|
|
chris3
: 06.06.2008
: 434
|
|
| Nach oben |
|
 |
profo
: 18.01.2007
: 1709
|
| : 02.02.2010, 20:38 : Re: Sicherheitslücke - Datenschutzgau in social networks |
|
|
Wieder ein Anlass mehr, damit die Browser nun endlich nach Jahren der Untätigkeit den Datenschutz-Gau-Bug a la History-Spionage per CSS fixen...
PS: der Bug ist kein Problem der Social Networks, sondern ein dicker Bug wohl auch Deines Lieblingsbrowsers. Die Sichrerheitslücke lässt sich überall ausbeuten. Die Social Networks sind nur ein prominentes Beispiel für die Mächtigkeit der Daten, die per solcher Spionage gewonnen werden können. |
|
| Nach oben |
|
|
chris3
: 06.06.2008
: 434
|
| : 02.02.2010, 21:06 : Re: Sicherheitslücke - Datenschutzgau in social networks |
|
|
| profo hat Folgendes geschrieben: |
Wieder ein Anlass mehr, damit die Browser nun endlich nach Jahren der Untätigkeit den Datenschutz-Gau-Bug a la History-Spionage per CSS fixen...
PS: der Bug ist kein Problem der Social Networks, sondern ein dicker Bug wohl auch Deines Lieblingsbrowsers. Die Sichrerheitslücke lässt sich überall ausbeuten. Die Social Networks sind nur ein prominentes Beispiel für die Mächtigkeit der Daten, die per solcher Spionage gewonnen werden können. |
im prinzip liegt es ja einerseits an der history-funktion der browser und andererseits an den social-networks, da gerade hier massenweise nutzerprofile unterwegs sind. |
|
| Nach oben |
|
|
profo
: 18.01.2007
: 1709
|
| : 02.02.2010, 21:39 : Sicherheitslücke - Datenschutzgau in browserhistory |
|
|
Q: Woran erkennt ein Datenschutz-Forscher, dass ein Seo bei ihm surft?
A: Sein Name lautet gemäß Social Networks: Billig Kredit
Ich geb zu, der war lahm  |
|
| Nach oben |
|
|
Alda
: 27.01.2009
: 4591
: Kaiserslautern
|
| : 02.02.2010, 21:46 : Sicherheitslücke - Datenschutzgau in browserhistory |
|
|
Hehe, ich muss mal meine Sig überarbeiten.
.
Suche LT mit Handwerk, Bau, Ausbau Sanierung, evtl. auch mit regionalen Immoseiten o. ä. Domains mit PR 0, 1, 3 und 5 vorhanden, alles saubere, aktive Projekte mit sehr wenig ausgehenden Links. Bei Interesse PM.
Satelliten, reine Affili- oder LT-Sites und anderen Murks bitte stecken lassen. |
|
| Nach oben |
|
|
Rem
: 08.12.2005
: 2494
|
| : 03.02.2010, 19:50 : Sicherheitslücke - Datenschutzgau in browserhistory |
|
|
Sag mal, finde eigentlich nur ich das lustig?
| : |
| Um bereits besuchte Links in einer anderen Farbe darstellen zu können, erhalten Websites Zugriff auf den Browserverlauf. |
Faszinierend. Also damit Links auf meiner Website statt blau rot gefärbt werden, greift meine Website direkt auf den Browserverlauf zurück...
ja ja ja ja Ich brech gleich los
ab dieser technischen Unvernunft eines Autors...
Jede Website, die Links anders einfärbt greift auf den Verlauf zu!!!! uhhh... die wissen alles... blah blah blah... Zuerst wird obiger Müll in die Welt gesetzt, morgen gibt's sicher ein paar Heinis (besonders in XING) die diesen Schwachsinn duplizieren und bei jedem besuchten Link, der sich anders färbt eine Paranoia entwickeln.
Ich sollte mal im CSS a:visited auch auf blau setzen und dann auf die Website schreiben: "wir greifen nicht auf Ihre Verlaufsdaten zurück, um Links einzufärben".... aaaahhhhhhh
Abgesehen davon war der Artikel lesenswert.
