History Stealing

Aus TechnikWiki
Wechseln zu: Navigation, Suche

Beschreibung

Vorlage Archiv.jpg

Dieser Artikel ist nicht mehr aktuell und wurde deshalb archiviert.

Diese Sicherheitslücke wurde im Frühjahr 2011 von den meisten Browser-Herstellern geschlossen.

History Stealing

Sicherheitslücke:
History Stealing

History Stealing ist eine seit dem Jahr 2000 bekannte Sicherheitslücke. Um bereits besuchte Links auf Websites hervorzuheben, müssen Websites auf die History der Browser zurückgreifen, in der die bisherigen Wege des Nutzers durchs Web auf dessen Computer aufgezeichnet sind. Bei der Attacke werden Daten, die vom Angreifer mittels Webcrawling erhoben wurden, mit der Browser-History abgeglichen. So lässt sich zumindest in vielen Fällen, ein Nutzer eindeutig identifizieren, da selten zwei Nutzer exakt die gleichen Gruppenmitgliedschaften aufweisen. Das Ganze machen sich einige Forscher zunutze und erstellen anhand der History des Browsers ein Profil und schaffen es anhand dessen sogar den Nutzer komplett zu erkennen.

Es kann nicht der Browserverlauf direkt ausgelesen werden. Es können nur vorgegebene Seiten getestet werden. Das können jedoch Tausende sein. Eine Webseite hat also eine Liste von Seiten, die automatisch durchgetestet werden, ob der Surfer sie im Browserverlauf hat. Benötigt wird normalerweise JavaScript, funktioniert aber in manchen Browsern auch ohne JavaScript. Dabei kommt eine andere Technik zum Einsatz. Das funktioniert zum Beispiel in Firefox und im Internet Explorer, in Opera aber nicht.

Eine derartige Attacke lässt sich relativ einfach und ohne großen finanziellen oder technischen Aufwand durchführen. Mit den daraus gewonnenen Nutzerdaten und Informationen könnten Cyberkriminelle einiges anstellen. Von Erpressung bis zur Wirtschaftsspionage, personalisierten Phishing-Versuchen und gezielten Werbeschaltungen reicht die Palette an Möglichkeiten.

Einzige Voraussetzung für das Ausspähen der Benutzerdaten ist, dass der Benutzer in Social Networks aktiv ist. Umso mehr Gruppen, desto besser. Diese neue Angriffsmethode ist so simpel, dass auch technisch nicht sehr versierte Hacker sie umsetzen können.

Empfehlung

Die derzeit beste Möglichkeit, deine Identität und privaten Daten gegen diese Art von Angriffen zu schützen ist es, den Verlauf besuchter Internetseiten in Ihrem Webbrowser regelmäßig zu löschen (siehe Screenshot 2siehe Screenshot 2), oder gar nicht erst speichern zu lassen. Das gilt vor allem für Internetadressen von Webseiten, bei denen Sie Mitglied sind.

In modernen Browser lässt sich der Verlauf per Hand oder regelmäßig automatisch löschen (siehe Screenshot 3siehe Screenshot 3). Manche Browser bieten auch die Möglichkeit, ohne die Aufzeichnung von Verlaufsdaten zu surfen (siehe Screenshot 5siehe Screenshot 5).

In der Regel hilft auch NoScript und BetterPrivacy (Firefox Addons) und die richtigen Privatsphäre Einstellungen. Auch die Freeware CCleaner beseitigt private Daten die von einem Browser oder Player abgespeichert werden.

Screenshots

Informationen

Autor

Artikeldatum

  • März 2017 (April 2010)

(*) Datum des Artikels im alten TechnikWiki.

Kommentare

Fehler:
Die Felder "Name" und "Kommentar" müssen ausgefüllt werden und bitte bestätige, dass du kein Roboter (siehe Hilfe: Captcha) bist.
Information:
Der Kommentar wurde erfolgreich abgesendet und wird demnächst freigeschaltet.
Name:
Webseite:
Kommentar: