Prywatność przeglądarek internetowych
- Patryk Królikowski,
- 13.01.2011
Do tego mamy historię pobieranych plików w tabeli "downloads" oraz historię treści, które były wyszukiwane - tabela "keyword_search_terms". To rzecz jasna nie wszystko. Krótki opis użytecznych baz zawiera tabela obok.
Internet Explorer
W przypadku IE jest trochę inaczej niż u poprzedników. Tutaj kluczem do analizy aktywności użytkownika jest plik, a w zasadzie pliki index.dat - mapy wiążące kopie stron przechowywanych w pamięci podręcznej z adresami internetowymi. W Windows 7 podstawowym miejscem przechowywania zarówno zawartości pamięci podręcznej (cache), jak i pliku index.dat jest katalog: %SYSTEMDRIVE%\Users\[katalog_użytkownika]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\.
Ale oczywiście użytkownik może go zmienić. Dlatego też warto sprawdzić klucz rejestru "HKEY_USERS\[id_użytkownika]\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" i wartość atrybutu Cache. Będzie ona wskazywała na konkretne miejsce przechowywania danych przez IE. Kolejne pliki index.dat znajdziemy w katalogu %sSYSTEMDRIVE%\Users\[katalog_użytkownika]\AppData\Local\Microsoft\Windows\History\History.IE5\. Tutaj powinniśmy zauważyć także obecność katalogów, które zawierają dane historyczne ze wskazaniem zakresu czasowego, do którego się odnoszą (świadczy o tym nazwa tych katalogów), np. MSHist012010121820101219. Pliki index.dat to pliki binarne, a więc do ich podejrzenia przyda się edytor szesnastkowy (np. HxD).
Informacje, które znajdziemy po "zdekodowaniu" pliku to:
Adresy stron internetowych
Czas ostatniego dostępu do strony
Czas ostatniej modyfikacji przez wystawcę (serwer)
Pliki, które zostały pobrane
Nazwa katalogu CACHE, w którym została zapisana kopia lokalna wyświetlanych treści
Nagłówki HTTP strony
Rodzaj aktywności, który może przybierać postać REDR (odwiedziny są efektem przekierowania z innej strony), URL (odwiedziny są wynikiem działania użytkownika - np. kliknięcie linku czy ręczne wpisanie adresu) oraz LEAK (podobny do URL - pojawia się, gdy rekord z index.dat został usunięty, ale odpowiadające mu treści z cache nie)