https://www.iseclab.org/papers/sonda-TR.pdf
Archiv
Du befindest Dich im Archiv vom ABAKUS Online Marketing Forum. Hier kannst Du Dich für das Forum mit den aktuellen Beiträgen registrieren.
Sicherheitslücke - Datenschutzgau in browserhistory
Hochwertiger Linkaufbau bei ABAKUS:
Jetzt anfragen: 0511 / 300325-0
- Google-konformer Linkaufbau
- nachhaltiges Ranking
- Linkbuilding Angebote zu fairen Preisen
- internationale Backlinks
Jetzt anfragen: 0511 / 300325-0
-
profo
- PostRank 9
- Beiträge: 1703
- Registriert: 18.01.2007, 18:51
Wieder ein Anlass mehr, damit die Browser nun endlich nach Jahren der Untätigkeit den Datenschutz-Gau-Bug a la History-Spionage per CSS fixen...
PS: der Bug ist kein Problem der Social Networks, sondern ein dicker Bug wohl auch Deines Lieblingsbrowsers. Die Sichrerheitslücke lässt sich überall ausbeuten. Die Social Networks sind nur ein prominentes Beispiel für die Mächtigkeit der Daten, die per solcher Spionage gewonnen werden können.
PS: der Bug ist kein Problem der Social Networks, sondern ein dicker Bug wohl auch Deines Lieblingsbrowsers. Die Sichrerheitslücke lässt sich überall ausbeuten. Die Social Networks sind nur ein prominentes Beispiel für die Mächtigkeit der Daten, die per solcher Spionage gewonnen werden können.
-
chris3
- PostRank 6
- Beiträge: 434
- Registriert: 06.06.2008, 11:26
im prinzip liegt es ja einerseits an der history-funktion der browser und andererseits an den social-networks, da gerade hier massenweise nutzerprofile unterwegs sind.profo hat geschrieben:Wieder ein Anlass mehr, damit die Browser nun endlich nach Jahren der Untätigkeit den Datenschutz-Gau-Bug a la History-Spionage per CSS fixen...
PS: der Bug ist kein Problem der Social Networks, sondern ein dicker Bug wohl auch Deines Lieblingsbrowsers. Die Sichrerheitslücke lässt sich überall ausbeuten. Die Social Networks sind nur ein prominentes Beispiel für die Mächtigkeit der Daten, die per solcher Spionage gewonnen werden können.
SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002
Jetzt anfragen: 0511 / 300325-0.
Erfahrung seit 2002
- persönliche Betreuung
- individuelle Beratung
- kompetente Umsetzung
Jetzt anfragen: 0511 / 300325-0.
-
Rem
- PostRank 10
- Beiträge: 3786
- Registriert: 08.12.2005, 18:45
Sag mal, finde eigentlich nur ich das lustig?
ja ja ja ja Ich brech gleich los
ab dieser technischen Unvernunft eines Autors...
Jede Website, die Links anders einfärbt greift auf den Verlauf zu!!!! uhhh... die wissen alles... blah blah blah... Zuerst wird obiger Müll in die Welt gesetzt, morgen gibt's sicher ein paar Heinis (besonders in XING) die diesen Schwachsinn duplizieren und bei jedem besuchten Link, der sich anders färbt eine Paranoia entwickeln.
Ich sollte mal im CSS a:visited auch auf blau setzen und dann auf die Website schreiben: "wir greifen nicht auf Ihre Verlaufsdaten zurück, um Links einzufärben".... aaaahhhhhhh
Abgesehen davon war der Artikel lesenswert.
Faszinierend. Also damit Links auf meiner Website statt blau rot gefärbt werden, greift meine Website direkt auf den Browserverlauf zurück...Um bereits besuchte Links in einer anderen Farbe darstellen zu können, erhalten Websites Zugriff auf den Browserverlauf.
ja ja ja ja Ich brech gleich los
ab dieser technischen Unvernunft eines Autors...
Jede Website, die Links anders einfärbt greift auf den Verlauf zu!!!! uhhh... die wissen alles... blah blah blah... Zuerst wird obiger Müll in die Welt gesetzt, morgen gibt's sicher ein paar Heinis (besonders in XING) die diesen Schwachsinn duplizieren und bei jedem besuchten Link, der sich anders färbt eine Paranoia entwickeln.
Ich sollte mal im CSS a:visited auch auf blau setzen und dann auf die Website schreiben: "wir greifen nicht auf Ihre Verlaufsdaten zurück, um Links einzufärben".... aaaahhhhhhh
Abgesehen davon war der Artikel lesenswert.
-
mgutt
- PostRank 10
- Beiträge: 3206
- Registriert: 08.03.2005, 13:13
Ich verstehe noch nicht so ganz, was ich davon habe, wenn ich weiß, dass eine IP zum Zeitpunkt eines Besuchs Person XY ist? Morgen hat die Person höchstwahrscheinlich eine neue IP, also was bringt mir das?
