Der Artikel auf Slashdot (http://it.slashdot.org/story/09/06/13/2125211/Sniffing-Browser-History-Without-Javascript)
Eine funktionsfähige Demonstration (http://www.making-the-web.com/misc/sites-you-visit/nojs/) (zumindest wenn sie grad nicht überlastet ist. Link auf Slashdot = Site down)

Erstmal ein Zitat aus dem Slashdot-Artikel:
A somewhat alarming technology demonstration, in which a Web site you visit generates a pretty good list of sites you have visited — without requiring JavaScript. NoScript will not protect you here. The only obvious drawbacks to this method are that it puts a load on your browser, and that it requires a list of Web sites to check against.

Anscheinend gibt es die Funktion schon eine Weile (Bugzilla-Eintrag Oktober 2000 (https://bugzilla.mozilla.org/show_bug.cgi?id=57351)), aber dagegen wurde nichts getan. Zumindest wüsste ich nicht was.

Als Voraussetzung muss die Abfragende Seite eine Liste mit URLs haben, auf die geprüft wird. Man kann also nicht einfach die History auslesen (auch wenn der Threadtitel dies impliziert), sondern kann nur testen ob ein User eine bestimmte Seite besucht hat. Trotzdem finde ich den Gedanken unangenehm. Ich benutze AdBlock und NoScript und CS Lite (https://addons.mozilla.org/de/firefox/addon/5207) um zu bestimmen was Websites bei mir anstellen können.
Was meint ihr dazu?

Bei Opera klappt es auch und beim IE sicher genauso.

Schon seit der Fassung der CSS 2.1 Specs vom 28.1.2003 steht bei :visited und :link (http://www.w3.org/TR/2003/WD-CSS21-20030128/selector.html#link-pseudo-classes)
Note. It is possible for stylesheet authors to abuse the :link and :visited pseudo-classes to determine which sites a user has visited without the user's consent. UAs may therefore treat all links as unvisited links, or implement other measures to preserve the user's privacy while rendering visited and unvisited links differently. See [P3P] for more information about handling privacy.

Bei Mozilla finden sich leider noch mehr Leichen im Keller, die man schon längst hätte entsorgen können.

edit:
Same Origin Policy: Protecting Browser State from Web Privacy Attacks (http://crypto.stanford.edu/sameorigin/)

Ich habe vor kurzem einen Artikel von ~2003 gefunden, der schon die Problematik aufgreift und Beispiele dafür liefert.

Und im ersten Beitrag ist ein Link für einen Bugzilla-Eintrag aus dem Jahr 2000. Da noch mit JavaScript, aber die Funktionsweise hat sich nicht geändert.

Und dann wäre da noch der Eintrag aus 2002 (https://bugzilla.mozilla.org/show_bug.cgi?id=147777).

Übel..
Kann man dagegen etwas tun?

Einfach die History regelmäßig löschen, dann gibts auch nix mehr zum auslesen.

Übel..
Kann man dagegen etwas tun?
Dieses Firefox Addon installen:
http://www.safehistory.com/

Der Artikel auf Slashdot (http://it.slashdot.org/story/09/06/13/2125211/Sniffing-Browser-History-Without-Javascript)
Eine funktionsfähige Demonstration (http://www.making-the-web.com/misc/sites-you-visit/nojs/) (zumindest wenn sie grad nicht überlastet ist. Link auf Slashdot = Site down)Hmm... also wenn man OHNE NoScript unterwegs ist, soll auch das klappen (geht schneller)
http://www.making-the-web.com/misc/sites-you-visit/

Das klappt aber nicht. Bzw. NULL found. Meine Chronik ist noch "voll". Fuchs 3.0.11 von tete, aber ich habe noch nie etwas darüber gelesen, daß der Typ auf dieser Baustelle rumgeschraubt hat. JS ist an. Java ist nicht.

Der andere Test ist nun auch durchgelaufen. Auch nix. Mir fällt jetzt nicht ein Addon ein der das hier verhindern sollte :confused:

Kommt immer auf die Seiten an auf denen du warst. Er kann nicht die History auslesen, nur blind URLs testen ob die besucht wurden.

