Jump to content

Strikte Datenhygiene


teofilos
 Share

Recommended Posts

GermanHeretic
Auch nichts. Scheint so gut nicht zu sein? Oder liegt es am Browser?

Angeblich soll das Ganze über "history stealing" funktionieren, habe dazu folgende Aussage gefunden: "Um bereits besuchte Links auf Webseiten hervorzuheben, müssen Websites auf die Besuchshistory bei Browsern zurückgreifen" Quelle: http://board.protecus.de/t38983.htm#ixzz0fDQSVI3Z

Das ist natürlich völliger Blödsinn, das Hervorheben der Links anhand der History macht der Browser, nicht die Website. Man kann aber relativ einfach checken, ob der Benutzer eine bestimmte Seite aufgerufen hat, aber die muß man vorgeben. Dazu gibt es einen CSS-"Hack":

a:visited  {
	background: url(alsBildGetarntesScript?vorgegebeneInfosZBUrl);
}
...
<a href="www.xing.com">Xing</a>

Steht Xing dann in der History, wird "alsBildGetarntesScript" aufgerufen, das alles mögliche loggen kann, aber auch nicht mehr, als die Webseite sowieso, auf der man gerade rumsurft. Übel ist das schon, aber noch kein Grund in Panik zu geraten.

Link to comment
Share on other sites

Das ist natürlich völliger Blödsinn, das Hervorheben der Links anhand der History macht der Browser, nicht die Website.

 

Genau, und ich kann per Javascript fragen, welche Farbe (im Sinne von besucht/nicht besucht) ein vom Script vorgegebener Link vom Browser bekommen wuerde.

 

Der Angriff hier laeuft doch so, dass die ueber eine URL Liste versuchen herauszufinden, welche Gruppen ein User subskribiert hat (ueber die History der besuchten Seiten) und das als Fingerabdruck mit den gecrawlten Profildaten vergleichen, oder habe ich es garnicht verstanden?

 

Das ist kein wirklich neuer Ansatz, wenn ma sich Seiten wie http://didyouwatchporn.com/ anschaut.

 

This freaks me out. How does this work?

Relaaaax. We don't have real access to your browser history. But what we can do, is check it against a list of sites by taking advantage of a CSS information leak. Your browser colors visited links differently than non-visited links, so all we do is loop through the most popular porn sites and check the link color. It's not perfect but it gets us pretty far. Far enough to bust your ass.

Edited by Elrond
Link to comment
Share on other sites

GermanHeretic
Der Angriff hier laeuft doch so, dass die ueber eine URL Liste versuchen herauszufinden, welche Gruppen ein User subskribiert hat (ueber die History der besuchten Seiten) und das als Fingerabdruck mit den gecrawlten Profildaten vergleichen, oder habe ich es garnicht verstanden?

Ja genau, der Angreifer muß schon eine Liste potentiell besuchter Seiten haben. Regelmäßig Löschen der History untergräbt das. Kannst auch JavaScript und CSS abschalten... :lol:

Link to comment
Share on other sites

Regelmäßig Löschen der History untergräbt das.

Ja. Ich meine aber generell, dass es nicht der richtige Weg sein kann, sich zu schützen, indem man sich ein Stück Komfort nach dem anderen versagt. Ein einfacher Weg, das Löschen der History zu umgehen, wäre, wenn Browser es optional ermöglichen würden, dass auf der gerade besuchten Webseite nur diejenigen Links als "besucht" markieren werden, die auf die dieselbe Domain verweisen, also auf Seiten innerhalb dieser Website. Beim Stöbern z. B. in Wikipedia würde man also nach wie vor sehen, welche Artikel man schon gelesen hat, aber nicht, welche weiterführenden externen Seiten man währenddessen besucht hat. – Die Benutzereinstellungen müssten dann noch das Einstellen von Ausnahmen erlauben, sodass man vertrauenswürdige Sites eintragen kann, auf denen der Browser auch externe Links als "besucht" kennzeichnen darf.

 

André

Link to comment
Share on other sites

GermanHeretic
Ein einfacher Weg, das Löschen der History zu umgehen, wäre, wenn Browser es optional ermöglichen würden, dass auf der gerade besuchten Webseite nur diejenigen Links als "besucht" markieren werden, die auf die dieselbe Domain verweisen, also auf Seiten innerhalb dieser Website.

Ja, das wäre praktisch. Firefox kennt ja den "Privaten Modus", da wird dann nix mehr gespeichert. Vielleicht gibt es zu Deiner Idee schon ein Add-In, oder man sollte mal jemanden darauf ansetzen.

edit: Und siehe, https://addons.mozilla.org/de/firefox/addon/1502 - läuft aber offensichtlich nur mit FF 2.*

Edited by GermanHeretic
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...