Gehen wir mal auf die Punkte ein, die der Spiegel nannte:
Was ich viel interessanter finde. Wenn dieser Bug mit der History so einfach ist. Dann ist es doch viel schlimmer, dass Facebook selbst seine User ausspionieren kann. Sie selbst könnten die besten Profile erstellen. Und die müssen nicht noch kompliziert hingehen und die Besucher identifizieren. Dies gilt entsprechend für jede Community.
Ach ja, wie liest man die History aus, per Javascript? Wo ist das passende Snippet ^^
Gehen wir mal auf die Punkte ein, die der Spiegel nannte:
In dem ich weiß, dass er auf Facebook war und danach auf meiner Seite?!Damit kann man Surfer erpressen
In meinen Augen fehlt hier ein kleines Detail: Die Emailadresseihnen passgenaue Spam- und Phishingmails zuschicken
Ui, mächtig und wie unglaublich. Genauso gut könnte man aber auch dem Konkurrenten eine vorgefertigte Email schicken über die er ein Trackingcookie abbekommt. Ist sicherlich effektiver und einfacher.kann Konkurrenten oder Nebenbuhler auf der eigenen Website identifizieren
Wenn jemand bei Xing angemeldet ist, weiß man quasi alles über diese Person, sofern er die entsprechenden Optionen freigegeben hat. Wie er heißt, wo er arbeitet, usw. Was bringt einem da die Verbindung zu einer IP. Social Engineering ist auch so schon möglich. So oder so entscheidet der Nutzer welche Daten öffentlich abgerufen werden können.sie mittels Social Engineering zur Herausgabe von brisanten Informationen bringen
Fast alle Proxies anonymisieren die URL. Die History ist entsprechend wertlos.Unterdrückungsregimes könnten Fallen auslegen, etwa Webserver mit regierungskritischen Inhalten, und sogar Besucher identifizieren, die über einen Anonymisierungsdienst auf die Inhalte zugreifen - denn auch die verhindern nicht die Übertragung der beschriebenen digitalen Fingerabdrücke
Gut ist natürlich wertvoll, wenn man von mir weiß, dass ich in der Gruppe "Heute schlecht geschlafen" bei StudiVZ bin. Mal im Ernst. Automatisiert lassen sich diese Daten kaum aufbereiten und manuell lohnt sich das wohl kaum. Da kann man gleich bei den Netzwerken Werbung buchen.Vor allem aber könnten zweifelhafte Websites und Werbedienste diese Informationen ansammeln, aufarbeiten, verkaufen: Spyware 2.0.
Was ich viel interessanter finde. Wenn dieser Bug mit der History so einfach ist. Dann ist es doch viel schlimmer, dass Facebook selbst seine User ausspionieren kann. Sie selbst könnten die besten Profile erstellen. Und die müssen nicht noch kompliziert hingehen und die Besucher identifizieren. Dies gilt entsprechend für jede Community.
Ach ja, wie liest man die History aus, per Javascript? Wo ist das passende Snippet ^^
Ich kaufe Dein Forum!
Kontaktdaten
Kontaktdaten
-
nerd
- PostRank 10
- Beiträge: 4023
- Registriert: 15.02.2005, 04:02
Spiegel sollte vielleicht mal jemanden einstellen der sich mit sowas auskennt - it-profis wie Peter Huth zum beispiel 
deren letzte berichte lesen sich wie von irgendwelchen hippies die in den 70ern steckengeblieben sind. ich warte ja drauf das noch ein "roboter/computer/dampfmaschinen vernichten tausende arbeitsplaetze!" artikel kommt...
deren letzte berichte lesen sich wie von irgendwelchen hippies die in den 70ern steckengeblieben sind. ich warte ja drauf das noch ein "roboter/computer/dampfmaschinen vernichten tausende arbeitsplaetze!" artikel kommt...
-
mgutt
- PostRank 10
- Beiträge: 3206
- Registriert: 08.03.2005, 13:13
Ich bin gerade durch Zufall auf das passende Script gestoßen. Und jetzt muss ich mich doch noch mehr darüber amüsieren. Für die, die es verstehen:
Es wird per JS ein Link auf der eigenen Seite gesetzt (unsichtbar) und dann geprüft welche Farbe dieser Link hat. Farbe X = visited. Und an Hand dessen weiß man dann, dass der Besucher auf der URL war.
Das Problem ist allerdings, damit man das ausnutzen kann, muss man z.B. von Facebook 270 Millionen Gruppen-URLs prüfen:
https://www.google.de/#hl=de&safe=off&q ... 12a7be4d4c
Also mit jemanden mal eben auf eine URL locken ist nicht. Man muss den minutenlang binden, damit man genug URLs abgleichen kann.
Übrigens kann man das ganze System simpel aushebeln, in dem man eine zufällige ID an die URL anhängt. Allerdings nichts für SEOs ^^
Insgesamt ist das vielleicht nett um jemanden dabei zu erwischen, ob er auf Youporn war, aber mehr auch nicht.
Es wird per JS ein Link auf der eigenen Seite gesetzt (unsichtbar) und dann geprüft welche Farbe dieser Link hat. Farbe X = visited. Und an Hand dessen weiß man dann, dass der Besucher auf der URL war.