Dieses Firefox Addon installen:
http://www.safehistory.com/

also mein FF 3.0.9 sagt das es damit nicht kompatibel ist.

Kommt immer auf die Seiten an auf denen du warst. Er kann nicht die History auslesen, nur blind URLs testen ob die besucht wurden.
Ich bezweifel, dass er weder auf Youtube noch Google war. Wobei.. möglich wärs.

also mein FF 3.0.9 sagt das es damit nicht kompatibel ist.
in den Kommentaren auf der Mozillapage von SafeCache gibts nen Downloadlink mit ner Version die geht. Oder halt selber die install.rdf anpassen damit man es installieren kann.

Seit Mozilla Firefox 3.1 beta 2 gibt es einen Eintrag mit dem das unterbunden werden kann. Allerdings werden besuchte Links dann nicht mehr hervorgehoben. Unter Private Browsing funktioniert das Auslesen ebenfalls nicht.

about:config > layout.css.visited_links_enabled > false

http://kb.mozillazine.org/User_talk:Michaell


Es gibt auch noch eine andere Seite, die das demonstriert. Dort ist die Liste, die abgefragt wird, anscheinend größer.

http://startpanic.com/

hm, naja:

1. lahm (zumindest mit meinen 3mbit, ka obs damit zusammenhängt), müsste man schon irgendwie im hintergrund als eigenständiges fenster oder frame laufen lassen um damit ergebnisse zu erhalten
2. wurden gerade mal 3 urls von meinen "zigtausenden" gefunden, die liste müsste da ja gigantisch sein bzw genau passen. eigentlich kann man da nur die haupturls "effizient" rausfischen

mfg

1.Also bei mir (6mbit, hat aber sicherlich weniger damit zutun) ging es relativ fix (etwa eine Minute für alles, aber solang hält man sich ja auch auf den meisten Webseiten auf -> also genug Zeit zum checken für den Hoster).

2. Bei mir wurden 59 Seiten von gut ~500 Seiten gefunden, man muss aber auch bedenken, dass das ne englische Seite ist und daher die Datenbank für internationale (insbesonderen deutsche) Webseiten relativ klein sein sollte.

Wenn es eine deutsche Seite drauf anlegt, dadrüber über ihre deutschen Besucher zu spionieren, bringen die es sicherlich zu mindestens auf 50%ig Erfolgschance (also 250 von 500 Seiten zu finden)

Dieses Firefox Addon installen:
http://www.safehistory.com/

Leider nicht kompatibel :(

Leider nicht kompatibel :(

Downloade dir das Addon und öffne es (*.xpi Datei) einfach mit Winrar oder 7zip. Extrahiere die install.rdf öffne sie mit Notepad und suche nach "maxVersion".
Dort einfach z.b 5.0.0. eintragen und speichern. Dann die Datei wieder zurück importieren,speichern und das Addon installieren :)

also mein FF 3.0.9 sagt das es damit nicht kompatibel ist.
Dann wurde das wahrscheinlich nicht aktualisert. Ansonsten folge dem Tipp von Lemon Wolf oder mirp ;)

Oder das Plugin "NightlyTesterTools" installieren, damit kann man jede Erweiterung kompatibel machen

Oder das Plugin "NightlyTesterTools" installieren, damit kann man jede Erweiterung kompatibel machen

Nein kann man nicht. Es stellt nur die Abfrage ab. Ja, für dieses Addon funktioniert es, weil anscheinend nur die Versionsnummernabfrage den Start verhindert.
Es gibt Plugins die nicht kompatibel sind. Manchmal machen sich Entwickler Gedanken darüber für welche Version ihre Addons brauchbar funktionieren.
Man kann die "NightlyTesterTools" nutzen um ein nicht mehr weiterentwickeltes Addon auszuprobieren. Sinnvoll für den produktiven Einsatz ist es aber nicht.

