WordPress database error: [Duplicate entry '6208945' for key 1]
INSERT INTO wp_statz (ip, time, referer, keyword, host, page, username) VALUES('54.80.137.187', '2017-09-21 07:03:26', NULL, NULL, NULL, 94, 'Gast')

weblike @ Facebook  weblike @ Twitter  weblike® - Digital Marketing Agency

Angreifer können Liste besuchter Webseiten auslesen

2. März 2007

“Ich weiß, welche Webseiten du letzten Sommer besucht hast.” Der Zeitpunkt des Besuchs lässt sich zwar nicht wirklich bestimmen, immerhin kann eine Webseite über die Browser-History aber feststellen, ob eine bestimmte Seite aufgerufen wurde. Phisher könnten so beispielsweise herausfinden, bei welcher Bank ein potenzielles Opfer Kunde ist. Internet-Anbieter können so herausfinden, welche Seiten der Konkurrenz man besucht hat.

Ursache des Problems ist die Art, wie Browser speichern, ob ein Anwender schon einmal einem Link gefolgt ist. Bereits angeklickte Links werden farblich anders dargestellt, als Links, denen man noch nicht gefolgt ist. Die andere Farbe wird durch eine Änderung im Stylesheet des HTML-Dokuments bewirkt, die der Browser als Attribute in der History speichert. Ein Beispielprogramm, mit dem sich diese Verhalten ausnutzen lässt, hat der Sicherheitsspezialist Jeremiah Grossman bereits vor einigen Monaten veröffentlicht.

Dazu baute er ein JavaScript mit einer längeren Liste möglicher Webseiten, bei deren Aufruf er das Farbschema des Stylesheets testete. Damit war ein Rückschluß auf die besuchten Seiten möglich. Ein echtes Auslesen der History ist dies zwar nicht, immerhin kann man aber mit einer hinreichend langen Liste die wichtigsten Seiten testen.

Das Programm funktioniert derzeit nur auf Mozilla-Ablegern (Firefox, Netscape, etc.) und bei Safari. Eine Online-Demo zum Testen der eigenen History steht auf ha.ckers.org zur Verfügung. Abhilfe gegen diese speziellen Angriff bringt nur das Abschalten von JavaScript.

Leider gibt es auch eine Möglichkeit, ohne JavaScript an die Browser-History zu kommen, die erstmalig Wissenschaftler der Universität Indiana vorstellen. Dabei nutzt ein Angreifer die Eigenschaft von Stylesheets, unterschiedliche Hintergrundbilder nachladen zu können, je nachdem ob die Seite bereits besucht wurde oder nicht. Mit präparierten HTML-Seiten kann ein Angreifer dann ohne jegliches Script die Historie abfragen, indem er beobachtet, ob die Seite Bilder nachlädt. Seit gestern steht eine von RSnake implementierte Demo dazu auf ha.ckers.org zur Verfügung, die sowohl in Firefox als auch im Internet Explorer 7 und in Opera 9.10 funktioniert. Zumindest für Firefox gibt es einen Schutz vor solchen Angriffen: Das Plug-in SafeHistory Stanford University verhindert das Auslesen der besuchten Seiten. Alternativ hilft es, den Verlauf beziehungsweise die Liste der besuchen Seiten zu löschen. Das Löschen des Caches und der Cookies nützt hier nichts.

Online-Demo »

Dieser Beitrag stammt von Heise. Naja ich würde da jetzt nicht von Angriff reden, schliesslich muss der Besucher ja auch die eigene Seite besuchen usw. da darf man die Kirche schon mal im Dorf lassen.

Seinen (eigenen) Senf hinzufügen

Erforderlich

Erforderlich, verborgen

Folgende HTML Tags sind erlaubt:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>

Trackback diesen Eintrag  |  Kommentare via RSS Feed abonnieren


Weitere interessante und aktuelle Artikel:

Telekom setzt auf Web 2.0 Wordpress: Sicherheitslücke durch Cracker - Update auf Version 2.1.2 dringend angeraten!

Themenrelevantes:


Themenrelevant

Besucher, die diesen Artikel gelesen haben, schauten auch dort rein!

Domaincheck

Domains suchen

sedo


Neue Artikel & Kommentare

Kalendar

März 2007
M D M D F S S
« Feb   Apr »
 1234
567891011
12131415161718
19202122232425
262728293031  

Relevante Suchbegriffe: