Datenschutz im Web

So werden Sie beim Surfen auspioniert

15.3.2011 von Wolf Hosbach

Mit einfachen JavaScript- und PHP-Methoden klauen Webseiten die virtuelle Vergangenheit der Besucher. In deren Chronik oder Verlauf der Browser steht genau, welche Seiten Sie bereits besucht haben.

ca. 2:30 Min
Ratgeber
VG Wort Pixel
  1. So werden Sie beim Surfen auspioniert
  2. HTML-Baum
  3. Dynamisches Webdesign
sicherheit, malware, angriff, internet, schutz
sicherheit, malware, angriff, internet, schutz
© Archiv

Einer weit verbreiteten Meinung nach kann der Betreiber einer Webseite nicht feststellen, welche Reise die Besucher bereits hinter sich und welche Stationen sie gemacht haben. Das ist im Prinzip richtig, doch gibt es eine Reihe bemerkenswerter Ausnahmen:

1. Der geklickte Link: In den Server-Logfiles findet sich ein Eintrag, über welchen Link ein Besucher kommt. Wer anonym sein möchte, klickt also keinen Link, sondern kopiert die Adresse in die Adresszeile des Browsers.

2. Cookies: Über Cookies, die von Diensten kommen, die auf vielen Webseiten platziert sind, kann der Betreiber anhand einer ID feststellen, wo sich ein Besucher bewegt. Beispiele wären Werbevermarkter, Google-Statistiken oder Facebook-Gefällt-mir.

3. History-Stealing: Über diese Cracker-Technik fragen Webseitenbetreiber gezielt ab, ob Besucher bestimmte andere Seiten ebenfalls angesurft haben, zum Beispiel die der Konkurrenz. Denn die besuchten Seiten finden sich in der History (Firefox: Chronik, IE: Verlauf) des Browsers.

Dieses History-Stealing geht erschreckend einfach, das will der folgende Artikel dokumentieren. Im Zip-Archiv, das Sie unten auf dieser Seite herunterladen können, finden Sie Skripte, die dazu dienen, Ihnen klar zu machen, wie einfach es ist, dem Browser Informationen zu entlocken. Unsere Beispiele sind insofern transparent, dass der Besucher sieht, was passiert. Ein echter Dieb wird sein Tun verschleiern. Er wird den Iframe so klein machen, dass man ihn kaum noch sieht oder ihn mit CSS aus dem sichtbaren Bereich entfernen. Das Java-Skript wird ohne Rückmeldungen und Alerts arbeiten, das PHP-Skript wird die Daten ebenfalls leise speichern oder einer Datenbank übergeben und nur unverfängliche Inhalte liefern.

Download: Beispieldateien zum Thema "History-Diebe"

Farbentrick

Browser markieren Links von bereits besuchte Webseiten, die sich also auch in der History finden, farbig anders, oft lila statt blau. Mit einer JavaScript-Funktion lässt sich die Farbe beziehungsweise der Stil eines Links nun gezielt abfragen. Ist er lila, war der Besucher dort.

Der History-Dieb versteckt auf seiner Seite eine Reihe von Links, die er abfragen möchte, also alle Seiten der Konkurrenz etwa, oder noch schlimmer, eine Liste aller Banken. Anhand der unterschiedlichen CSS-Stile sieht er, welche Konkurrenzseiten den Besucher interessieren oder bei welcher Online-Bank er Kunde ist.

Achtung: Nicht möglich ist es hingegen, die Browser-History komplett oder unspezifisch auszulesen. Der Angreifer kann nun bestimmte, von ihm vorgegebene Links gezielt prüfen: www.xyz.de besucht oder nicht besucht.

Im Detail funktioniert der Angriff wie folgt. Als Editor eignet sich der kostenlose PSPad (www.pspad.com/de)

stile.css

Zu Beginn definiert der Angreifer die CSS-Stile von besuchten und nicht besuchten Links, um diese später präzise abfragen zu können. Wir wählen schön auffällig in der Datei stile.css:

 

a:link {color: green;}
a:visited {color: red;}

index.html

Die Hauptseite, die den Angriff durchführt, ist eine belanglose Webseite (index.html), mit unverfänglichen Inhalten. Irgendwo auf der Seite findet sich ein Inline-Frame, der die räuberischen Skripte enthält. Wir wählen diesen Iframe nicht zu klein, damit man den Effekt auch sieht:

<iframe src="./imrahmen.html"
width="60%" height="200">

Der Grund, einen eigenen Frame anzulegen, liegt darin, dass wir später die gestohlenen Daten dem Server mit PHP übergeben müssen. Dabei lädt der Browser die Seite mit den Ergebnissen des PHP-Skripts neu und würde ohne Frame die Hauptseite erneuern. Diese soll aber erhalten bl

eiben. Eine elegantere Alternative zum Iframe wäre Ajax mit dem XMLHttpRequest, was aber weitaus aufwändiger zu programmieren und hier darzustellen ist.

Mehr lesen

Chronologische Liste und Netflix-Links

Marvel-Filme- und -Serien: Das ist die richtige Reihenfolge

Neuerscheinungen in der Übersicht

Netflix: Neue Filme und Serien

Vorschau auf Film- und Serien-Highlights

Amazon Prime Video: Neuheiten

Weiter zur Startseite  

Mehr zum Thema

Pokémon GO Max WP

Übersicht der stärksten Pokémon

Pokémon GO: Maximale WP-Werte aller Pokémon (Liste)

Was sind die maximalen WP-Werte aller Pokémon in Pokémon GO? Welche sind die stärksten? Unsere übersichtliche Liste zu Wettkampfpunkten verrät es.

Pokemon GO Shiny Pokemon

Übersicht aller Shinies

Pokémon GO Shiny Liste: Wie man Shinies findet und erkennt

Unsere Shiny Übersicht für Pokémon GO listet alle aktuell erhältlichen Shinies im Spiel. Dazu erklären wir, wie man die Shinies findet und woran man…

Wir zeigen, welche Spiele im Game Pass warten.

Spiele-Flatrate für Xbox Series, One, 360 und PC

Xbox Game Pass Spiele: Neue Spiele im Mai 2022

Regelmäßig bekommt der Game Pass neue Spiele. Welche neuen Games es für Xbox Series X/S, One, Xbox 360 und PC aktuell gibt, verrät dieser Artikel.

Grafikkarte optimal einstellen

GPUs mit Echtzeit-Raytracing

Nvidia & AMD: Wann kommen neue Grafikkarten?

Ende 2020 startete Nvidias RTX 3000. AMD folgte mit RX 6000. Wann kommen neue Grafikkarten? +++ Geforce GTX 1630 gegen AMDs Einsteiger-GPUs +++

Gratis-Spiele-bei-Steam-und-Epic

Vollversionen geschenkt & zum Antesten

Gratis-Spiele bei Steam, Epic, Humble Bundle & mehr im…

In dieser Übersicht zeigen wir Ihnen jeden Monat die Spiele, die Sie kostenlos bei Steam, im Epic Games Store, im Humble Bundle und mehr erhalten.