Downloade dir das Addon und öffne es (*.xpi Datei) einfach mit Winrar oder 7zip. Extrahiere die install.rdf öffne sie mit Notepad und suche nach "maxVersion".
Dort einfach z.b 5.0.0. eintragen und speichern. Dann die Datei wieder zurück importieren,speichern und das Addon installieren :)

Merci :up:

Bei mir wird im IE nix ausgelesen. Da muß man schon mit mehr kommen als nur mit JS-free ...

Tja, mit Opera wird brav ausgelesen... :( Ohne Skripte ist das allerdings zumindestens auf meinem Atom Netbook derartig lahm, dass es auffällt. Naja, halt regelmäßig den Verlauf löschen.
Allerdings halt wirklich wirklich unschön.

lg

vor allem ist es unpraktikabel wie sau. du musst die seite besuchen und es werden dann einzeln vordefinierte adressen abgefragt. zumal dir das ding nur sagen kann, du warst auf "www.xyz.com" (vorrausgesetzt, der ator der seite, hat die seite auch eingetragen) und nicht auf "www.xyz.com/content/hallo/site1.html".

I[;7383356']vor allem ist es unpraktikabel wie sau. Es ermöglicht spezifische Phishingseiten, die dir eben genau deine Bank oder dein Social Network anbieten. Und es lassen sich ggfs. auch Besuche von Unterseiten analysieren, z.B. auf welchen Gruppen du bei StudiVZ warst oder welche Unterrubriken bei geizhals du durchforstet hast.
Gefahrenpotential ist also durchaus da.

mfg

Downloade dir das Addon und öffne es (*.xpi Datei) einfach mit Winrar oder 7zip. Extrahiere die install.rdf öffne sie mit Notepad und suche nach "maxVersion".
Dort einfach z.b 5.0.0. eintragen und speichern. Dann die Datei wieder zurück importieren,speichern und das Addon installieren :)

Kann mir jemand das mal näher erläutern? Wenn immer ich die Datei dem Archiv wieder hinzufüge und das Addon installieren will bekomme ich eine Fehlermeldung von wegen "keine gültige Unterschrift". Ich versteh nicht, was ich falsch mache.

I[;7383356']vor allem ist es unpraktikabel wie sau. du musst die seite besuchen und es werden dann einzeln vordefinierte adressen abgefragt. zumal dir das ding nur sagen kann, du warst auf "www.xyz.com" (vorrausgesetzt, der ator der seite, hat die seite auch eingetragen) und nicht auf "www.xyz.com/content/hallo/site1.html".
Die Beispielseite ist einfach nur ein Machbarkeitsbeleg. Das lässt sich beliebig erweitern, zB werden zuerst bestimmte, für den Angreifer interessante Top Level Domains abgefragt und bei einem Treffer sucht man dann gezielt auf dieser Domain weiter. Die Liste der abzufragenden Seiten kann der Server ja dynamisch anpassen. Oder wenn jemand wissen will ob du dir auf einer sozialen Netz-Seite die Profile bestimmter anderer Leute angeschaut oder in bestimmten Gruppen bist, muss er es nur schaffen, dass du irgendeine Seite/Artikel/wasauchimmer öffnest, die er ins Netz gestellt hat. Dein Browser teilt ihm dann alles mit was er wissen will. Mittels Ajax ließe sich die Abfrage dabei sicherlich auch noch beschleunigen.
Bei Cross-Site-Scripting haben zu Beginn auch viele mit den Schultern gezuckt, heute isses eines der zentralen Angriffsmöglichkeiten.

