Sicherheitslücke "History Stealing"

Spiegel Online beschreibt für die breite Öffentlichkeit einen, zum Glück erstmal von Forschern statt "Bösewichten" entdeckten, so logischen wie fiesen Trick, Internetseitenbesucher anhand ihrer Browser-History auf ihre Gruppenzugehörigkeit in sozialen Netzwerken (StudiVZ, Facebook) und damit indirekt ziemlich zuverlässig auf ihre individuelle Identität hin zu überprüfen.

Die Frage ist dabei, warum dem Server denn Informationen über die Browser-History übermittelt werden müssen - das Einfärben besuchter Seiten und andere Komfortfunktionen sollte die Rendering Engine doch rein lokal erledigen können.

Falls jemand vor dieser Geschichte jetzt akute Paranoia hat, gibt es übrigens einen deutlich eleganteren Workaround, als gleich die gesamte History abzuschalten. Die Firefox-Erweiterung HistoryBlock erlaubt das Erstellen einer Exception List von Domains, für die gezielt keine History angelegt werden soll. (Herrgott, rede ich gerade ein übles Denglisch.)
Nachteil ist, dass sie wohl ursprünglich als Porno-Verstecker gedacht war und daher keine Liste der geblockten Domains führt, was unpraktisch bei der Verwaltung werden dürfte. Wenn man sie aber tatsächlich nur für ein paar der relevanten Seiten benutzt, dürfte das nicht allzu verwirrend werden.

Selbstzitat zum Thema zwecks generischer "Firefox ist toll"-Propaganda:

Traitor, 02.02.2010 20:01:57:
spontaner Workaround: FF-Addon, das eine exception list für die History erlaubt
[...]
Traitor, 02.02.2010 20:03:05:
Und... tada, gibt es sogar schon.
https://addons.mozilla.org/en-US/firefox/addon/8631
[...]
Traitor, 02.02.2010 20:03:30:
die FF-Addon-Community ist halt großartig

Dirki Administrator **Beiträge:** 230 **Registriert:** 29.11.2006

Naja, was man soweit ich weiß nicht oder schlecht blocken kann, ist, von welcher Seite es mich auf die aktuelle Seite verschlägt. Das ist der sogenannte Referer. Allerdings ist das mit dem Surfverhalten so eine Sache. Im Prinzip weiß der Webseitenbetreiber nicht, das Hans Müller auf diese Seiten war, sondern nur die IP, und die wird bei jeder Einwahl neu vergeben. Kritischer wird es meiner Meinung nach, wenn man irgendwelche Google-Erzeugnisse (Toolbar, Chrome) nutzt. Dann ist man direkt nackig.

Bei diesem Manöver geht es ja gerade darum, die persönliche Identität des Besuchers festzustellen, ohne dass dieser weitere Eingaben macht.

Für den Referrer gibt es selbstverständlich auch ein Blockier-Addon für Firefox.

Dirki Administrator **Beiträge:** 230 **Registriert:** 29.11.2006

Die einfachste Lösung ist vermutlich den FF im privaten Modus zu starten.

Damit beraubt man sich aber aller Vorteile der History. Kein Wiederfinden einmal besuchter Seiten mehr, ohne alles als Bookmarks abzulegen. Dafür ist die Sicherheitslücke sicher nicht relevant genug.

Inzwischen ist für Firefox eine Lösung angekündigt (siehe Mozilla Blog).
Dabei wird am Rande auch meine Frage beantwortet, warum das Linkeinfärben denn bitte serverseitig gemacht wird. Wird es nämlich nicht. Das Einfärben nimmt schon clientseitig der Browser vor, wie es vernünftig ist. Allerdings gibt es bisher Javascript-Funktionen, mit denen der Seitenbetreiber das Ergebnis dieses Einfärbens abfragen kann. Und dies wird nun bei Firefox abgestellt.