Meine eigene Musik auf MX3 |
|
| Nach oben |
|
|
mgutt
: 08.03.2005
: 3135
|
| : 03.02.2010, 20:40 : Sicherheitslücke - Datenschutzgau in browserhistory |
|
|
Ich verstehe noch nicht so ganz, was ich davon habe, wenn ich weiß, dass eine IP zum Zeitpunkt eines Besuchs Person XY ist? Morgen hat die Person höchstwahrscheinlich eine neue IP, also was bringt mir das?
Gehen wir mal auf die Punkte ein, die der Spiegel nannte:
| : |
| Damit kann man Surfer erpressen |
In dem ich weiß, dass er auf Facebook war und danach auf meiner Seite?!
| : |
| ihnen passgenaue Spam- und Phishingmails zuschicken |
In meinen Augen fehlt hier ein kleines Detail: Die Emailadresse 
| : |
| kann Konkurrenten oder Nebenbuhler auf der eigenen Website identifizieren |
Ui, mächtig und wie unglaublich. Genauso gut könnte man aber auch dem Konkurrenten eine vorgefertigte Email schicken über die er ein Trackingcookie abbekommt. Ist sicherlich effektiver und einfacher.
| : |
| sie mittels Social Engineering zur Herausgabe von brisanten Informationen bringen |
Wenn jemand bei Xing angemeldet ist, weiß man quasi alles über diese Person, sofern er die entsprechenden Optionen freigegeben hat. Wie er heißt, wo er arbeitet, usw. Was bringt einem da die Verbindung zu einer IP. Social Engineering ist auch so schon möglich. So oder so entscheidet der Nutzer welche Daten öffentlich abgerufen werden können.
| : |
| Unterdrückungsregimes könnten Fallen auslegen, etwa Webserver mit regierungskritischen Inhalten, und sogar Besucher identifizieren, die über einen Anonymisierungsdienst auf die Inhalte zugreifen - denn auch die verhindern nicht die Übertragung der beschriebenen digitalen Fingerabdrücke |
Fast alle Proxies anonymisieren die URL. Die History ist entsprechend wertlos.
| : |
| Vor allem aber könnten zweifelhafte Websites und Werbedienste diese Informationen ansammeln, aufarbeiten, verkaufen: Spyware 2.0. |
Gut ist natürlich wertvoll, wenn man von mir weiß, dass ich in der Gruppe "Heute schlecht geschlafen" bei StudiVZ bin. Mal im Ernst. Automatisiert lassen sich diese Daten kaum aufbereiten und manuell lohnt sich das wohl kaum. Da kann man gleich bei den Netzwerken Werbung buchen.
Was ich viel interessanter finde. Wenn dieser Bug mit der History so einfach ist. Dann ist es doch viel schlimmer, dass Facebook selbst seine User ausspionieren kann. Sie selbst könnten die besten Profile erstellen. Und die müssen nicht noch kompliziert hingehen und die Besucher identifizieren. Dies gilt entsprechend für jede Community.
Ach ja, wie liest man die History aus, per Javascript? Wo ist das passende Snippet ^^
» Adsense & Vibrant Alternative
» Ankauf von Communities und Forendomains |
|
| Nach oben |
|
|
nerd
: 15.02.2005
: 1686
: AKL
|
| : 03.02.2010, 21:05 : Sicherheitslücke - Datenschutzgau in browserhistory |
|
|
Spiegel sollte vielleicht mal jemanden einstellen der sich mit sowas auskennt - it-profis wie Peter Huth zum beispiel 
deren letzte berichte lesen sich wie von irgendwelchen hippies die in den 70ern steckengeblieben sind. ich warte ja drauf das noch ein "roboter/computer/dampfmaschinen vernichten tausende arbeitsplaetze!" artikel kommt...
marketing through social media is just like herding cats. and just to make it interesting, many of the cats are drunk and stupid...
blackhat linkkauf und so...  |
|
| Nach oben |
|
|
mgutt
: 08.03.2005
: 3135
|
| : 10.02.2010, 20:20 : Sicherheitslücke - Datenschutzgau in browserhistory |
|
|
Ich bin gerade durch Zufall auf das passende Script gestoßen. Und jetzt muss ich mich doch noch mehr darüber amüsieren. Für die, die es verstehen:
Es wird per JS ein Link auf der eigenen Seite gesetzt (unsichtbar) und dann geprüft welche Farbe dieser Link hat. Farbe X = visited. Und an Hand dessen weiß man dann, dass der Besucher auf der URL war.
