Datenschutz im Web

So werden Sie beim Surfen auspioniert

15.3.2011 von Wolf Hosbach

Mit einfachen JavaScript- und PHP-Methoden klauen Webseiten die virtuelle Vergangenheit der Besucher. In deren Chronik oder Verlauf der Browser steht genau, welche Seiten Sie bereits besucht haben.

ca. 2:30 Min
Ratgeber
VG Wort Pixel
  1. So werden Sie beim Surfen auspioniert
  2. HTML-Baum
  3. Dynamisches Webdesign
sicherheit, malware, angriff, internet, schutz
sicherheit, malware, angriff, internet, schutz
© Archiv

Einer weit verbreiteten Meinung nach kann der Betreiber einer Webseite nicht feststellen, welche Reise die Besucher bereits hinter sich und welche Stationen sie gemacht haben. Das ist im Prinzip richtig, doch gibt es eine Reihe bemerkenswerter Ausnahmen:

1. Der geklickte Link: In den Server-Logfiles findet sich ein Eintrag, über welchen Link ein Besucher kommt. Wer anonym sein möchte, klickt also keinen Link, sondern kopiert die Adresse in die Adresszeile des Browsers.

2. Cookies: Über Cookies, die von Diensten kommen, die auf vielen Webseiten platziert sind, kann der Betreiber anhand einer ID feststellen, wo sich ein Besucher bewegt. Beispiele wären Werbevermarkter, Google-Statistiken oder Facebook-Gefällt-mir.

3. History-Stealing: Über diese Cracker-Technik fragen Webseitenbetreiber gezielt ab, ob Besucher bestimmte andere Seiten ebenfalls angesurft haben, zum Beispiel die der Konkurrenz. Denn die besuchten Seiten finden sich in der History (Firefox: Chronik, IE: Verlauf) des Browsers.

Dieses History-Stealing geht erschreckend einfach, das will der folgende Artikel dokumentieren. Im Zip-Archiv, das Sie unten auf dieser Seite herunterladen können, finden Sie Skripte, die dazu dienen, Ihnen klar zu machen, wie einfach es ist, dem Browser Informationen zu entlocken. Unsere Beispiele sind insofern transparent, dass der Besucher sieht, was passiert. Ein echter Dieb wird sein Tun verschleiern. Er wird den Iframe so klein machen, dass man ihn kaum noch sieht oder ihn mit CSS aus dem sichtbaren Bereich entfernen. Das Java-Skript wird ohne Rückmeldungen und Alerts arbeiten, das PHP-Skript wird die Daten ebenfalls leise speichern oder einer Datenbank übergeben und nur unverfängliche Inhalte liefern.

Download: Beispieldateien zum Thema "History-Diebe"

Farbentrick

Browser markieren Links von bereits besuchte Webseiten, die sich also auch in der History finden, farbig anders, oft lila statt blau. Mit einer JavaScript-Funktion lässt sich die Farbe beziehungsweise der Stil eines Links nun gezielt abfragen. Ist er lila, war der Besucher dort.

Der History-Dieb versteckt auf seiner Seite eine Reihe von Links, die er abfragen möchte, also alle Seiten der Konkurrenz etwa, oder noch schlimmer, eine Liste aller Banken. Anhand der unterschiedlichen CSS-Stile sieht er, welche Konkurrenzseiten den Besucher interessieren oder bei welcher Online-Bank er Kunde ist.

Achtung: Nicht möglich ist es hingegen, die Browser-History komplett oder unspezifisch auszulesen. Der Angreifer kann nun bestimmte, von ihm vorgegebene Links gezielt prüfen: www.xyz.de besucht oder nicht besucht.

Im Detail funktioniert der Angriff wie folgt. Als Editor eignet sich der kostenlose PSPad (www.pspad.com/de)

stile.css

Zu Beginn definiert der Angreifer die CSS-Stile von besuchten und nicht besuchten Links, um diese später präzise abfragen zu können. Wir wählen schön auffällig in der Datei stile.css:

 

a:link {color: green;}
a:visited {color: red;}

index.html

Die Hauptseite, die den Angriff durchführt, ist eine belanglose Webseite (index.html), mit unverfänglichen Inhalten. Irgendwo auf der Seite findet sich ein Inline-Frame, der die räuberischen Skripte enthält. Wir wählen diesen Iframe nicht zu klein, damit man den Effekt auch sieht:

<iframe src="./imrahmen.html"
width="60%" height="200">

Der Grund, einen eigenen Frame anzulegen, liegt darin, dass wir später die gestohlenen Daten dem Server mit PHP übergeben müssen. Dabei lädt der Browser die Seite mit den Ergebnissen des PHP-Skripts neu und würde ohne Frame die Hauptseite erneuern. Diese soll aber erhalten bl

eiben. Eine elegantere Alternative zum Iframe wäre Ajax mit dem XMLHttpRequest, was aber weitaus aufwändiger zu programmieren und hier darzustellen ist.

Mehr lesen

Chronologische Liste und Netflix-Links

Marvel-Filme- und -Serien: Das ist die richtige Reihenfolge

Neuerscheinungen in der Übersicht

Netflix: Neue Filme und Serien

Vorschau auf Film- und Serien-Highlights

Amazon Prime Video: Neuheiten

Weiter zur Startseite  

Mehr zum Thema

Pokémon GO Max WP

Übersicht der stärksten Pokémon

Pokémon GO: Maximale WP-Werte aller Pokémon (Liste)

Was sind die maximalen WP-Werte aller Pokémon in Pokémon GO? Welche sind die stärksten? Unsere übersichtliche Liste zu Wettkampfpunkten verrät es.

Pokemon GO Shiny Pokemon

Übersicht aller Shinies

Pokémon GO Shiny Liste: Wie man Shinies findet und erkennt

Unsere Shiny Übersicht für Pokémon GO listet alle aktuell erhältlichen Shinies im Spiel. Dazu erklären wir, wie man die Shinies findet und woran man…

Treffen mehrere Lichtquellen aufeinander, sorgt Raytracing für eine realistischere Ausleuchtung und Reflexionen. Hier: Cyberpunk 2077 auf dem PC.

Nvidia, AMD, Sony und Microsoft

Raytracing-Spiele: Liste aller Games für PC, PS5 und Xbox…

Welche Spiele bieten Raytracing für RTX-Grafikkarten und Big Navi (jeweils PC) sowie PS5 und Xbox Series X/S? Listen verschaffen einen schnellen…

Ständer ausgeklappt und schon spielen Sie im Tabletop-Modus.

Angebote für das Gaming-Handheld

Nintendo Switch OLED kaufen: Amazon, Saturn und Co.

Die neue Nintendo Switch OLED ist im Oktober erschienen. Wir sammeln Angebote mit den günstigsten Preisen für den neuen Gaming-Handheld.

Gratis-Spiele-bei-Steam-und-Epic

Vollversionen geschenkt & zum Antesten

Gratis-Spiele bei Steam, Epic, Humble Bundle & mehr im…

In dieser Übersicht zeigen wir Ihnen jeden Monat die Spiele, die Sie kostenlos bei Steam, im Epic Games Store, im Humble Bundle und mehr erhalten.