进行了相应的配置和修改工作.
3.
2机密输入Sin的获取及添加1)待测网页URL链接信息获取若恶意网站想要嗅探用户浏览历史记录,那么1444清华大学学报(自然科学版)2012,52(10)恶意网页嗅探的URL链接必须包含在页面代码中.
恶意网页中的URL链接可能是静态的,也有可能是在网页加载过程中动态添加的URL链接.
通过对大量网页的调查研究发现:静态的URL链接会直接表现为锚文本形式,而动态添加URL链接则表现为在网页加载过程中利用createElement方法动态添加锚文本.
对于以上2种情况,设计了Firefox插件来获取待测网页的有效URL链接.
获取待测网页所有URL集合共包括以下2个步骤:a)利用HTMLDOMlinks[]集合可返回对文档中所有Area和Link对象的引用,由此可以获取检测页面静态的URL链接;b)重写JavaScript中的createElement方法获取检测页面动态的URL链接.
2)浏览器历史记录输入在2次检测过程中,机密输入的内容会改变,因此检测系统需要对浏览器进行2项操作,分别为:设置浏览器历史记录为空和添加获取到的URL链接集合到浏览器历史记录数据库.
Firefox浏览器自身具备删除浏览器历史记录功能(在浏览器中按下CTRL+SHIFT+DEL可触发清理浏览器历史记录操作),使用此功能可以将浏览器历史记录设置为空.
但Firefox浏览器不具备添加历史记录功能.
经调研Firefox使用SQLite数据库对历史记录进行存储,因此检测系统选用了Firefox插件SQLiteManager来对浏览器历史记录进行添加和删除工作.
3.
3公共输出Pout的获取及比较对于判断待检测网页是否符合非干扰特性时,需要在输入为空的浏览器历史记录以及输入为非空的浏览器历史记录2种情况下,分别获取待测网页向外发送的HTTP请求信息.
如果在2次检测过程中发现待检测网页向外发送的HTTP请求信息Pout的内容相同,则该网页满足非干扰特性,没有嗅探行为;若在2次检测中Pout的内容不同,则说明机密信息(浏览器历史记录)的改变影响了公共输出的结果,亦即说明该网页代码中存在嗅探用户浏览历史记录的行为.
待检测网页向外发送的HTTP请求信息Pout主要包含2项内容:第一种是显式信息,即待测网站向外发送的HTTP的请求内容;第二种是隐式信息,即待测网站向外发送的HTTP请求信息的时间序列.
恶意网站不但可以把嗅探到的机密信息通过添加到HTTP相关信息发送出去,还可以通过控制网站向外发送的HTTP请求信息的时间序列来向外传递信息.
在本文的检测系统中,首先实现了对HTTP请求内容的比较.
在以后的工作中,将待测网站向外发送的HTTP请求信息时间序列的比较考虑在内.
检测系统使用Firefox的插件TamperData捕获待测网页在2次检测过程中向外发送的HTTP请求信息内容,并将浏览器发送的HTTP请求分别保存成为XML格式的文档.
编写程序对这2个文档进行相应的解析,以此判断公共输出的一致性.
检测程序会对HTTP请求头的URL、请求头的种类、Cookie信息以及POST请求发送的各项参数逐一进行比较,最终得出该检测网站是否具有浏览历史记录嗅探行为.
3.
4系统自动化检测实现上述方法涉及到的工具操作和程序处理步骤较多,如果通过手工方式进行检测比较浪费时间,不利于开展大规模检测实验.
寻求一种有效的集成方式,能够将上述检测过程自动化实现,将会具备更大的意义.
通过调研比对,检测系统最终选用开源工具XdoTool工具[10]来实现自动化检测.
XdoTool工具主要功能为模拟键盘输入、鼠标活动以及移动和调整窗口大小等.
在对待测网页是否具有历史记录嗅探行为的检测中,检测系统通过XdoTool工具与Shell脚本配合将整体的检测流程自动化衔接,无需人工参与.
在本文中,基于非干扰模型的浏览历史嗅探网页检测系统的自动化检测基本流程图如图4所示.
4实验验证从权威的网站排名网站Alexa随机挑选了10个国家,分别取其排名前10的网站作为检测目标,利用该检测系统检测这些网站是否具有历史记录嗅探行为.
