Mumien, Analphabeten, Diebe.
Du hast's gut, du hast dein Leben noch vor dir.
Mittwoch, 7. April 2010
WTIKAY
nnier | 07. April 2010 | Topic Gelesn
Nun bin ich doch überrascht. Ich war der Ansicht, einigermaßen darüber bescheid zu wissen, wie das im Internet so funktioniert. Fehlanzeige.

Es geht um eine seit Jahren bestehende Sicherheitslücke, von der ich neulich schon einmal im Vorbeigehen las, aber erst jetzt habe ich tatsächlich verstanden, worum es geht.*

Bisher war ich von folgendem ausgegangen: Ich rufe eine URL auf. Dabei werden in manchen Fällen ganz offen auch Parameter übermittelt, bspw. bei einer Suchanfrage der Suchbegriff - die Parameter sind das, was man hinter dem Fragezeichen in der URL sehen kann, z.B. so:

http://www.bing.com/search?q=mumien+analphabeten+diebe&form=QBLH&filt=all

Man ruft also die URL http://www.bing.com/search auf und übergibt folgende Name-Wert-Paare: Außerdem können diese Parameter auch "unsichtbar" übermittelt werden, d.h. man sieht sie nicht im URL-String; dies ist oft bei Formularfeldern der Fall. So weit, so gut. In beiden Fällen nimmt der Server diese Parameter entgegen und macht ggf. etwas damit - z.B. die Datenbank nach dem übermittelten Suchbegriff durchforsten und eine entsprechende Antwortseite generieren. So weit, so gut.

Dass mein Browser zusätzlich immer noch ein wenig über sich selbst mitteilt und auf welchem Betriebssystem er läuft, welche Bildschirmauflösung ich verwende, ob ich JavaScript aktiviert habe usw. usw. war mir auch klar. Der Server kann diese Informationen auswerten und mir damit, wenn er will, eine für diese Konfiguration optimierte Antwortseite schicken. So weit, so gut.

Schließlich und endlich gibt es die sogenannten Referrer-Informationen; d.h. wenn auf Seite A ein Link zu Seite B ist und ich diesen anklicke, dann erhält Seite B eben diese Information, woher ich gekommen bin.

Bis hierhin ist mir das alles klar, und wenn ich der Ansicht war, dass ich etwas davon verschleiern möchte, dann konnte ich es auch tun (bspw. kann man seine Browserversion für sich behalten oder eine falsche Information mitsenden). Mit kleinen Firefox-Plugins wie z.B. "Web Developer" oder "URL Params" kann man außerdem ganz gut herausfinden, welche Informationen versteckt oder offen mitgeschickt werden und diese auch manipulieren. Man kann damit übrigens lustige Dinge tun, so habe ich z.B. einmal meinen Mobilfunkprovider angewiesen, mein Guthaben jeweils um 33 Cent aufzustocken, wenn der Betrag von 7,56 EUR unterschritten wurde - denn man hatte dort auf jede serverseitige Prüfung der Formulardaten verzichtet. Eigentlich hätte ich auch mal mit negativen Zahlen herumspielen sollen.

Nun folgt Teil 2. Dass es eine "Browser-Historie" gibt, weiß jeder. Man kann die Liste der zuletzt besuchten Seiten ansehen (und dann erschrecken und schnell löschen, bevor sie jemand sieht). Und man sieht die kürzlich besuchten Links oft andersfarbig als noch nicht angeklickte dargestellt - bspw. violett anstatt blau.

Na und, dachte ich, das ist ja auch kein Problem. Im HTML bzw. CSS steht ja, wie der Browser besuchte Links darstellen soll, oder er verwendet seinen eigenen Standard. Die Seite, die mir der Server schickt, so glaubte ich, kommt erst mal "einfach so" zu mir und mein Browser "weiß" ja, wo ich zuvor schon war, deshalb färbt er die Links eben mal violett und mal blau ein.

Und das ist nicht so. Bzw. das ist nicht so harmlos. Denn es ist ganz einfach möglich, dass der Server mit einem simplen Trick die gesamte Browserhistorie ausliest!

Was das bedeutet, kann sich jeder ausrechnen: Überlegen Sie selbst mal, welches Profil aus der Kombination Ihrer Suchmaschinenabfragen, Ihrer besuchten Kontakte in "Sozialen Netzwerken", der Internetbank, der Zeitungslektüre usw. entsteht, was man über Ihre Interessen, Vorlieben und Gewohnheiten herausfinden kann, und ob die drei Personen, nach denen Sie zuletzt "geg**gelt" haben, nicht ziemlich eindeutig verraten, wer Sie selbst sind. Oder haben Sie etwa nach Ihrem eigenen Namen gesucht?

Alles weitere ist (auf englisch) hier allgemeinverständlich und hier technisch erklärt. Ein paar Lösungsvorschläge gibt's auch (unter anderem: Einfach immer den "privaten" Modus verwenden, Historie löschen).

So funktioniert es, wenn keine böse Absicht, sondern der Wille zur Aufklärung dahintersteckt. Was hingegen auf anderen Servern stattfindet, davon bekomme ich gerade eine leise Vorstellung.

--
*Unter der Überschrift "Deanonymisierung: Mozilla will Sicherheitslücke schließen"

Link zu diesem Beitrag (8 Kommentare)  | Kommentieren [?]   





... hier geht's zu den --> älteren Einträgen *
* Ausgereift und gut abgehangen, blättern Sie zurück!

Letzte Kommentare
Kalender
April 2010
Mo
Di
Mi
Do
Fr
Sa
So
 
 
 
 1 
 5 
 9 
11
14
17
18
19
21
22
24
25
28
29
30
 
 
 
Archiv
10/24 07/24 06/24 04/24 03/24 02/24 01/24 12/23 11/23 10/23 06/23 12/22 11/22 06/22 08/21 06/21 04/21 12/20 09/20 06/20 12/19 11/19 06/19 02/19 08/18 06/18 04/18 03/18 02/18 01/18 10/17 06/17 05/17 02/17 01/17 12/16 11/16 10/16 09/16 08/16 07/16 06/16 05/16 04/16 03/16 02/16 01/16 12/15 11/15 10/15 09/15 08/15 07/15 06/15 05/15 04/15 03/15 02/15 01/15 12/14 11/14 10/14 09/14 08/14 07/14 06/14 05/14 04/14 03/14 02/14 01/14 12/13 11/13 10/13 09/13 08/13 07/13 06/13 05/13 04/13 03/13 02/13 01/13 12/12 11/12 10/12 09/12 08/12 07/12 06/12 05/12 04/12 03/12 02/12 01/12 12/11 11/11 10/11 09/11 08/11 07/11 06/11 05/11 04/11 03/11 02/11 01/11 12/10 11/10 10/10 09/10 08/10 07/10 06/10 05/10 04/10 03/10 02/10 01/10 12/09 11/09 10/09 09/09 08/09 07/09 06/09 05/09 04/09 03/09 02/09 01/09 12/08 11/08 10/08 09/08 08/08 07/08 06/08 05/08 04/08
Über
Who dis?
Erstgespräch