Das Problem ist allerdings, damit man das ausnutzen kann, muss man z.B. von Facebook 270 Millionen Gruppen-URLs prüfen:
http://www.google.de/#hl=de&safe=off&q=site%3Afacebook.com%2Fgroup.php&meta=&aq=&oq=site%3Afacebook.com%2Fgroup.php&fp=bb0f8312a7be4d4c
Also mit jemanden mal eben auf eine URL locken ist nicht. Man muss den minutenlang binden, damit man genug URLs abgleichen kann.
Übrigens kann man das ganze System simpel aushebeln, in dem man eine zufällige ID an die URL anhängt. Allerdings nichts für SEOs ^^
Insgesamt ist das vielleicht nett um jemanden dabei zu erwischen, ob er auf Youporn war, aber mehr auch nicht.
» Adsense & Vibrant Alternative
» Ankauf von Communities und Forendomains |
|
| Nach oben |
|
|
catcat
: 02.08.2006
: 10205
: Litauen
|
| : 10.02.2010, 21:03 : Sicherheitslücke - Datenschutzgau in browserhistory |
|
|
Wobei man aber anmerken muß, das YouPorn wesentlich unterhaltsamer als YouTube ist...
User nicht mehr aktiv
catcat.cc |
|
| Nach oben |
|
|
t-rex
: 15.03.2004
: 568
|
|
| Nach oben |
|
|
mgutt
: 08.03.2005
: 3135
|
|
| Nach oben |
|
|
mic_jan
: 31.08.2004
: 393
|
| : 11.02.2010, 16:20 : Sicherheitslücke - Datenschutzgau in browserhistory |
|
|
| mgutt hat Folgendes geschrieben: |
In meinen Augen fehlt hier ein kleines Detail: Die Emailadresse
|
Hast du den Artikel gelesen? Und bist du vielleicht den Link zum XING-Tool gefolgt?
Mach mal den Test:
http://128.111.48.22/experiment/
Also ich fand das Ergebnis sehr respektabel.
Gruß,
Michael
Heute ohne Signatur |
|
| Nach oben |
|
|
mgutt
: 08.03.2005
: 3135
|
| : 11.02.2010, 19:05 : Sicherheitslücke - Datenschutzgau in browserhistory |
|
|
Das Experiment kann aber nur ein solches bleiben, weil man trotz einer hohen Erkennungsrate nie weiß ob das Ergebnis stimmt. Und wer baut sich sowas auf seiner seriösen Seite ein?
Auf einer unseriösen Domain bringt das nichts, weil man da kein Cookie setzen könnte, was für eine Langzeitverfolgung nützlich wäre und man kann dort keinen Besucher lange genug halten, um die Analyse abschließen zu können. Xing alleine reicht ja nicht. Jede weitere Community benötigt noch mehr Zeit für die Auswertung. Facebook würde ich mal locker mit 30 Min ansetzen.
Übrigens greift dieses Konzept auch bei Foren. Da sogar viel besser, weil Themen viel weniger Autoren enthalten als Gruppen.
Allerdings verstehe ich immer noch nicht, wie man diese Informationen in Geld umwandeln könnte. Gezielt Werbung auswerfen? Wehe sie ist zu gezielt. Dann wird der Besucher misstrauisch. Jemanden erpressen, weil er auf youporn war? Wohl kaum. Aber vielleicht weil er auf einer Kinderpornoseite war. Vielleicht kann die Polizei ja was mit der Lücke anfangen. ^^
» Adsense & Vibrant Alternative
» Ankauf von Communities und Forendomains |
|
| Nach oben |
|
|
