Heute bei fefe gefunden: Man kann bei Firefox selbst mit Noscript auf Webseiten die History auslesen. Sehr gruselig.
Der Gedanke daran, dass die Browser-Historie von Websites aktiv ausgelesen werden könnte, ist wirklich gruselig. Allerdings muss den Begriff des "Auslesens" hier etwas penibler definieren, allein schon, um überflüssige Panikmache zu vermeiden. De facto wird nicht ausgelesen, sondern verglichen.
Um das auch mal für die technisch weniger versierten Leser zu verdeutlichen: Jeder dürfte bereits bemerkt haben, dass bereits besuchte Links in einem Text oftmals in einer anderen Farbe erscheinen. Die Visualisierung dessen lässt sich auch mittels CSS erreichen; so kann man neben einer anderen Farbe beispielsweise auch ein Hintergrundbild in bereits besuchte Links einbinden.
Und genau hier greift der eingangs erwähnte Mechanismus: Man gibt dem Browser eine ("unsichtbar" gestaltete) Liste mit Links und wertet aus, bei welchen Links die Hintergrundgrafik aufgerufen wird - diese gelten dann als "besucht".
Die Größenordnung, in der dieses Vorgehen als Eingriff in die Privatsphäre gewertet werden kann, hängt also von der Größe und Genauigkeit¹ der Liste ab, gegen die der Abgleich erfolgt. Zu groß darf diese nicht sein, denn dann fällt das Vorgehen durch lange Ladezeiten auf.
In der Realität kann ein solcher Abgleich also nur gegen eine begrenzte Menge von Links erfolgen - wobei das keine vollständige Entwarnung ist, denn natürlich ist es, ähm, unangenehm, wenn einem irgendwo unverhofft die Meldung erscheint, dass man ein Freund von Pornovideoportalen zu sein scheint.
Andererseits kann dieses Vorgehen nicht mit der Brisanz dessen mithalten, wäre es wirklich möglich, die Browser-Historie auszulesen - in der sind unter Umständen Session-IDs von Webshops, Webmailern etc. enthalten, die sich missbrauchen ließen.
Was man dagegen machen kann? Für den Firefox gibt es auch ein Browser-Plugin (habe ich nicht getestet), ansonsten und generell hilft die bekannte Vorgehensweise, nach dem Besuch von
Unterm Strich bleibt also zu vermerken, dass ein gewisses Risiko durchaus vorhanden ist. Dennoch sollte man sich darüber im Klaren sein, dass es sich mitnichten um ein explizites Sicherheitsloch handelt, sondern um Standardmittel von HTML/CSS, die, sagen wir, kreativ eingesetzt werden.
[1] Der besuchte URL muss genau mit dem abgefragten URL übereinstimmen. So gilt
Der Gedanke daran, dass die Browser-Historie von Websites aktiv ausgelesen werden könnte, ist wirklich gruselig. Allerdings muss den Begriff des "Auslesens" hier etwas penibler definieren, allein schon, um überflüssige Panikmache zu vermeiden. De facto wird nicht ausgelesen, sondern verglichen.
Um das auch mal für die technisch weniger versierten Leser zu verdeutlichen: Jeder dürfte bereits bemerkt haben, dass bereits besuchte Links in einem Text oftmals in einer anderen Farbe erscheinen. Die Visualisierung dessen lässt sich auch mittels CSS erreichen; so kann man neben einer anderen Farbe beispielsweise auch ein Hintergrundbild in bereits besuchte Links einbinden.
Und genau hier greift der eingangs erwähnte Mechanismus: Man gibt dem Browser eine ("unsichtbar" gestaltete) Liste mit Links und wertet aus, bei welchen Links die Hintergrundgrafik aufgerufen wird - diese gelten dann als "besucht".
Die Größenordnung, in der dieses Vorgehen als Eingriff in die Privatsphäre gewertet werden kann, hängt also von der Größe und Genauigkeit¹ der Liste ab, gegen die der Abgleich erfolgt. Zu groß darf diese nicht sein, denn dann fällt das Vorgehen durch lange Ladezeiten auf.
In der Realität kann ein solcher Abgleich also nur gegen eine begrenzte Menge von Links erfolgen - wobei das keine vollständige Entwarnung ist, denn natürlich ist es, ähm, unangenehm, wenn einem irgendwo unverhofft die Meldung erscheint, dass man ein Freund von Pornovideoportalen zu sein scheint.
Andererseits kann dieses Vorgehen nicht mit der Brisanz dessen mithalten, wäre es wirklich möglich, die Browser-Historie auszulesen - in der sind unter Umständen Session-IDs von Webshops, Webmailern etc. enthalten, die sich missbrauchen ließen.
Was man dagegen machen kann? Für den Firefox gibt es auch ein Browser-Plugin (habe ich nicht getestet), ansonsten und generell hilft die bekannte Vorgehensweise, nach dem Besuch von
fieserschweinkram.com die Browser-Historie zu löschen. ;-)Unterm Strich bleibt also zu vermerken, dass ein gewisses Risiko durchaus vorhanden ist. Dennoch sollte man sich darüber im Klaren sein, dass es sich mitnichten um ein explizites Sicherheitsloch handelt, sondern um Standardmittel von HTML/CSS, die, sagen wir, kreativ eingesetzt werden.
[1] Der besuchte URL muss genau mit dem abgefragten URL übereinstimmen. So gilt
www.google.de als "nicht besucht", wenn man nur auf google.de war.180x gelesen | 0 Kommentare | Kommentar verfassen | 0 Trackbacks
Trackback URL:
http://banger.twoday.net/stories/der-feine-unterschied-zwischen-auslesen-und-abgleichen/modTrackback