Datenschutz im Web

Dynamisches Webdesign

Inhalt
  1. So werden Sie beim Surfen auspioniert
  2. HTML-Baum
  3. Dynamisches Webdesign

Bösartiger

Eine Webseite, die wie unsere Beispielskripte auf der ersten Seite dieses Artikels 5000 US-Seiten testet, heißt whattheinternetknowsaboutyou.com.

Die Technik lässt sich erweitern und automatisieren. Das JavaScript könnt sich aber eine beliebig lange Linksammlung aus einer Textdatei holen. Und Ajax bietet weitere Möglichkeiten, die Kommunikation zwischen Skript und Server zu verfeinern.

Beim History-Stealing nutzt der Hacker keine Sicherheitslücke, sondern ganz reguläre Funktionen. Für gutes, dynamisches Webdesign ist es unablässig, festzustellen, wie sieht dieses oder jenes Element gerade aus? Das gilt auch für Links.

Der Surfer sollte sich einfach klar darüber sein, dass seine History nicht nur den anderen Anwendern am gleichen PC, sondern auch den besuchten Servern verrät, wo er überall war. Der beste Schutz ist es, Skripte einzuschränken oder im privaten Modus zu browsen (siehe auch Absatz "History-Diebstahl verhindern").

Was Sie noch benötigen

Die erste Ebene unseres Tests läuft rein browserseitig und besteht aus HTML und JavaScript. Wenn Sie im JavaScript den PHP-Aufruf auskommentieren (mit //), können Sie den History-Klau ohne Server testen, indem Sie einfach die Datei index.html aufrufen. Die Ergebnisse poppen in einem Dialog-Fenster auf. Für den PHP-Teil benötigen Sie einen Webserver mit PHP.

Das kann ein lokaler Server sein, den Sie am einfachsten mit XAMPPlite (www.apachefriends.org/de/xampp.html) installieren. Kopieren Sie die Skripte in das Server-Verzeichnis (./xampplite/htdocs) und starte Sie mit dem Tool XAMPP Control Panel den Webserver Apache. Wenn Sie Ihre Startdatei index.html genannt haben, können Sie sie mit der Adresse http://localhost im Browser aufrufen, ansonsten http://localhost/xyz.html.

Eine Einschränkung gibt es: Die Abfrage der IP-Adresse funktioniert mit localhost nicht. Dazu benötigen Sie echten Webspace mit PHP. Das PHP-Skript benötigt dort Schreibrechte, um die Datei ergebnisse.txt in das Server-Verzeichnis ablegen zu dürfen. Sie können die Ergebnisse natürlich mit entsprechender Syntax einer SQL-Datenbank übergeben.

History-Diebstahl verhindern

image.jpg

© PC Magazin

Mit Noscript ist der Anwender vor dem Klau der History-Daten geschützt, wenn er die Skripte auf einer Seite nicht frei gibt.

Da es sich beim Verlauf-Auslesen nicht um eine Sicherheitslücke handelt, sondern um eine legitime JavaScript-Funktion, die Hacker zweckentfremden, gibt es keinen fertigen Bugfix, der das Problem beseitigt. Wie schon angedeutet, sollte jedem klar sein, dass der Verlauf im Browser nichts Persönliches und Geschütztes ist, sondern mehr oder weniger offen steht.

Privater Modus: Im privaten Modus, den inzwischen alle Browser bieten, ist die History gesperrt. Das verhindert auch History-Stealing, und es ist die sinnvollste Maßnahme. Wer Seiten besucht, von denen keiner lokal oder im Web wissen soll, der sollte den privaten Modus einschalten.

History regelmäßig löschen: Alle Browser bieten inzwischen die Funktion, die History nach jeder Sitzung zu löschen. Auch das kann sinnvoll sein. Bei den heutigen schnellen Internetverbindungen ist eine gut gefüllte History kein großer Zeitvorteil mehr.

NoScript: Anwender des Firefox-Add-ons Noscript (addons.mozilla.org/de/firefox/addon/722/) brauchen History-Stealing ebenfalls nicht zu fürchte. Um manche Webseiten jedoch vernünftig benutzen zu können, ist es erforderlich, die Skripte freizugeben.

Eigene Stile: Der Anwender kann dem Browser auch eigene Stile vorgeben und die Verwendung erzwingen, zum Beispiel, alle besuchten Links rosa zu machen. Dann würde History-Stealing ins Leere laufen, denn der Hacker müsste die genaue Farbe kennen. Beim Firefox geht das unter Einstellungen/Inhalt/Farben.

Der Haken bei Seiten das Verwenden von eigenen statt der oben gewählten Farben erlauben darf nicht gesetzt sein. Entsprechende Einstellungen finden Sie beim IE unter Extras/Internetoptionen/Allgemein/Farben und Barrierefreiheit. Nachteil: Rosa stört ein harmonisches Webdesign oft gehörig oder geht in einer ähnlichen Hintergrundfarbe unter.

Mehr zum Thema

Online-Shopping
Aktuelle Blitzangebote, Tagesangebote und Aktionen

Unsere Übersicht mit den spannendsten Amazon-Angeboten des Tages: heute u.a. mit Osram Smart+ Zigbee, Saugroboter, Office 365, LG-TVs, Corsair-Gehäuse…
Evoli entwickeln
Video
Tipp

Namenstrick und Co: So können Sie in Pokémon GO Evoli gezielt entwickeln zu Blitza, Aquana, Flamara, Psiana, Nachtara, Folipurba oder Glaziola.
Windows 10 Aktuelle Version - Update Übersicht
Versionsgeschichte und -vergleich

Was ist die aktuelle Windows-10-Version? Welche Version habe ich installiert? Hier gibt es die Antwort und eine Übersicht der aktuellen…
AVM Fritz Powerline 1260E 1240E
AVM Fritz-OS-Updates im News-Ticker

Welche neuen Fritz-OS-Updates rollt AVM für Fritzbox, Repeater und Co. aus? Unser News-Ticker schafft Überblick. Neu: Fritz Powerline 1260E und 1240E.
Star Trek Picard - offizielles Logo
Alle News und Gerüchte zu Start-Termin, Cast und…

In unserem "Star Trek: Picard"-News-Ticker sammeln wir für Sie alle Neuigkeiten zur neuen Serie. +++ Update: Name und Logo der Show bestätigt +++