Længlich: IT-Forscher enttarnen Internetsurfer

Jó napot kívánok!

Gerade auf Spiegel Online gesehen:
http://www.spiegel.de/netzwelt/web/0,1518,675395,00.html

Sind Zugriffe auf die Browser-History ohne Javascript machbar, oder ist man halbwegs sicher, wenn man selbiges ausschaltet? Mich persönlich betrifft es zwar nicht (ich surfe nicht in den Gruppen solcher Netzwerke herum), für einige andere wird es sich aber wohl lohnen, sich darüber Gedanken zu machen.

Viele Grüße vom Længlich

--
Mein aktueller Gruß ist:
Ungarisch
  1. Sind Zugriffe auf die Browser-History ohne Javascript machbar, oder ist man halbwegs sicher, wenn man selbiges ausschaltet?

    Ohne JavaScript dürfte man beim History-Klau relativ sicher sein.

    Die Funktionsweise dieser Seiten ist simpel: man erzeugt eine Menge versteckter iframes mit einschlägigen Seiten - z.B. XING. Wenn man dort ein Login-Cookie hat oder vergleichbares, wird dies Natürlich entsprechend verschickt. Dann kann man mit JavaScript wunderbar sämtliche Daten auslesen, sofern die Struktur der Seite bekannt ist.

    1. Sind Zugriffe auf die Browser-History ohne Javascript machbar, oder ist man halbwegs sicher, wenn man selbiges ausschaltet?
      Ohne JavaScript dürfte man beim History-Klau relativ sicher sein.

      relativ ist relativ

      a[href~="xy"]:visited{background:url(xy)}

      mfg Beat

      --
      ><o(((°>           ><o(((°>
         <°)))o><                     ><o(((°>o
      Der Valigator leibt diese Fische
      1. relativ ist relativ

        a[href~="xy"]:visited{background:url(xy)}

        Das ist zwar süss, aber hilft dir bei der serverseitigen Verarbeitung wahrscheinlich wenig :)

        1. Miiyu!

          a[href~="xy"]:visited{background:url(xy)}

          Das ist zwar süss, aber hilft dir bei der serverseitigen Verarbeitung wahrscheinlich wenig :)

          Habe gerade a:visited textarea:after { content:"..."; } ausprobiert, was tatsächlich etwas an den Server hätte senden können. Die gute Nachricht: Es ist wirkungslos, zumindest im Firefox 3.6. Per content ein ganz neues Element zu erzeugen geht m.W. auch nicht.

          Viele Grüße vom Længlich

          --
          Mein aktueller Gruß ist:
          Luiseño (gesprochen in Südkalifornien)
          1. @@Længlich:

            nuqneH

            Per content ein ganz neues Element zu erzeugen geht m.W. auch nicht.

            ':after' erzeugt ein ganz neues Pseudo-Element.

            In 'textarea' dürfen allerdings keine Elemente vorkommen, sondern nur PCDATA.

            Qapla'

            --
            Volumen einer Pizza mit Radius z und Dicke a: pi z z a
            1. In 'textarea' dürfen allerdings keine Elemente vorkommen, sondern nur PCDATA.

              Im Falle von CSS ist das aber irrelevant da das Pseudo-Element ohnehin nicht wirklich als Element mit besonderen Eigenschaften exsitiert - man kann mit Pseudo-Elementen z.B. auch keine klickbaren Links erzeugen oder Evenhandler drauflegen.

              1. Habari!

                In 'textarea' dürfen allerdings keine Elemente vorkommen, sondern nur PCDATA.

                Im Falle von CSS ist das aber irrelevant da das Pseudo-Element ohnehin nicht wirklich als Element mit besonderen Eigenschaften exsitiert - man kann mit Pseudo-Elementen z.B. auch keine klickbaren Links erzeugen oder Evenhandler drauflegen.