实验发现爱沙尼亚的NETI(neti.
ee)网站具有浏览历史嗅探行为.
实验获取到了该网站首页上的135条URL信息,分别在清空浏览器历史记录和将135条作为浏览器历史记录2种情况下获取浏览器发出的HT-TP请求.
检测发现:在2次检测中浏览器都向外发出了16条请求,其中一条HTTP请求在2次检测分别输出了内容不同的信息.
经查看发现该请求URL的一项参数在2次检测过程中分别使用不同王茜茜,等:基于非干扰模型的浏览历史嗅探网页的检测1445图4自动化检测基本流程图的名称传递了相同参数(具体内容为:p=e1ba8bb7bc7bd7和k=e1ba8bb7bc7bd7),由此断定浏览记录的改变干扰了该网页的输出.
按照非干扰检测思想,该网页应该具有嗅探行为.
对该网站JavaScript代码分析表明,在这条HTTP请求URL中的参数p和k分别传递了用户未访问和访问过的URL链接信息.
同时在该网站的相关代码中确认了该网站具有浏览历史嗅探行为.
此外,whattheinternetknowsaboutyou.
com是美国研究人员开发的用于展示浏览历史记录嗅探技术的示例网站,本文所设计的检测系统对其嗅探行为同样能够做出正确的判断.
这些检测结果均验证了本文检测系统的有效性.
在Intel(R)Core(TM)2CPU(1.
86GHz)及2GB内存的硬件环境下,该检测系统对一个待检测网站的检测时间大致为8min,性能在可承受范围内.
5结论本文提出具有历史嗅探行为网站的共有行为特征.
并根据这些特征提出基于非干扰模型的浏览历史嗅探网页检测方法.
该方法在保证对网页检测环境相同的2次访问中,通过改变高密级输入的方法比较低密级输出的HTTP请求结果是否发生改变.
据此判断待测网页是否具有浏览历史嗅探行为.
根据该方法实现了自动化检测系统.
在对真实网页的检测中发现了具有实际嗅探行为的网站.
参考文献(References)[1]JakobssonM.
Pishingforclues[Z/OL].
(2012-01-22),https://www.
indiana.
edu/~phishing/browser-recon.
[2]JakobssonM,StammS.
Invasivebrowsersniffingandcountermeasures[C]//Proceedingsofthe15thInternationalConferenceonWorldWideWeb.
NewYork,USA:ACMPress,2006:523-532.
[3]JancA,OlejnikL.
Feasibilityandreal-worldimplicationsofWebbrowserhistorydetection.
[C]//ProceedingsofW2SP2010,IEEEComputerSociety.
Oakland,USA:IEEEPress,2010.
[4]BaronLD.
PreventingattacksonausershistorythroughCSS:Visitedselectors[Z/OL].
(2011-12-12),http://dbaron.
org/mozilla/visited-privacy.
[5]WeinbergZ,ChenE,JayaramanY.
Istillknowwhatyouvisitedlastsummer:Leakingbrowsinghistoryviauserinteractionandsidechannelattacks[C]//ProceedingsoftheIEEESymposiumonSecurityandPrivacy.
Oakland,USA,2011:147-161.
[6]NationalCyber-AlertSystem.
Iframeloadinginformationleakageholes[Z/OL].
(2012-01-22),http://web.
nvd.
nist.
gov/view/vuln/detailvulnId=CVE-2011-4691.
[7]JangD,JhalaR,LernerS,etal.
Anempiricalstudyofprivacy-violatinginformationflowsinJavaScriptwebapplications[C]//Proceedingsofthe17thACMConferenceonComputerandCommunicationsSecurity.
Chicago,USA:ACMPress,2010.
[8]CloverA.
CSSvisitedpagesdisclosure.
BUGTRAQmailinglistposting[Z/OL].
(2011-12-01),http://seclists.
org/bugtraq/2002/Feb/271.
[9]WikipediaFoundationInc.
Non-interference(security)[Z/OL].
(2012-03-01),http://en.
wikipedia.
org/wiki/Non-interference_%28security%29.
[10]SisselJ.
XdoTool—Fakekeyboard/mouseinput,Windowmanagement,andmore.
[Z/OL].
(2012-03-22),http://www.
semicomplete.
com/projects/xdotool/.