Une faille sur la pseudo-classe :visited

La classe doit se limiter désormais aux propriétés de définition de couleurs. Cette restriction imposée par les navigateurs Firefox, Chrome et Safari est due à une vulnérabilité.

Publié le 03/06/2010

	En savoir plus
	Tutoriel : Une classe conditionnelle pour IE 6 et 7

La toute dernière génération de navigateurs (Firefox 3.7, Chrome 5, Safari 4.0.5) vient subitement de considérablement restreindre l'éventail des propriétés CSS applicables à la pseudo-classe :visited, vieille comme le Web et désignant un lien que l'on a déjà suivi.

Les seules propriétés dorénavant tolérées sur cet élément se limitent à la définition des couleurs (color, background-color, border-color, outline-color, column-rule-color, fill, et stroke).

Cette restriction imposée par les navigateurs est due à une vulnérabilité de :visited découverte très récemment et permettant d'exploiter l'historique de navigation d'un visiteur. Le détail de cette faille est expliqué sur le blog du développer principal de Mozilla, David Baron.

Il est possible de récupérer un grand nombre d'informations véhiculées via les URL visitées

En traitant ces données à l'aide des technologies dynamiques actuelles, il devient possible de récupérer un grand nombre d'informations véhiculées via les URL visitées, et de traiter un vaste champ de données personnelles tels que :

les visites de liens dits "sensibles" (banques, sites politiques, religieux ou adultes),
les recherches effectuées sur les moteurs (ex : http://www.google.fr/search?q=ma+recherche),
votre réseau social dans sa globalité (qui sont vos contacts sur Facebook, LinkedIn ou Twitter ? Où habitent-ils ? Quel est leur profil ?),
des informations relatives à votre vie privée : votre nom, vos coordonnées, éventuellement votre état de santé, votre orientation politique, etc.