ThE-WeB-MaTRiX

Die Web-Matrix ist ein grosses allgemeines Board, dessen Themenspektrum von Politik ueber Liebe, Filme, Literatur und Computerspiele bis zu Fussball geht.
https://matrix.computeronkel.com/

Sicherheitslücke "History Stealing"

https://matrix.computeronkel.com/viewtopic.php?f=22&t=19577

Seite 1 von 1

Sicherheitslücke "History Stealing"

BeitragVerfasst: Di 2. Feb 2010, 22:21
von Traitor
Spiegel Online beschreibt für die breite Öffentlichkeit einen, zum Glück erstmal von Forschern statt "Bösewichten" entdeckten, so logischen wie fiesen Trick, Internetseitenbesucher anhand ihrer Browser-History auf ihre Gruppenzugehörigkeit in sozialen Netzwerken (StudiVZ, Facebook) und damit indirekt ziemlich zuverlässig auf ihre individuelle Identität hin zu überprüfen.

Die Frage ist dabei, warum dem Server denn Informationen über die Browser-History übermittelt werden müssen - das Einfärben besuchter Seiten und andere Komfortfunktionen sollte die Rendering Engine doch rein lokal erledigen können.

Falls jemand vor dieser Geschichte jetzt akute Paranoia hat, gibt es übrigens einen deutlich eleganteren Workaround, als gleich die gesamte History abzuschalten. Die Firefox-Erweiterung HistoryBlock erlaubt das Erstellen einer Exception List von Domains, für die gezielt keine History angelegt werden soll. (Herrgott, rede ich gerade ein übles Denglisch.)
Nachteil ist, dass sie wohl ursprünglich als Porno-Verstecker gedacht war und daher keine Liste der geblockten Domains führt, was unpraktisch bei der Verwaltung werden dürfte. Wenn man sie aber tatsächlich nur für ein paar der relevanten Seiten benutzt, dürfte das nicht allzu verwirrend werden.

Selbstzitat zum Thema zwecks generischer "Firefox ist toll"-Propaganda:
Traitor, 02.02.2010 20:01:57:
spontaner Workaround: FF-Addon, das eine exception list für die History erlaubt
[...]
Traitor, 02.02.2010 20:03:05:
Und... tada, gibt es sogar schon.
https://addons.mozilla.org/en-US/firefox/addon/8631
[...]
Traitor, 02.02.2010 20:03:30:
die FF-Addon-Community ist halt großartig

BeitragVerfasst: Sa 27. Feb 2010, 12:32
von Dirki
Naja, was man soweit ich weiß nicht oder schlecht blocken kann, ist, von welcher Seite es mich auf die aktuelle Seite verschlägt. Das ist der sogenannte Referer. Allerdings ist das mit dem Surfverhalten so eine Sache. Im Prinzip weiß der Webseitenbetreiber nicht, das Hans Müller auf diese Seiten war, sondern nur die IP, und die wird bei jeder Einwahl neu vergeben. Kritischer wird es meiner Meinung nach, wenn man irgendwelche Google-Erzeugnisse (Toolbar, Chrome) nutzt. Dann ist man direkt nackig.

BeitragVerfasst: So 28. Feb 2010, 21:32
von Traitor
Bei diesem Manöver geht es ja gerade darum, die persönliche Identität des Besuchers festzustellen, ohne dass dieser weitere Eingaben macht.

Für den Referrer gibt es selbstverständlich auch ein Blockier-Addon für Firefox. ;)

BeitragVerfasst: Mo 1. Mär 2010, 09:59
von Dirki
Die einfachste Lösung ist vermutlich den FF im privaten Modus zu starten.

BeitragVerfasst: So 7. Mär 2010, 12:47
von Traitor
Damit beraubt man sich aber aller Vorteile der History. Kein Wiederfinden einmal besuchter Seiten mehr, ohne alles als Bookmarks abzulegen. Dafür ist die Sicherheitslücke sicher nicht relevant genug.

BeitragVerfasst: So 6. Jun 2010, 14:14
von Traitor
Inzwischen ist für Firefox eine Lösung angekündigt (siehe Mozilla Blog).
Dabei wird am Rande auch meine Frage beantwortet, warum das Linkeinfärben denn bitte serverseitig gemacht wird. Wird es nämlich nicht. Das Einfärben nimmt schon clientseitig der Browser vor, wie es vernünftig ist. Allerdings gibt es bisher Javascript-Funktionen, mit denen der Seitenbetreiber das Ergebnis dieses Einfärbens abfragen kann. Und dies wird nun bei Firefox abgestellt.
Alle Zeiten sind UTC + 2 Stunden
Seite 1 von 1
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/