Datenschutz im Web

So werden Sie beim Surfen auspioniert

Mit einfachen JavaScript- und PHP-Methoden klauen Webseiten die virtuelle Vergangenheit der Besucher. In deren Chronik oder Verlauf der Browser steht genau, welche Seiten Sie bereits besucht haben.

Inhalt
  1. So werden Sie beim Surfen auspioniert
  2. HTML-Baum
  3. Dynamisches Webdesign
sicherheit, malware, angriff, internet, schutz

© Archiv

sicherheit, malware, angriff, internet, schutz

Einer weit verbreiteten Meinung nach kann der Betreiber einer Webseite nicht feststellen, welche Reise die Besucher bereits hinter sich und welche Stationen sie gemacht haben. Das ist im Prinzip richtig, doch gibt es eine Reihe bemerkenswerter Ausnahmen:

1. Der geklickte Link: In den Server-Logfiles findet sich ein Eintrag, über welchen Link ein Besucher kommt. Wer anonym sein möchte, klickt also keinen Link, sondern kopiert die Adresse in die Adresszeile des Browsers.

2. Cookies: Über Cookies, die von Diensten kommen, die auf vielen Webseiten platziert sind, kann der Betreiber anhand einer ID feststellen, wo sich ein Besucher bewegt. Beispiele wären Werbevermarkter, Google-Statistiken oder Facebook-Gefällt-mir.

3. History-Stealing: Über diese Cracker-Technik fragen Webseitenbetreiber gezielt ab, ob Besucher bestimmte andere Seiten ebenfalls angesurft haben, zum Beispiel die der Konkurrenz. Denn die besuchten Seiten finden sich in der History (Firefox: Chronik, IE: Verlauf) des Browsers.

Dieses History-Stealing geht erschreckend einfach, das will der folgende Artikel dokumentieren. Im Zip-Archiv, das Sie unten auf dieser Seite herunterladen können, finden Sie Skripte, die dazu dienen, Ihnen klar zu machen, wie einfach es ist, dem Browser Informationen zu entlocken. Unsere Beispiele sind insofern transparent, dass der Besucher sieht, was passiert. Ein echter Dieb wird sein Tun verschleiern. Er wird den Iframe so klein machen, dass man ihn kaum noch sieht oder ihn mit CSS aus dem sichtbaren Bereich entfernen. Das Java-Skript wird ohne Rückmeldungen und Alerts arbeiten, das PHP-Skript wird die Daten ebenfalls leise speichern oder einer Datenbank übergeben und nur unverfängliche Inhalte liefern.

Download: Beispieldateien zum Thema "History-Diebe"

Farbentrick

Browser markieren Links von bereits besuchte Webseiten, die sich also auch in der History finden, farbig anders, oft lila statt blau. Mit einer JavaScript-Funktion lässt sich die Farbe beziehungsweise der Stil eines Links nun gezielt abfragen. Ist er lila, war der Besucher dort.

Der History-Dieb versteckt auf seiner Seite eine Reihe von Links, die er abfragen möchte, also alle Seiten der Konkurrenz etwa, oder noch schlimmer, eine Liste aller Banken. Anhand der unterschiedlichen CSS-Stile sieht er, welche Konkurrenzseiten den Besucher interessieren oder bei welcher Online-Bank er Kunde ist.

Achtung: Nicht möglich ist es hingegen, die Browser-History komplett oder unspezifisch auszulesen. Der Angreifer kann nun bestimmte, von ihm vorgegebene Links gezielt prüfen: www.xyz.de besucht oder nicht besucht.

Im Detail funktioniert der Angriff wie folgt. Als Editor eignet sich der kostenlose PSPad (www.pspad.com/de)

stile.css

Zu Beginn definiert der Angreifer die CSS-Stile von besuchten und nicht besuchten Links, um diese später präzise abfragen zu können. Wir wählen schön auffällig in der Datei stile.css:

 

a:link {color: green;}
a:visited {color: red;}

index.html

Die Hauptseite, die den Angriff durchführt, ist eine belanglose Webseite (index.html), mit unverfänglichen Inhalten. Irgendwo auf der Seite findet sich ein Inline-Frame, der die räuberischen Skripte enthält. Wir wählen diesen Iframe nicht zu klein, damit man den Effekt auch sieht:

<iframe src="./imrahmen.html"
width="60%" height="200">

Der Grund, einen eigenen Frame anzulegen, liegt darin, dass wir später die gestohlenen Daten dem Server mit PHP übergeben müssen. Dabei lädt der Browser die Seite mit den Ergebnissen des PHP-Skripts neu und würde ohne Frame die Hauptseite erneuern. Diese soll aber erhalten bl

eiben. Eine elegantere Alternative zum Iframe wäre Ajax mit dem XMLHttpRequest, was aber weitaus aufwändiger zu programmieren und hier darzustellen ist.

Mehr zum Thema

Marvel Filme Reihenfolge (MCU)
Chronologische Liste und Netflix-Links

Von "Iron Man" bis "Spider-Man: Far From Home": Alle Marvel-Filme in chronologisch richtiger Reihenfolge + Links zu Netflix, Prime Video und Maxdome.
MSI Geforce RTX 2070
High-End-CPUs mit Echtzeit-Raytracing

2019 wurde die Mittelklasse mit AMD Radeon 5700 (XT) und Nvidias RTX-Super-Karten gepflegt. Was steht als nächstes an: Wann kommen neue Grafikkarten?
Pro-Notebook
Neuer Apple-Laptop

Das neue MacBook Pro 16" von 2019 ist bald erhältlich. Bei Amazon können Sie das High-End-Notebook schon jetzt vorbestellen - günstiger als bei Apple.
Surface Laptop 3
Microsoft-Notebook

Das Surface Laptop 3 ist auf dem Markt und mit ersten Rabatten und Aktionen versehen. Wir zeigen aktuelle Preise und Angebote für Microsofts neues…
Cyber Monday  (AdobeStock 298403902)
Die besten Angebote bei Amazon, Saturn & Co.

Der Amazon Cyber Monday hat auch 2019 einen festen Eintrag im Kalender aller Schnäppchenjäger. Wir fassen alle wichtigen Infos zusammen.