Datenschutz im Web

So werden Sie beim Surfen auspioniert

Mit einfachen JavaScript- und PHP-Methoden klauen Webseiten die virtuelle Vergangenheit der Besucher. In deren Chronik oder Verlauf der Browser steht genau, welche Seiten Sie bereits besucht haben.

  1. So werden Sie beim Surfen auspioniert
  2. HTML-Baum
  3. Dynamisches Webdesign
sicherheit, malware, angriff, internet, schutz

© Archiv

sicherheit, malware, angriff, internet, schutz

Einer weit verbreiteten Meinung nach kann der Betreiber einer Webseite nicht feststellen, welche Reise die Besucher bereits hinter sich und welche Stationen sie gemacht haben. Das ist im Prinzip richtig, doch gibt es eine Reihe bemerkenswerter Ausnahmen:

1. Der geklickte Link: In den Server-Logfiles findet sich ein Eintrag, über welchen Link ein Besucher kommt. Wer anonym sein möchte, klickt also keinen Link, sondern kopiert die Adresse in die Adresszeile des Browsers.

2. Cookies: Über Cookies, die von Diensten kommen, die auf vielen Webseiten platziert sind, kann der Betreiber anhand einer ID feststellen, wo sich ein Besucher bewegt. Beispiele wären Werbevermarkter, Google-Statistiken oder Facebook-Gefällt-mir.

3. History-Stealing: Über diese Cracker-Technik fragen Webseitenbetreiber gezielt ab, ob Besucher bestimmte andere Seiten ebenfalls angesurft haben, zum Beispiel die der Konkurrenz. Denn die besuchten Seiten finden sich in der History (Firefox: Chronik, IE: Verlauf) des Browsers.

Dieses History-Stealing geht erschreckend einfach, das will der folgende Artikel dokumentieren. Im Zip-Archiv, das Sie unten auf dieser Seite herunterladen können, finden Sie Skripte, die dazu dienen, Ihnen klar zu machen, wie einfach es ist, dem Browser Informationen zu entlocken. Unsere Beispiele sind insofern transparent, dass der Besucher sieht, was passiert. Ein echter Dieb wird sein Tun verschleiern. Er wird den Iframe so klein machen, dass man ihn kaum noch sieht oder ihn mit CSS aus dem sichtbaren Bereich entfernen. Das Java-Skript wird ohne Rückmeldungen und Alerts arbeiten, das PHP-Skript wird die Daten ebenfalls leise speichern oder einer Datenbank übergeben und nur unverfängliche Inhalte liefern.

Download: Beispieldateien zum Thema "History-Diebe"

Farbentrick

Browser markieren Links von bereits besuchte Webseiten, die sich also auch in der History finden, farbig anders, oft lila statt blau. Mit einer JavaScript-Funktion lässt sich die Farbe beziehungsweise der Stil eines Links nun gezielt abfragen. Ist er lila, war der Besucher dort.

Der History-Dieb versteckt auf seiner Seite eine Reihe von Links, die er abfragen möchte, also alle Seiten der Konkurrenz etwa, oder noch schlimmer, eine Liste aller Banken. Anhand der unterschiedlichen CSS-Stile sieht er, welche Konkurrenzseiten den Besucher interessieren oder bei welcher Online-Bank er Kunde ist.

Achtung: Nicht möglich ist es hingegen, die Browser-History komplett oder unspezifisch auszulesen. Der Angreifer kann nun bestimmte, von ihm vorgegebene Links gezielt prüfen: www.xyz.de besucht oder nicht besucht.

Im Detail funktioniert der Angriff wie folgt. Als Editor eignet sich der kostenlose PSPad (www.pspad.com/de)

stile.css

Zu Beginn definiert der Angreifer die CSS-Stile von besuchten und nicht besuchten Links, um diese später präzise abfragen zu können. Wir wählen schön auffällig in der Datei stile.css:

 

a:link {color: green;}
a:visited {color: red;}

index.html

Die Hauptseite, die den Angriff durchführt, ist eine belanglose Webseite (index.html), mit unverfänglichen Inhalten. Irgendwo auf der Seite findet sich ein Inline-Frame, der die räuberischen Skripte enthält. Wir wählen diesen Iframe nicht zu klein, damit man den Effekt auch sieht:

<iframe src="./imrahmen.html"
width="60%" height="200">

Der Grund, einen eigenen Frame anzulegen, liegt darin, dass wir später die gestohlenen Daten dem Server mit PHP übergeben müssen. Dabei lädt der Browser die Seite mit den Ergebnissen des PHP-Skripts neu und würde ohne Frame die Hauptseite erneuern. Diese soll aber erhalten bl

eiben. Eine elegantere Alternative zum Iframe wäre Ajax mit dem XMLHttpRequest, was aber weitaus aufwändiger zu programmieren und hier darzustellen ist.

Mehr zum Thema

Amazon Blitzangebote
Technik-Deals

Die Highlights der Amazon Blitzangebote - heute mit Weihnachts-Angebote-Woche, Netgear-NAS, 57 Prozent auf Heimkino-Produkte und mehr.
Netflix App Screenshot Neuheiten
Neuerscheinungen in der Übersicht

Was wird bei Netflix neu dem Programm hinzugefügt? Unsere Übersicht zeigt neue Filme und Serien die Netflix demnächst ab Dezember 2016 bietet.
Naturaufnahmen
Tutorial

Der Jahreswechsel naht: Unsere Anleitung zeigt in 13 Schritten, wie Sie mit Powerpoint einen eigenen Foto-Kalender erstellen.
Screenshot: Hosts - Editor
Anleitung

Unter Windows 7 bis 10 können Sie über die Hosts-Datei einzelne Webseiten zuverlässig sperren. Wie das geht, erklärt unsere Anleitung.
Gearbest-Angebote und Coupons
Tablets, Smartphones, Mini-PCs

Nach dem Cyber Monday ist noch nicht Schluss. Beim Online-Shop Gearbest warten weitere gute Deals. Wir haben Angebote und Coupon-Codes im Überblick.