Sicherheitslücke History Stealing

[anarcho]

You are not allowed to view links. Register or Login

               

Jetzt  kommt aus aktuellem Anlaß ein Beitrag darüber.Auslöser ist folgender Artikel auf You are not allowed to view links. Register or Login.  Der Beitrag schockte mich doch sehr, weshalb ich mich auf die Suche  nach Details gemacht habe. Deshalb ein paar Fakten zu History Stealing,  die ich entdeckt habe:

Vorweg das Grundproblem. Um bereits besuchte  Webseiten im Browser farblich anders darstellen zu können, speichert der  Browser entsprechende Informationen und hält sie für die Scriptsprache  Javascript bereit.

You are not allowed to view links. Register or Login

Funktioniert in jedem Browser. Testen kann man es zum Beispiel hier: You are not allowed to view links. Register or Login Dazu muß man, wenn man nicht schon hat, vorher eine einschlägige Pornoseite ansurfen.You are not allowed to view links. Register or Login  listet gleich die gesamte archivierte Surf-Vergangenheit des Besuchers  auf. Solche Seiten schickt man Freunden zu, damit sie sich ertappt  fühlen.

Benötigt  Javascript, kann aber in manchen Browsern auch ohne Javascript  funktionieren. Dabei kommt eine andere Technik zum Einsatz. Das  funktioniert zum Beispiel in Firefox und im Internet Explorer, in Opera  aber nicht. Testen kann man es You are not allowed to view links. Register or Login. Auf der Seite ist oben eine Liste von Webseiten, die, falls angesurft, erkannt werden, wenn man auf click here klickt.

Es  kann nicht der Browserverlauf direkt ausgelesen werden. Es können nur  vorgegebene Seiten getestet werden. Das können jedoch sehr viele sein,  Tausende! Eine Webseite hat also eine Liste von Seiten, die automatisch  durchgetestet werden, ob der Surfer sie im Browserverlauf hat

Man  kann sich schlecht schützen, selbst Deaktivieren von Javascript hilft  nicht in jedem Browser. Man kann aber den Browserverlauf deaktivieren.

(Quelle:You are not allowed to view links. Register or Login ,kann man aber auch bei You are not allowed to view links. Register or Login , You are not allowed to view links. Register or Login usw. nachlesen...)

Was kann ich dagegen tun?

FireFox :

Um die Möglichkeit des History Stealing zu unterbinden, gibt es für den Firefox Webbrowser ein kleines You are not allowed to view links. Register or Login.  Wenn man das Plugin aber auf den aktuelleren Versionen von Firefox  (Version 3 und aufwärts) installieren will, so beschwert sich der  Browser, das dieses Plugin nicht kompatibel sei. Dem scheint aber nur so, da lediglich die vom Autor vorgegebenen  Versionen in einer Textdatei befolgt werden.
Also habe ich die maximale  Versionsvorgabe von 2.0.* einfach in eine 3.0.* geändert, das Plugin  installiert und an diversen History Stealing Testseiten ausprobiert.
Mit  Erfolg. Das Plugin ist also weiterhin Funktionsfähig und der Browser  auch
 Für diejenigen, die das Plugin auch unter Firefox ab Version 3.0  nutzen und sich den Aufwand, das Plugin von Hand zu bearbeiten sparen  wollen. Können das bereits angepasste Plugin You are not allowed to view links. Register or Login Herunterladen.

(Quelle:You are not allowed to view links. Register or Login)

Opera:

Der Browser Opera  bietet die Möglichkeit eine Zeit einzustellen, wie lange  Verlaufsinformationen für Scripte zugänglich sind. Diese läßt sich auf 0  stellen. Dann funktioniert der normale Browserverlauf weiterhin normal,  aber Scripte können nichts mehr anrichten, was man an obigen Seiten  austesten kann.
Die Einstellung kann in der erweiterten Opera config durchgeführt werden, welche über diesen You are not allowed to view links. Register or Login  erreicht werden kann. Der Wert Expiry gibt die Tage, der Wert Expiry  (Hours) die Stunden an, die ein Verlaufseintrag aufbewahrt wird. Ich  habe beide auf 0 gestellt. Das bedeutet zwar gleichzeitig, daß Links zu  besuchten Seiten nicht mehr anders formatiert werden können, ich sehe da  jedoch auch keinen großen Nutzen. Je nach Empfinden kann natürlich auch  eine andere Zeit eingestellt werden.

Ein paar weitere Infos zu Opera:
Opera  ist ein recht alter Freewarebrowser, der für viele Innovationen  verantwortlich war. Genannt sein hier beispielhaft die Tabs (interne  Fenster) moderner Browser und die Schnellstartleiste aus Google Chrome.  Adblock Plus aus Firefox läßt sich in Opera im Eigenbau anfertigen. Dazu  läd man sich eine Filterdatei (oder nimmt die unten) und bindet sie in  Opera ein. Das Einbinden funktioniert über den Parameter You are not allowed to view links. Register or Login in der Opera Config. Zum Beispiel kann man dort eine Textdatei mit folgendem Inhalt einbinden:

Code:

Opera Preferences version 2.1
; Do not edit this file while Opera is running
; This file is stored in UTF-8 encoding

[prefs]
prioritize excludelist=1

[include]
*

[exclude]
http://ad.*
http://ads.*
http://adserv*
http://*/adserver/*
http://banner*
http://count*
http://*.doubleclick.net/*
http://*.hitbox.net/*
http://*.ivwbox.de/*
http://*.tradedoubler.*
http://*/ads/*
http://*.uimserv.*
http://*/banners/*
http://adimg.*
http://*.smartadserver.*
*adsense*
*.doubleclick.net*
*uimserv.net*

(Quelle:You are not allowed to view links. Register or Login)

[John_Sinclair]

Tönt interessant. Wie gut, dass ich nur bei stayfriends.de angemeldet bin, sonst aber bei keinem "social network".

Das Problem an Plugins, bzw. Browsern im allgemeinen ist aber, dass sich auch dadraus Profile erstellen lassen. Es ist verglichen mit allen Internetnutzern halt nur ein verschwindend geringer Teil, der Firefox mit Plugin A, B und D benutzt (der nächste benutzt dann C und D, dafür aber A und B nicht uws.). Genauso verhält es sich mit "Nischenbrowsern" wie z.B. Opera.

Wie man es auch macht, am Ende bekommen sie einen doch.