Startseite Service Was Ihr Browser über Sie verrät Auslesen der Browser History 
[Druckversion: HTML ]

Auslesen der Browser History

Wir geben meist mehr Daten im Internet preis als wir wollen. Ein gutes Beispiel ist der folgende Javascript-Hack, der es Angreifern erlaubt auszulesen, ob Sie bestimmte Webseiten vor kurzem schon besucht haben.

Auslesen Ihrer "Browser History" durch einen Dritten / Angreifer

Zugriff: Die ganze Welt

Standardmäßig speichert jeder Browser in der "Browser-History" (wird auch als "Verlauf" oder "Chronik" bezeichnet) die zuletzt von Ihnen besuchten Webseiten.
Potentiellen Angreifen ist es nun möglich, mit Hilfe von Javascript auszulesen, ob Sie bestimmte Webseiten in letzter Zeit bereits besucht haben. Daraus kann der Angreifer beispielsweise ableiten, welche Informationsportale Sie lesen (z.B. Spiegel Online, Focus Online, Heise, etc.) oder bei welcher Bank Sie Kunde sind. Diese Informationen könnte er dann für gezielte Phishing-Angriffe nutzen.

In unserem Beispiel (siehe unten) werden die Informationen, die Sie preis geben würden, nur in Ihrem Browser angezeigt - Eine Übermittlung dieser Daten an ZENDAS und an Dritte findet nicht statt (obwohl dies natürlich technisch möglich wäre).

Dieses Beispiel benötigt "Javascript" und funktioniert ab Firefox 1.5 (inkl. dem aktuellen 2.5.2)

Das Script wurde uns von Jeremiah Grossman, WhiteHat Security, Inc. zur Verfügung gestellt.

Ein Beispiel ohne Javascript für Firefox und Internet Explorer finden Sie auf der Webseite http://ha.ckers.org/weird/CSS-history.cgi Externer Link.

Besuchte Webseiten:
    Nicht besuchte Webseiten

      Wie kann ich mich davor schützen?

      Zugriff: Die ganze Welt

      Ein hundertprozentiger Schutz gegen diese Form der Datenausspähung existiert im Moment nicht, wohl aber Maßnahmen, mit denen Sie Angreifern den Zugriff auf Ihre Browser-History erschweren können. Das Deaktivieren von Javascript ist übrigens kein sicherer Schutz gegen den hier vorgestellten Hack: Mittlerweile existiert eine Variante, bei der kein Javascript, sondern lediglich ein präpariertes Stylesheet notwendig ist, um an die gewünschten Informationen zu gelangen.

      Firefox konfigurieren

      Die einfachste Möglichkeit ist sicherlich das komplette Deaktivieren der Browser-History. Firefox bietet hierfür unter "Extras/Einstellungen/Datenschutz" die Option, die Chronik für besuchte Webseiten komplett auszuschalten.
      Wer auf die Verlaufsfunktion nicht komplett verzichten kann, hat außerdem die Möglichkeit, Firefox so zu konfigurieren, dass dieser die Chronik beim Schließen des Browsers automatisch löscht.

      Firefox konfigurieren

      Für alle anderen lohnt sich ein Blick auf die Firefox-Erweiterung Stanford SafeHistory Externer Link der Standford Univerität. Die Erweiterung soll das Auslesen der besuchten Seiten aus der Browser-History verhindern. Erste Tests mit der Erweiterung waren durchaus überzeugend.

      Internet Explorer konfigurieren

      Obwohl im Internet Explorer der Javascript-Hack zum Ausspähen der Browser-History von Haus aus nicht funktioniert, können sich Internet Explorer -Benuter trotzdem nicht sicher fühlen, da hier immer noch der CSS-Hack funktioniert. Deshalb hilft hier ebenfalls eine entsprechende Anpassung der Browser-History. Im Internet Explorer können Sie die Browser-History (hier "Verlauf" genannt) unter "Extras/Internetoptionen/Allgemein/Browserverlauf/Einstellungen" konfigurieren.

      Internet Explorer konfigurieren

      Ein automatisches Löschen des Verlaufs beim Schließen des Internet Explorers ist leider nicht möglich.

      Weitere Informationen zum Thema:

      Zugriff: Die ganze Welt

      I know where you've been [Englisch]
      http://jeremiahgrossman.blogspot.com/2006/08/i-know-where-youve-been.html Externer Link

      CSS History Hack Without JavaScript [Englisch]
      http://ha.ckers.org/weird/CSS-history.cgi Externer Link

      I know where you've been - anywhere [Englisch]
      http://jeremiahgrossman.blogspot.com/2006/12/i-know-if-youre-logged-in-anywhere.html Externer Link

      Heise: Angreifer können Liste besuchter Webseiten auslesen
      http://www.heise.de/newsticker/meldung/86113 Externer Link

      Copyright 2016 by ZENDAS