Das Problem ist allerdings, damit man das ausnutzen kann, muss man z.B. von Facebook 270 Millionen Gruppen-URLs prüfen:
https://www.google.de/#hl=de&safe=off&q ... 12a7be4d4c
Also mit jemanden mal eben auf eine URL locken ist nicht. Man muss den minutenlang binden, damit man genug URLs abgleichen kann.
Übrigens kann man das ganze System simpel aushebeln, in dem man eine zufällige ID an die URL anhängt. Allerdings nichts für SEOs ^^
Insgesamt ist das vielleicht nett um jemanden dabei zu erwischen, ob er auf Youporn war, aber mehr auch nicht.
Ich kaufe Dein Forum!
Kontaktdaten
Kontaktdaten
-
t-rex
- PostRank 7
- Beiträge: 585
- Registriert: 15.03.2004, 14:00
Hi,
vor 2 Jahren haben wir doch schon einmal über die Möglichkeiten diskutiert.
https://www.abakus-internet-marketing.d ... spy#386868
Sonnige Grüsse
HaPe
vor 2 Jahren haben wir doch schon einmal über die Möglichkeiten diskutiert.
https://www.abakus-internet-marketing.d ... spy#386868
Sonnige Grüsse
HaPe
Keiner weiss wass ich tue, aber alle wissen wie ich es besser machen kann
save the bookmark - logocreatr - backgrounds - templatr- PPC Themes
save the bookmark - logocreatr - backgrounds - templatr- PPC Themes
-
mgutt
- PostRank 10
- Beiträge: 3206
- Registriert: 08.03.2005, 13:13
Noch ältert-rex hat geschrieben:Hi,
vor 2 Jahren haben wir doch schon einmal über die Möglichkeiten diskutiert.
https://www.abakus-internet-marketing.d ... spy#386868
Sonnige Grüsse
HaPe
https://jeremiahgrossman.blogspot.com/2 ... -been.html
Hier der nutzt eine etwas andere Variante:
https://www.didyouwatchporn.com/
Gibt im Netz einige "Angsthasen", die sich über die "Ertappung" durch diese Seite empören ^^
Ich kaufe Dein Forum!
Kontaktdaten
Kontaktdaten
-
mic_jan
- PostRank 6
- Beiträge: 397
- Registriert: 31.08.2004, 16:24
Hast du den Artikel gelesen? Und bist du vielleicht den Link zum XING-Tool gefolgt?mgutt hat geschrieben: In meinen Augen fehlt hier ein kleines Detail: Die Emailadresse
Mach mal den Test:
https://128.111.48.22/experiment/
Also ich fand das Ergebnis sehr respektabel.
Gruß,
Michael
-
mgutt
- PostRank 10
- Beiträge: 3206
- Registriert: 08.03.2005, 13:13
Das Experiment kann aber nur ein solches bleiben, weil man trotz einer hohen Erkennungsrate nie weiß ob das Ergebnis stimmt. Und wer baut sich sowas auf seiner seriösen Seite ein?
Auf einer unseriösen Domain bringt das nichts, weil man da kein Cookie setzen könnte, was für eine Langzeitverfolgung nützlich wäre und man kann dort keinen Besucher lange genug halten, um die Analyse abschließen zu können. Xing alleine reicht ja nicht. Jede weitere Community benötigt noch mehr Zeit für die Auswertung. Facebook würde ich mal locker mit 30 Min ansetzen.
Übrigens greift dieses Konzept auch bei Foren. Da sogar viel besser, weil Themen viel weniger Autoren enthalten als Gruppen.
Allerdings verstehe ich immer noch nicht, wie man diese Informationen in Geld umwandeln könnte. Gezielt Werbung auswerfen? Wehe sie ist zu gezielt. Dann wird der Besucher misstrauisch. Jemanden erpressen, weil er auf youporn war? Wohl kaum. Aber vielleicht weil er auf einer Kinderpornoseite war. Vielleicht kann die Polizei ja was mit der Lücke anfangen. ^^
Auf einer unseriösen Domain bringt das nichts, weil man da kein Cookie setzen könnte, was für eine Langzeitverfolgung nützlich wäre und man kann dort keinen Besucher lange genug halten, um die Analyse abschließen zu können. Xing alleine reicht ja nicht. Jede weitere Community benötigt noch mehr Zeit für die Auswertung. Facebook würde ich mal locker mit 30 Min ansetzen.
Übrigens greift dieses Konzept auch bei Foren. Da sogar viel besser, weil Themen viel weniger Autoren enthalten als Gruppen.
Allerdings verstehe ich immer noch nicht, wie man diese Informationen in Geld umwandeln könnte. Gezielt Werbung auswerfen? Wehe sie ist zu gezielt. Dann wird der Besucher misstrauisch. Jemanden erpressen, weil er auf youporn war? Wohl kaum. Aber vielleicht weil er auf einer Kinderpornoseite war. Vielleicht kann die Polizei ja was mit der Lücke anfangen. ^^
Ich kaufe Dein Forum!
Kontaktdaten
Kontaktdaten