Sicherheitslücke - Datenschutzgau in browserhistory

Beitrag von **chris3** » 02.02.2010, 19:45

https://www.spiegel.de/netzwelt/web/0,1 ... 95,00.html

https://www.iseclab.org/papers/sonda-TR.pdf

von **Anzeige von ABAKUS** »

Hochwertiger Linkaufbau bei ABAKUS:

Google-konformer Linkaufbau
nachhaltiges Ranking
Linkbuilding Angebote zu fairen Preisen
internationale Backlinks

Wir bieten Beratung und Umsetzung.
Jetzt anfragen: 0511 / 300325-0

Beitrag von **profo** » 02.02.2010, 20:38

Wieder ein Anlass mehr, damit die Browser nun endlich nach Jahren der Untätigkeit den Datenschutz-Gau-Bug a la History-Spionage per CSS fixen...

PS: der Bug ist kein Problem der Social Networks, sondern ein dicker Bug wohl auch Deines Lieblingsbrowsers. Die Sichrerheitslücke lässt sich überall ausbeuten. Die Social Networks sind nur ein prominentes Beispiel für die Mächtigkeit der Daten, die per solcher Spionage gewonnen werden können.

Beitrag von **chris3** » 02.02.2010, 21:06

profo hat geschrieben:Wieder ein Anlass mehr, damit die Browser nun endlich nach Jahren der Untätigkeit den Datenschutz-Gau-Bug a la History-Spionage per CSS fixen...

PS: der Bug ist kein Problem der Social Networks, sondern ein dicker Bug wohl auch Deines Lieblingsbrowsers. Die Sichrerheitslücke lässt sich überall ausbeuten. Die Social Networks sind nur ein prominentes Beispiel für die Mächtigkeit der Daten, die per solcher Spionage gewonnen werden können.

im prinzip liegt es ja einerseits an der history-funktion der browser und andererseits an den social-networks, da gerade hier massenweise nutzerprofile unterwegs sind.

von **Anzeige von ABAKUS** »

Beitrag von **profo** » 02.02.2010, 21:39

Q: Woran erkennt ein Datenschutz-Forscher, dass ein Seo bei ihm surft?

A: Sein Name lautet gemäß Social Networks: Billig Kredit

Ich geb zu, der war lahm

Beitrag von **Alda** » 02.02.2010, 21:46

Hehe, ich muss mal meine Sig überarbeiten.

Beitrag von **Rem** » 03.02.2010, 19:50

Sag mal, finde eigentlich nur ich das lustig?

Um bereits besuchte Links in einer anderen Farbe darstellen zu können, erhalten Websites Zugriff auf den Browserverlauf.

Faszinierend. Also damit Links auf meiner Website statt blau rot gefärbt werden, greift meine Website direkt auf den Browserverlauf zurück...

ja ja ja ja Ich brech gleich los
ab dieser technischen Unvernunft eines Autors...

Jede Website, die Links anders einfärbt greift auf den Verlauf zu!!!! uhhh... die wissen alles... blah blah blah... Zuerst wird obiger Müll in die Welt gesetzt, morgen gibt's sicher ein paar Heinis (besonders in XING) die diesen Schwachsinn duplizieren und bei jedem besuchten Link, der sich anders färbt eine Paranoia entwickeln.

Ich sollte mal im CSS a:visited auch auf blau setzen und dann auf die Website schreiben: "wir greifen nicht auf Ihre Verlaufsdaten zurück, um Links einzufärben".... aaaahhhhhhh

Abgesehen davon war der Artikel lesenswert.

Beitrag von **mgutt** » 03.02.2010, 20:40

Ich verstehe noch nicht so ganz, was ich davon habe, wenn ich weiß, dass eine IP zum Zeitpunkt eines Besuchs Person XY ist? Morgen hat die Person höchstwahrscheinlich eine neue IP, also was bringt mir das?

Gehen wir mal auf die Punkte ein, die der Spiegel nannte:

Damit kann man Surfer erpressen

In dem ich weiß, dass er auf Facebook war und danach auf meiner Seite?!

ihnen passgenaue Spam- und Phishingmails zuschicken

In meinen Augen fehlt hier ein kleines Detail: Die Emailadresse

kann Konkurrenten oder Nebenbuhler auf der eigenen Website identifizieren

Ui, mächtig und wie unglaublich. Genauso gut könnte man aber auch dem Konkurrenten eine vorgefertigte Email schicken über die er ein Trackingcookie abbekommt. Ist sicherlich effektiver und einfacher.

sie mittels Social Engineering zur Herausgabe von brisanten Informationen bringen

Wenn jemand bei Xing angemeldet ist, weiß man quasi alles über diese Person, sofern er die entsprechenden Optionen freigegeben hat. Wie er heißt, wo er arbeitet, usw. Was bringt einem da die Verbindung zu einer IP. Social Engineering ist auch so schon möglich. So oder so entscheidet der Nutzer welche Daten öffentlich abgerufen werden können.

Unterdrückungsregimes könnten Fallen auslegen, etwa Webserver mit regierungskritischen Inhalten, und sogar Besucher identifizieren, die über einen Anonymisierungsdienst auf die Inhalte zugreifen - denn auch die verhindern nicht die Übertragung der beschriebenen digitalen Fingerabdrücke

Fast alle Proxies anonymisieren die URL. Die History ist entsprechend wertlos.

