Datenschutz im Web

Dynamisches Webdesign

Bösartiger

Eine Webseite, die wie unsere Beispielskripte auf der ersten Seite dieses Artikels 5000 US-Seiten testet, heißt whattheinternetknowsaboutyou.com.

Die Technik lässt sich erweitern und automatisieren. Das JavaScript könnt sich aber eine beliebig lange Linksammlung aus einer Textdatei holen. Und Ajax bietet weitere Möglichkeiten, die Kommunikation zwischen Skript und Server zu verfeinern.

Beim History-Stealing nutzt der Hacker keine Sicherheitslücke, sondern ganz reguläre Funktionen. Für gutes, dynamisches Webdesign ist es unablässig, festzustellen, wie sieht dieses oder jenes Element gerade aus? Das gilt auch für Links.

Der Surfer sollte sich einfach klar darüber sein, dass seine History nicht nur den anderen Anwendern am gleichen PC, sondern auch den besuchten Servern verrät, wo er überall war. Der beste Schutz ist es, Skripte einzuschränken oder im privaten Modus zu browsen (siehe auch Absatz "History-Diebstahl verhindern").

Was Sie noch benötigen

Die erste Ebene unseres Tests läuft rein browserseitig und besteht aus HTML und JavaScript. Wenn Sie im JavaScript den PHP-Aufruf auskommentieren (mit //), können Sie den History-Klau ohne Server testen, indem Sie einfach die Datei index.html aufrufen. Die Ergebnisse poppen in einem Dialog-Fenster auf. Für den PHP-Teil benötigen Sie einen Webserver mit PHP.

Das kann ein lokaler Server sein, den Sie am einfachsten mit XAMPPlite (www.apachefriends.org/de/xampp.html) installieren. Kopieren Sie die Skripte in das Server-Verzeichnis (./xampplite/htdocs) und starte Sie mit dem Tool XAMPP Control Panel den Webserver Apache. Wenn Sie Ihre Startdatei index.html genannt haben, können Sie sie mit der Adresse http://localhost im Browser aufrufen, ansonsten http://localhost/xyz.html.

Eine Einschränkung gibt es: Die Abfrage der IP-Adresse funktioniert mit localhost nicht. Dazu benötigen Sie echten Webspace mit PHP. Das PHP-Skript benötigt dort Schreibrechte, um die Datei ergebnisse.txt in das Server-Verzeichnis ablegen zu dürfen. Sie können die Ergebnisse natürlich mit entsprechender Syntax einer SQL-Datenbank übergeben.

History-Diebstahl verhindern

image.jpg

© PC Magazin

Mit Noscript ist der Anwender vor dem Klau der History-Daten geschützt, wenn er die Skripte auf einer Seite nicht frei gibt.

Da es sich beim Verlauf-Auslesen nicht um eine Sicherheitslücke handelt, sondern um eine legitime JavaScript-Funktion, die Hacker zweckentfremden, gibt es keinen fertigen Bugfix, der das Problem beseitigt. Wie schon angedeutet, sollte jedem klar sein, dass der Verlauf im Browser nichts Persönliches und Geschütztes ist, sondern mehr oder weniger offen steht.

Privater Modus: Im privaten Modus, den inzwischen alle Browser bieten, ist die History gesperrt. Das verhindert auch History-Stealing, und es ist die sinnvollste Maßnahme. Wer Seiten besucht, von denen keiner lokal oder im Web wissen soll, der sollte den privaten Modus einschalten.

History regelmäßig löschen: Alle Browser bieten inzwischen die Funktion, die History nach jeder Sitzung zu löschen. Auch das kann sinnvoll sein. Bei den heutigen schnellen Internetverbindungen ist eine gut gefüllte History kein großer Zeitvorteil mehr.

NoScript: Anwender des Firefox-Add-ons Noscript (addons.mozilla.org/de/firefox/addon/722/) brauchen History-Stealing ebenfalls nicht zu fürchte. Um manche Webseiten jedoch vernünftig benutzen zu können, ist es erforderlich, die Skripte freizugeben.

Eigene Stile: Der Anwender kann dem Browser auch eigene Stile vorgeben und die Verwendung erzwingen, zum Beispiel, alle besuchten Links rosa zu machen. Dann würde History-Stealing ins Leere laufen, denn der Hacker müsste die genaue Farbe kennen. Beim Firefox geht das unter Einstellungen/Inhalt/Farben.

Der Haken bei Seiten das Verwenden von eigenen statt der oben gewählten Farben erlauben darf nicht gesetzt sein. Entsprechende Einstellungen finden Sie beim IE unter Extras/Internetoptionen/Allgemein/Farben und Barrierefreiheit. Nachteil: Rosa stört ein harmonisches Webdesign oft gehörig oder geht in einer ähnlichen Hintergrundfarbe unter.

Mehr zum Thema

Amazon Blitzangebote
Technik-Deals

Die Highlights der Amazon Blitzangebote - heute mit Weihnachts-Angebote-Woche, Asustor-NAS, 2-TB-SSD von Samsung, Laptop-Kühler und mehr.
Netflix App Screenshot Neuheiten
Neuerscheinungen in der Übersicht

Was wird bei Netflix neu dem Programm hinzugefügt? Unsere Übersicht zeigt neue Filme und Serien die Netflix demnächst ab Dezember 2016 bietet.
Naturaufnahmen
Tutorial

Der Jahreswechsel naht: Unsere Anleitung zeigt in 13 Schritten, wie Sie mit Powerpoint einen eigenen Foto-Kalender erstellen.
Screenshot: Hosts - Editor
Anleitung

Unter Windows 7 bis 10 können Sie über die Hosts-Datei einzelne Webseiten zuverlässig sperren. Wie das geht, erklärt unsere Anleitung.
Gearbest-Angebote und Coupons
Tablets, Smartphones, Mini-PCs

Nach dem Cyber Monday ist noch nicht Schluss. Beim Online-Shop Gearbest warten weitere gute Deals. Wir haben Angebote und Coupon-Codes im Überblick.