Die Beispielseite ist einfach nur ein Machbarkeitsbeleg. Das lässt sich beliebig erweitern, zB werden zuerst bestimmte, für den Angreifer interessante Top Level Domains abgefragt und bei einem Treffer sucht man dann gezielt auf dieser Domain weiter. Die Liste der abzufragenden Seiten kann der Server ja dynamisch anpassen. Oder wenn jemand wissen will ob du dir auf einer sozialen Netz-Seite die Profile bestimmter anderer Leute angeschaut oder in bestimmten Gruppen bist, muss er es nur schaffen, dass du irgendeine Seite/Artikel/wasauchimmer öffnest, die er ins Netz gestellt hat. Dein Browser teilt ihm dann alles mit was er wissen will. Mittels Ajax ließe sich die Abfrage dabei sicherlich auch noch beschleunigen.
Bei Cross-Site-Scripting haben zu Beginn auch viele mit den Schultern gezuckt, heute isses eines der zentralen Angriffsmöglichkeiten.
nur ist das ein gigantischer aufwand.
wenn bspw. abgefragt wird, ob du auf www.opera.com warst, aber bspw. dirket auf my.opera.com gegangen bist, sagt der browser der seite, dass er dort nicht war. man müsste alles, wirklich alles da eintragen und das würde u.a. auch eine riesige serverlast verursachen. daher sagte ich unpraktikabel.

Kann es sein, dass die Demonstration gelöscht wurde?

Was ist mit meinen Favoriten? Wäre das nicht eine gute Quelle für Zielgruppenanalyse? Sind die auch irgendwie einsehbar?

Selbst wenn ich mich dabei nicht großartig schämen müßte... Wenn das gehen würde ist Firefox hier sofort deinstalliert.

Kann es sein, dass die Demonstration gelöscht wurde?
Ja, aber das funktioniert noch: http://startpanic.com/ (hat bei mir 11 Seiten gefunden)

Ohne aktives JS ist das doch komplett nutzlos, weil man die Infos, die man über jemanden gesammelt hat garnicht mehr zurück zum Server kriegt. Außer natürlich man manipuliert die Links (HTTP GET), oder lässt den Besucher ein Formular abschicken (HTTP POST). Also meine Panik hält sich in Grenzen.

Allerdings fände ich es gut, wenn das alle Browser in "privaten Modi" - aka Porno-Modus :ugly: verhindern würden. Firefox macht das wohl schon so?

Selbst wenn ich mich dabei nicht großartig schämen müßte... Wenn das gehen würde ist Firefox hier sofort deinstalliert.

Jetzt mag ich auch mal: :)

[ ] Du hast verstanden, dass es sich um ein prinzipielles Problem von einer Webtechnologie handelt (Cascading StyleSheets) und der Angriff somit grundsätzlich vom Browser unabhängig funktionieren sollte. Die einzige Gegenwehr eines Browsers wäre, die Standards zu verletzen.

Das ist möglicherweise besser als einen Standard, der dies erlaubt, einzuhalten.

Jetzt mag ich auch mal: :)

[ ] Du hast verstanden, dass es sich um ein prinzipielles Problem von einer Webtechnologie handelt (Cascading StyleSheets) und der Angriff somit grundsätzlich vom Browser unabhängig funktionieren sollte. Die einzige Gegenwehr eines Browsers wäre, die Standards zu verletzen.Für manche ist es besser nachts im Bettchen zu liegen ;) Das war die Antwort auf den Beitrag über meinem.

Am eigentlichen Threadthema hab ich schon mit Beitrag #8 teilgenommen.

Immer schön ausf Neue dran denken von dem Typ Gegenüber nicht direkt das passend dummste anzunehmen =)

Ok, sorry BH, das war für mich nicht ersichtlich. Ab und zu hilft ein Quote oder hier zumindest ein @MasterOfObvious.

Ja ok dem muß ich zustimmen. Wie man schnell feststellen kann bin ich normalerweise auch ein Fan von @jemanden :redface:

Aber wie dem auch sei. Du kriegst mich nicht, du kriegst mich nicht... ;)

Schönen Tag noch.

Passt ja hier hinein.


Und schon ist ein Web Dienst draus gebastelt, um jemanden auf den Pinsel zu gehen.

didyouwatchporn.com

"Eine Liste bekannter Pornoseiten wird mit dem Browser-Verlauf abgeglichen. Wenn man diesen Verlauf aber regelmäßig löscht, dann wird die Meldung versendet, dass man keine Pornoseiten besucht habe. "

http://zweinullig.de/haben-sie-sich-pornoseiten-angeschaut/