<HTML dir=ltr><HEAD><TITLE>Re: [WEB SECURITY] client-side "transaction monitoring" beacons</TITLE>
<META http-equiv=Content-Type content="text/html; charset=unicode">
<META content="MSHTML 6.00.6000.16640" name=GENERATOR></HEAD>
<BODY>
<DIV id=idOWAReplyText88620 dir=ltr><FONT face=Arial size=2>There's lots of places I could do that, and there's lots of things the people on this list could say that about. Fortunately for them, I saved them an email because I care.</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT> </DIV>
<DIV dir=ltr><FONT face=Arial size=2><g/></FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT> </DIV>
<DIV dir=ltr><FONT face=Arial size=2>But seriously, the answer is no. The web app vulnerabilities that people really care about allow a single attacker to cause <STRONG>widespread</STRONG> harm, either to confidentiality, integrity, available, surety<EM>,</EM> etc. In those situations, a single attacker does a lot of damage across an entire system, user base, etc.</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT> </DIV>
<DIV dir=ltr><FONT face=Arial size=2>In this case, a single attacker can affect the system .00001%. Even if 10% of users had some unbeatable anti-tracking busta busta busta, it wouldn't affect their overall tracking statistics enough to make a serious impact. </FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT> </DIV>
<DIV dir=ltr><FONT face=Arial size=2>And honestly, I don't know if people should get worked up about this unless they're doing something insane like sending personal data in the tracking signal. It's something they can do on the server side - they're just making it easier on themselves by outsourcing the OOB request to your browser client. Wal Mart can (and I'm sure does) watch tape of you walking through the aisles and see how they could rearrange the sections to make you stay longer and buy more. Is that an invasion of privacy? Somehow I don't think so.</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT> </DIV>
<DIV dir=ltr><FONT face=Arial size=2>However, being the blame-corporate-America-first kind of guy that I am, I'm sure I could be persuaded otherwise.</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT> </DIV>
<DIV dir=ltr><FONT face=Arial size=2>Cheers,</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2>Arshan</FONT></DIV>
<DIV dir=ltr>
<DIV dir=ltr><BR></DIV>
<DIV dir=ltr>
<HR tabIndex=-1>
</DIV>
<DIV dir=ltr><FONT face=Tahoma size=2><B>From:</B> Jeff Robertson [mailto:jeff.robertson@gmail.com]<BR><B>Sent:</B> Tue 5/27/2008 9:32 PM<BR><B>To:</B> Arshan Dabirsiaghi<BR><B>Cc:</B> Simone Onofri; Arian J. Evans; Licky Lindsay; websecurity@webappsec.org<BR><B>Subject:</B> Re: [WEB SECURITY] client-side "transaction monitoring" beacons<BR></FONT><BR></DIV></DIV>
<DIV>
<P><FONT size=2>On Tue, May 27, 2008 at 7:14 PM, Arshan Dabirsiaghi<BR><arshan.dabirsiaghi@aspectsecurity.com> wrote:<BR>> There's lots of ways to do it, and there's lots of ways that the people on<BR>> this list can bypass it. Fortunately for whoever "them" is, there's not<BR>> enough of us for them to really care.<BR><BR>You could take those two sentences out of context and apply them to<BR>just about any web application vulnerability, couldn't you?<BR></FONT></P></DIV></BODY><!--[object_id=#aspectsecurity.com#]--></HTML>