Datenschutz im Web

So werden Sie beim Surfen auspioniert

Mit einfachen JavaScript- und PHP-Methoden klauen Webseiten die virtuelle Vergangenheit der Besucher. In deren Chronik oder Verlauf der Browser steht genau, welche Seiten Sie bereits besucht haben.

Inhalt
  1. So werden Sie beim Surfen auspioniert
  2. HTML-Baum
  3. Dynamisches Webdesign

© Archiv

sicherheit, malware, angriff, internet, schutz

Einer weit verbreiteten Meinung nach kann der Betreiber einer Webseite nicht feststellen, welche Reise die Besucher bereits hinter sich und welche Stationen sie gemacht haben. Das ist im Prinzip richtig, doch gibt es eine Reihe bemerkenswerter Ausnahmen:

1. Der geklickte Link: In den Server-Logfiles findet sich ein Eintrag, über welchen Link ein Besucher kommt. Wer anonym sein möchte, klickt also keinen Link, sondern kopiert die Adresse in die Adresszeile des Browsers.

2. Cookies: Über Cookies, die von Diensten kommen, die auf vielen Webseiten platziert sind, kann der Betreiber anhand einer ID feststellen, wo sich ein Besucher bewegt. Beispiele wären Werbevermarkter, Google-Statistiken oder Facebook-Gefällt-mir.

3. History-Stealing: Über diese Cracker-Technik fragen Webseitenbetreiber gezielt ab, ob Besucher bestimmte andere Seiten ebenfalls angesurft haben, zum Beispiel die der Konkurrenz. Denn die besuchten Seiten finden sich in der History (Firefox: Chronik, IE: Verlauf) des Browsers.

Dieses History-Stealing geht erschreckend einfach, das will der folgende Artikel dokumentieren. Im Zip-Archiv, das Sie unten auf dieser Seite herunterladen können, finden Sie Skripte, die dazu dienen, Ihnen klar zu machen, wie einfach es ist, dem Browser Informationen zu entlocken. Unsere Beispiele sind insofern transparent, dass der Besucher sieht, was passiert. Ein echter Dieb wird sein Tun verschleiern. Er wird den Iframe so klein machen, dass man ihn kaum noch sieht oder ihn mit CSS aus dem sichtbaren Bereich entfernen. Das Java-Skript wird ohne Rückmeldungen und Alerts arbeiten, das PHP-Skript wird die Daten ebenfalls leise speichern oder einer Datenbank übergeben und nur unverfängliche Inhalte liefern.

Download: Beispieldateien zum Thema "History-Diebe"

Farbentrick

Browser markieren Links von bereits besuchte Webseiten, die sich also auch in der History finden, farbig anders, oft lila statt blau. Mit einer JavaScript-Funktion lässt sich die Farbe beziehungsweise der Stil eines Links nun gezielt abfragen. Ist er lila, war der Besucher dort.

Der History-Dieb versteckt auf seiner Seite eine Reihe von Links, die er abfragen möchte, also alle Seiten der Konkurrenz etwa, oder noch schlimmer, eine Liste aller Banken. Anhand der unterschiedlichen CSS-Stile sieht er, welche Konkurrenzseiten den Besucher interessieren oder bei welcher Online-Bank er Kunde ist.

Achtung: Nicht möglich ist es hingegen, die Browser-History komplett oder unspezifisch auszulesen. Der Angreifer kann nun bestimmte, von ihm vorgegebene Links gezielt prüfen: www.xyz.de besucht oder nicht besucht.

Im Detail funktioniert der Angriff wie folgt. Als Editor eignet sich der kostenlose PSPad (www.pspad.com/de)

stile.css

Zu Beginn definiert der Angreifer die CSS-Stile von besuchten und nicht besuchten Links, um diese später präzise abfragen zu können. Wir wählen schön auffällig in der Datei stile.css:

 

a:link {color: green;}
a:visited {color: red;}

index.html

Die Hauptseite, die den Angriff durchführt, ist eine belanglose Webseite (index.html), mit unverfänglichen Inhalten. Irgendwo auf der Seite findet sich ein Inline-Frame, der die räuberischen Skripte enthält. Wir wählen diesen Iframe nicht zu klein, damit man den Effekt auch sieht:

<iframe src="./imrahmen.html"
width="60%" height="200">

Der Grund, einen eigenen Frame anzulegen, liegt darin, dass wir später die gestohlenen Daten dem Server mit PHP übergeben müssen. Dabei lädt der Browser die Seite mit den Ergebnissen des PHP-Skripts neu und würde ohne Frame die Hauptseite erneuern. Diese soll aber erhalten bl

eiben. Eine elegantere Alternative zum Iframe wäre Ajax mit dem XMLHttpRequest, was aber weitaus aufwändiger zu programmieren und hier darzustellen ist.

Mehr lesen

Chronologische Liste und Netflix-Links -

Neuerscheinungen in der Übersicht -

Vorschau auf Film- und Serien-Highlights -

Mehr zum Thema

Aktuelle Solo- und Gruppen-Raids

Unser Strategie-Guide für Pokémon GO Raids listet alle Raid-Bosse nach Raid-Ei und Schwierigkeitsstufe und gibt Tipps für die besten Konter.
TV-Stick, App oder HDMI-Kabel

Sie möchten Sky Ticket auf Ihrem Fernseher nutzen? Egal ob TV-Stick, App oder PC per HDMI-Kabel - wir zeigen Ihnen alle verfügbaren Möglichkeiten.
Liste mit allen Terminen

Ob Ingame-Event, Community Day, Safari Zone oder Pokémon GO Fest: Unser Kalender listet alle Pokémon GO Events 2020. Neu: Daten aktualisiert.
Aktuelle Charts im Juni 2020

Was ist aktuell angesagt auf Netflix? Unsere Netflix Charts präsentieren die Top 10 Serien und Filme in Deutschland samt IMDb-Bewertung und mehr.
Aktuelle Nachrichten

News-Überblick in Kurzform: Wir fassen aktuelle Nachrichten aus den Bereichen IT, Sicherheit, Streaming, Gaming und mehr kurz zusammen.