                Genau, ich dachte jetzt in erster Linie an <input type="hidden" … /> oder vergleichbares, vermöge derer man die Information ohne JS an den Server schicken könnte. Ich hätte »Formularelemente« statt nur »Elemente« schreiben [sw]ollen. Normalerweise merke ich sowas in der Vorschau, aber leider nicht immer – mir selbst war unpraktischerweise klar, was ich meinte. ;-)

                Viele Grüße vom Længlich

                --
                Mein aktueller Gruß ist:
                Shimwali (gesprochen auf Moheli Island [Komoren])
        2. Tach,

          a[href~="xy"]:visited{background:url(xy)}

          Das ist zwar süss, aber hilft dir bei der serverseitigen Verarbeitung wahrscheinlich wenig :)

          wieso? Ich kann so für jeden Link serverseitig feststellen, ob er in der Browser-History drin war oder nicht; Javascript ist nicht nötig.

          mfg
          Woodfighter

    2. Hallo Suit,

      Die Funktionsweise dieser Seiten ist simpel: man erzeugt eine Menge versteckter iframes mit einschlägigen Seiten - z.B. XING. Wenn man dort ein Login-Cookie hat oder vergleichbares, wird dies Natürlich entsprechend verschickt. Dann kann man mit JavaScript wunderbar sämtliche Daten auslesen, sofern die Struktur der Seite bekannt ist.

      Das verstehe ich nicht. Ich habe eine Seite, example.com, dort befindet sich z.b. ein iframe, der auf z.b. XING verweist. Wie kann ich denn dann von example.com die Cookies auslesen? Und was genau meinst du mit sämtlichen Daten? Ich würde sowas gerne testweise mal ausprobieren. Nur leider fehlt mir dazu jeglicher Ansatz.

      Gruß
      Bolle

    3. Die Funktionsweise dieser Seiten ist simpel: man erzeugt eine Menge versteckter iframes mit einschlägigen Seiten - z.B. XING. Wenn man dort ein Login-Cookie hat oder vergleichbares, wird dies Natürlich entsprechend verschickt. Dann kann man mit JavaScript wunderbar sämtliche Daten auslesen, sofern die Struktur der Seite bekannt ist.

      Das würde ja an der Same Origin Policy scheitern, Javascript hat keinen Zugriff auf fremde Inhalte in Iframes. Javascript kann aber die Farbe von Links auslesen, kann also aus einer langen Liste mit Links diejenigen herausfinden, die der Browser als besucht markiert hat.

  2. @@Længlich:

    nuqneH

    Gerade auf Spiegel Online gesehen:
    http://www.spiegel.de/netzwelt/web/0,1518,675395,00.html

    Passend dazu: http://www.heise.de/newsticker/meldung/EFF-demonstriert-den-Fingerabdruck-des-Browsers-918262.html/from/atom10

    Qapla'

    --
    Volumen einer Pizza mit Radius z und Dicke a: pi z z a
  3. Grüße,
    hm - wie genau funzt es denn?
    im JS hat man zwar den history-object, aber ich frage mich wie es bei tabs aussieht?
    und was wird a mit "dynamischen links" gemeint?
    MFG
    bleicher

    --
    __________________________-

    FirefoxMyth
    1. Tach,

      hm - wie genau funzt es denn?
      im JS hat man zwar den history-object, aber ich frage mich wie es bei tabs aussieht?

      du vergleichst mit Javascript einfach die angewendeten CSS-Eigenschaften von Links, die du mit a:visited zu formatieren versuchst.

      mfg
      Woodfighter

      1. Grüße,

        du vergleichst mit Javascript einfach die angewendeten CSS-Eigenschaften von Links, die du mit a:visited zu formatieren versuchst.

        aaah! *hmmm*... das würde so sogar ich schaffen.*grübel*
        MFG
        bleicher

        --
        __________________________-

        FirefoxMyth
  4. hi,

    der Traum mancher Experten, die Person hinter dem Rechner identifizieren zu können, ist möglicherweise älter als der Traum von einem Perpetuum Mobilé.

    Viele Grüße,
    Rolf

    --
    Meine Fingerabdrücke finden Sie in der Mülltonne, da liegt die Tastatur jetzt.
    1. Grüße,

      der Traum mancher Experten, die Person hinter dem Rechner identifizieren zu können, ist möglicherweise älter als der Traum von einem Perpetuum Mobilé.

      war Antikythera etwa Netzwerkfähig?
      MFG
      bleicher

      --
      __________________________-

      FirefoxMyth
      1. Hi!

        Grüße,

        der Traum mancher Experten, die Person hinter dem Rechner identifizieren zu können, ist möglicherweise älter als der Traum von einem Perpetuum Mobilé.

        war Antikythera etwa Netzwerkfähig?

        Nein - nur mechanisches Multitasking war möglich!

        off:PP

        --
        "You know that place between sleep and awake, the place where you can still remember dreaming?" (Tinkerbell)