Sicherheitslücke "History Stealing"
Verfasst: Di 2. Feb 2010, 22:21
Spiegel Online beschreibt für die breite Öffentlichkeit einen, zum Glück erstmal von Forschern statt "Bösewichten" entdeckten, so logischen wie fiesen Trick, Internetseitenbesucher anhand ihrer Browser-History auf ihre Gruppenzugehörigkeit in sozialen Netzwerken (StudiVZ, Facebook) und damit indirekt ziemlich zuverlässig auf ihre individuelle Identität hin zu überprüfen.
Die Frage ist dabei, warum dem Server denn Informationen über die Browser-History übermittelt werden müssen - das Einfärben besuchter Seiten und andere Komfortfunktionen sollte die Rendering Engine doch rein lokal erledigen können.
Falls jemand vor dieser Geschichte jetzt akute Paranoia hat, gibt es übrigens einen deutlich eleganteren Workaround, als gleich die gesamte History abzuschalten. Die Firefox-Erweiterung HistoryBlock erlaubt das Erstellen einer Exception List von Domains, für die gezielt keine History angelegt werden soll. (Herrgott, rede ich gerade ein übles Denglisch.)
Nachteil ist, dass sie wohl ursprünglich als Porno-Verstecker gedacht war und daher keine Liste der geblockten Domains führt, was unpraktisch bei der Verwaltung werden dürfte. Wenn man sie aber tatsächlich nur für ein paar der relevanten Seiten benutzt, dürfte das nicht allzu verwirrend werden.
Selbstzitat zum Thema zwecks generischer "Firefox ist toll"-Propaganda:
Die Frage ist dabei, warum dem Server denn Informationen über die Browser-History übermittelt werden müssen - das Einfärben besuchter Seiten und andere Komfortfunktionen sollte die Rendering Engine doch rein lokal erledigen können.
Falls jemand vor dieser Geschichte jetzt akute Paranoia hat, gibt es übrigens einen deutlich eleganteren Workaround, als gleich die gesamte History abzuschalten. Die Firefox-Erweiterung HistoryBlock erlaubt das Erstellen einer Exception List von Domains, für die gezielt keine History angelegt werden soll. (Herrgott, rede ich gerade ein übles Denglisch.)
Nachteil ist, dass sie wohl ursprünglich als Porno-Verstecker gedacht war und daher keine Liste der geblockten Domains führt, was unpraktisch bei der Verwaltung werden dürfte. Wenn man sie aber tatsächlich nur für ein paar der relevanten Seiten benutzt, dürfte das nicht allzu verwirrend werden.
Selbstzitat zum Thema zwecks generischer "Firefox ist toll"-Propaganda:
Traitor, 02.02.2010 20:01:57:
spontaner Workaround: FF-Addon, das eine exception list für die History erlaubt
[...]
Traitor, 02.02.2010 20:03:05:
Und... tada, gibt es sogar schon.
https://addons.mozilla.org/en-US/firefox/addon/8631
[...]
Traitor, 02.02.2010 20:03:30:
die FF-Addon-Community ist halt großartig