Jump to content

Strikte Datenhygiene

teofilos

Von teofilos
in Es muss nicht immer Kirche sein

 Share

Recommended Posts

GermanHeretic

GermanHeretic

Geschrieben
Geschrieben
Auch nichts. Scheint so gut nicht zu sein? Oder liegt es am Browser?

Angeblich soll das Ganze über "history stealing" funktionieren, habe dazu folgende Aussage gefunden: "Um bereits besuchte Links auf Webseiten hervorzuheben, müssen Websites auf die Besuchshistory bei Browsern zurückgreifen" Quelle: http://board.protecus.de/t38983.htm#ixzz0fDQSVI3Z

Das ist natürlich völliger Blödsinn, das Hervorheben der Links anhand der History macht der Browser, nicht die Website. Man kann aber relativ einfach checken, ob der Benutzer eine bestimmte Seite aufgerufen hat, aber die muß man vorgeben. Dazu gibt es einen CSS-"Hack":

a:visited  {
	background: url(alsBildGetarntesScript?vorgegebeneInfosZBUrl);
}
...
<a href="www.xing.com">Xing</a>

Steht Xing dann in der History, wird "alsBildGetarntesScript" aufgerufen, das alles mögliche loggen kann, aber auch nicht mehr, als die Webseite sowieso, auf der man gerade rumsurft. Übel ist das schon, aber noch kein Grund in Panik zu geraten.

Link zu diesem Kommentar
Auf anderen Seiten teilen
Elrond

Elrond

Geschrieben
Geschrieben (bearbeitet)
Das ist natürlich völliger Blödsinn, das Hervorheben der Links anhand der History macht der Browser, nicht die Website.

 

Genau, und ich kann per Javascript fragen, welche Farbe (im Sinne von besucht/nicht besucht) ein vom Script vorgegebener Link vom Browser bekommen wuerde.

 

Der Angriff hier laeuft doch so, dass die ueber eine URL Liste versuchen herauszufinden, welche Gruppen ein User subskribiert hat (ueber die History der besuchten Seiten) und das als Fingerabdruck mit den gecrawlten Profildaten vergleichen, oder habe ich es garnicht verstanden?

 

Das ist kein wirklich neuer Ansatz, wenn ma sich Seiten wie http://didyouwatchporn.com/ anschaut.

 

This freaks me out. How does this work?

Relaaaax. We don't have real access to your browser history. But what we can do, is check it against a list of sites by taking advantage of a CSS information leak. Your browser colors visited links differently than non-visited links, so all we do is loop through the most popular porn sites and check the link color. It's not perfect but it gets us pretty far. Far enough to bust your ass.

bearbeitet von Elrond
Link zu diesem Kommentar
Auf anderen Seiten teilen
GermanHeretic

GermanHeretic

Geschrieben
Geschrieben
Der Angriff hier laeuft doch so, dass die ueber eine URL Liste versuchen herauszufinden, welche Gruppen ein User subskribiert hat (ueber die History der besuchten Seiten) und das als Fingerabdruck mit den gecrawlten Profildaten vergleichen, oder habe ich es garnicht verstanden?

Ja genau, der Angreifer muß schon eine Liste potentiell besuchter Seiten haben. Regelmäßig Löschen der History untergräbt das. Kannst auch JavaScript und CSS abschalten... :lol:

Link zu diesem Kommentar
Auf anderen Seiten teilen
andre...

andre...

Geschrieben
Geschrieben
Regelmäßig Löschen der History untergräbt das.

Ja. Ich meine aber generell, dass es nicht der richtige Weg sein kann, sich zu schützen, indem man sich ein Stück Komfort nach dem anderen versagt. Ein einfacher Weg, das Löschen der History zu umgehen, wäre, wenn Browser es optional ermöglichen würden, dass auf der gerade besuchten Webseite nur diejenigen Links als "besucht" markieren werden, die auf die dieselbe Domain verweisen, also auf Seiten innerhalb dieser Website. Beim Stöbern z. B. in Wikipedia würde man also nach wie vor sehen, welche Artikel man schon gelesen hat, aber nicht, welche weiterführenden externen Seiten man währenddessen besucht hat. – Die Benutzereinstellungen müssten dann noch das Einstellen von Ausnahmen erlauben, sodass man vertrauenswürdige Sites eintragen kann, auf denen der Browser auch externe Links als "besucht" kennzeichnen darf.

 

André

Link zu diesem Kommentar
Auf anderen Seiten teilen
GermanHeretic

GermanHeretic

Geschrieben
Geschrieben (bearbeitet)
Ein einfacher Weg, das Löschen der History zu umgehen, wäre, wenn Browser es optional ermöglichen würden, dass auf der gerade besuchten Webseite nur diejenigen Links als "besucht" markieren werden, die auf die dieselbe Domain verweisen, also auf Seiten innerhalb dieser Website.

Ja, das wäre praktisch. Firefox kennt ja den "Privaten Modus", da wird dann nix mehr gespeichert. Vielleicht gibt es zu Deiner Idee schon ein Add-In, oder man sollte mal jemanden darauf ansetzen.

edit: Und siehe, https://addons.mozilla.org/de/firefox/addon/1502 - läuft aber offensichtlich nur mit FF 2.*

bearbeitet von GermanHeretic
Link zu diesem Kommentar
Auf anderen Seiten teilen

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Gehe zur Themenübersicht
×
×
  • Neu erstellen...