Vor allem aber könnten zweifelhafte Websites und Werbedienste diese Informationen ansammeln, aufarbeiten, verkaufen: Spyware 2.0.

Gut ist natürlich wertvoll, wenn man von mir weiß, dass ich in der Gruppe "Heute schlecht geschlafen" bei StudiVZ bin. Mal im Ernst. Automatisiert lassen sich diese Daten kaum aufbereiten und manuell lohnt sich das wohl kaum. Da kann man gleich bei den Netzwerken Werbung buchen.

Was ich viel interessanter finde. Wenn dieser Bug mit der History so einfach ist. Dann ist es doch viel schlimmer, dass Facebook selbst seine User ausspionieren kann. Sie selbst könnten die besten Profile erstellen. Und die müssen nicht noch kompliziert hingehen und die Besucher identifizieren. Dies gilt entsprechend für jede Community.

Ach ja, wie liest man die History aus, per Javascript? Wo ist das passende Snippet ^^

Beitrag von **nerd** » 03.02.2010, 21:05

Spiegel sollte vielleicht mal jemanden einstellen der sich mit sowas auskennt - it-profis wie Peter Huth zum beispiel

deren letzte berichte lesen sich wie von irgendwelchen hippies die in den 70ern steckengeblieben sind. ich warte ja drauf das noch ein "roboter/computer/dampfmaschinen vernichten tausende arbeitsplaetze!" artikel kommt...

Beitrag von **mgutt** » 10.02.2010, 20:20

Ich bin gerade durch Zufall auf das passende Script gestoßen. Und jetzt muss ich mich doch noch mehr darüber amüsieren. Für die, die es verstehen:
Es wird per JS ein Link auf der eigenen Seite gesetzt (unsichtbar) und dann geprüft welche Farbe dieser Link hat. Farbe X = visited. Und an Hand dessen weiß man dann, dass der Besucher auf der URL war.

Das Problem ist allerdings, damit man das ausnutzen kann, muss man z.B. von Facebook 270 Millionen Gruppen-URLs prüfen:
https://www.google.de/#hl=de&safe=off&q ... 12a7be4d4c

Also mit jemanden mal eben auf eine URL locken ist nicht. Man muss den minutenlang binden, damit man genug URLs abgleichen kann.

Übrigens kann man das ganze System simpel aushebeln, in dem man eine zufällige ID an die URL anhängt. Allerdings nichts für SEOs ^^

Insgesamt ist das vielleicht nett um jemanden dabei zu erwischen, ob er auf Youporn war, aber mehr auch nicht.

Beitrag von **catcat** » 10.02.2010, 21:03

Wobei man aber anmerken muß, das YouPorn wesentlich unterhaltsamer als YouTube ist...

Beitrag von **t-rex** » 10.02.2010, 22:17

Hi,

vor 2 Jahren haben wir doch schon einmal über die Möglichkeiten diskutiert.
https://www.abakus-internet-marketing.d ... spy#386868

Sonnige Grüsse
HaPe

Beitrag von **mgutt** » 11.02.2010, 00:28

t-rex hat geschrieben:Hi,

vor 2 Jahren haben wir doch schon einmal über die Möglichkeiten diskutiert.
https://www.abakus-internet-marketing.d ... spy#386868

Sonnige Grüsse
HaPe

Noch älter

https://jeremiahgrossman.blogspot.com/2 ... -been.html

Hier der nutzt eine etwas andere Variante:
https://www.didyouwatchporn.com/

Gibt im Netz einige "Angsthasen", die sich über die "Ertappung" durch diese Seite empören ^^

Beitrag von **mic_jan** » 11.02.2010, 16:20

mgutt hat geschrieben: In meinen Augen fehlt hier ein kleines Detail: Die Emailadresse

Hast du den Artikel gelesen? Und bist du vielleicht den Link zum XING-Tool gefolgt?

Mach mal den Test:
https://128.111.48.22/experiment/

Also ich fand das Ergebnis sehr respektabel.

Gruß,

Michael

Beitrag von **mgutt** » 11.02.2010, 19:05

Das Experiment kann aber nur ein solches bleiben, weil man trotz einer hohen Erkennungsrate nie weiß ob das Ergebnis stimmt. Und wer baut sich sowas auf seiner seriösen Seite ein?

Auf einer unseriösen Domain bringt das nichts, weil man da kein Cookie setzen könnte, was für eine Langzeitverfolgung nützlich wäre und man kann dort keinen Besucher lange genug halten, um die Analyse abschließen zu können. Xing alleine reicht ja nicht. Jede weitere Community benötigt noch mehr Zeit für die Auswertung. Facebook würde ich mal locker mit 30 Min ansetzen.

Übrigens greift dieses Konzept auch bei Foren. Da sogar viel besser, weil Themen viel weniger Autoren enthalten als Gruppen.

Allerdings verstehe ich immer noch nicht, wie man diese Informationen in Geld umwandeln könnte. Gezielt Werbung auswerfen? Wehe sie ist zu gezielt. Dann wird der Besucher misstrauisch. Jemanden erpressen, weil er auf youporn war? Wohl kaum. Aber vielleicht weil er auf einer Kinderpornoseite war. Vielleicht kann die Polizei ja was mit der Lücke anfangen. ^^