Traitor Administrator Beiträge: 17500 Registriert: 26.05.2001 Traitor ist offline.	Di 2. Feb 2010, 22:21 - Beitrag #1
	Sicherheitslücke "History Stealing" Spiegel Online beschreibt für die breite Öffentlichkeit einen, zum Glück erstmal von Forschern statt "Bösewichten" entdeckten, so logischen wie fiesen Trick, Internetseitenbesucher anhand ihrer Browser-History auf ihre Gruppenzugehörigkeit in sozialen Netzwerken (StudiVZ, Facebook) und damit indirekt ziemlich zuverlässig auf ihre individuelle Identität hin zu überprüfen. Die Frage ist dabei, warum dem Server denn Informationen über die Browser-History übermittelt werden müssen - das Einfärben besuchter Seiten und andere Komfortfunktionen sollte die Rendering Engine doch rein lokal erledigen können. Falls jemand vor dieser Geschichte jetzt akute Paranoia hat, gibt es übrigens einen deutlich eleganteren Workaround, als gleich die gesamte History abzuschalten. Die Firefox-Erweiterung HistoryBlock erlaubt das Erstellen einer Exception List von Domains, für die gezielt keine History angelegt werden soll. (Herrgott, rede ich gerade ein übles Denglisch.) Nachteil ist, dass sie wohl ursprünglich als Porno-Verstecker gedacht war und daher keine Liste der geblockten Domains führt, was unpraktisch bei der Verwaltung werden dürfte. Wenn man sie aber tatsächlich nur für ein paar der relevanten Seiten benutzt, dürfte das nicht allzu verwirrend werden. Selbstzitat zum Thema zwecks generischer "Firefox ist toll"-Propaganda: Traitor, 02.02.2010 20:01:57: spontaner Workaround: FF-Addon, das eine exception list für die History erlaubt [...] Traitor, 02.02.2010 20:03:05: Und... tada, gibt es sogar schon. https://addons.mozilla.org/en-US/firefox/addon/8631 [...] Traitor, 02.02.2010 20:03:30: die FF-Addon-Community ist halt großartig
	Year by year, month by month, day by day... Thought by thought. Leonard Cohen

Traitor Administrator Beiträge: 17500 Registriert: 26.05.2001 Traitor ist offline.	So 28. Feb 2010, 21:32 - Beitrag #3
	Bei diesem Manöver geht es ja gerade darum, die persönliche Identität des Besuchers festzustellen, ohne dass dieser weitere Eingaben macht. Für den Referrer gibt es selbstverständlich auch ein Blockier-Addon für Firefox.
	Year by year, month by month, day by day... Thought by thought. Leonard Cohen

Traitor Administrator Beiträge: 17500 Registriert: 26.05.2001 Traitor ist offline.	So 7. Mär 2010, 12:47 - Beitrag #5
	Damit beraubt man sich aber aller Vorteile der History. Kein Wiederfinden einmal besuchter Seiten mehr, ohne alles als Bookmarks abzulegen. Dafür ist die Sicherheitslücke sicher nicht relevant genug.
	Year by year, month by month, day by day... Thought by thought. Leonard Cohen

Traitor Administrator Beiträge: 17500 Registriert: 26.05.2001 Traitor ist offline.	So 6. Jun 2010, 14:14 - Beitrag #6
	Inzwischen ist für Firefox eine Lösung angekündigt (siehe Mozilla Blog). Dabei wird am Rande auch meine Frage beantwortet, warum das Linkeinfärben denn bitte serverseitig gemacht wird. Wird es nämlich nicht. Das Einfärben nimmt schon clientseitig der Browser vor, wie es vernünftig ist. Allerdings gibt es bisher Javascript-Funktionen, mit denen der Seitenbetreiber das Ergebnis dieses Einfärbens abfragen kann. Und dies wird nun bei Firefox abgestellt.
	Year by year, month by month, day by day... Thought by thought. Leonard Cohen

Dirki Administrator Beiträge: 230 Registriert: 29.11.2006	Sa 27. Feb 2010, 12:32 - Beitrag #2
	Naja, was man soweit ich weiß nicht oder schlecht blocken kann, ist, von welcher Seite es mich auf die aktuelle Seite verschlägt. Das ist der sogenannte Referer. Allerdings ist das mit dem Surfverhalten so eine Sache. Im Prinzip weiß der Webseitenbetreiber nicht, das Hans Müller auf diese Seiten war, sondern nur die IP, und die wird bei jeder Einwahl neu vergeben. Kritischer wird es meiner Meinung nach, wenn man irgendwelche Google-Erzeugnisse (Toolbar, Chrome) nutzt. Dann ist man direkt nackig.

Dirki Administrator Beiträge: 230 Registriert: 29.11.2006	Mo 1. Mär 2010, 09:59 - Beitrag #4
	Die einfachste Lösung ist vermutlich den FF im privaten Modus zu starten.

Sicherheitslücke "History Stealing"

Sicherheitslücke "History Stealing"

Wer ist online?