Angreifer können Liste besuchter Webseiten auslesen

"Ich weiß, welche Webseiten du letzten Sommer besucht hast." Über das Auswerten von Stylesheets kann man feststellen, ob eine Seite schon mal besucht wurde. Internet-Anbieter können so herausfinden, welche Seiten der Konkurrenz man besucht hat.

In Pocket speichern vorlesen Druckansicht 197 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Daniel Bachfeld

"Ich weiß, welche Webseiten du letzten Sommer besucht hast." Der Zeitpunkt des Besuchs lässt sich zwar nicht wirklich bestimmen, immerhin kann eine Webseite über die Browser-History aber feststellen, ob eine bestimmte Seite aufgerufen wurde. Phisher könnten so beispielsweise herausfinden, bei welcher Bank ein potenzielles Opfer Kunde ist. Internet-Anbieter können so herausfinden, welche Seiten der Konkurrenz man besucht hat.

Ursache des Problems ist die Art, wie Browser speichern, ob ein Anwender schon einmal einem Link gefolgt ist. Bereits angeklickte Links werden farblich anders dargestellt, als Links, denen man noch nicht gefolgt ist. Die andere Farbe wird durch eine Änderung im Stylesheet des HTML-Dokuments bewirkt, die der Browser als Attribute in der History speichert. Ein Beispielprogramm, mit dem sich diese Verhalten ausnutzen lässt, hat der Sicherheitsspezialist Jeremiah Grossman bereits vor einigen Monaten veröffentlicht.

Dazu baute er ein JavaScript mit einer längeren Liste möglicher Webseiten, bei deren Aufruf er das Farbschema des Stylesheets testete. Damit war ein Rückschluß auf die besuchten Seiten möglich. Ein echtes Auslesen der History ist dies zwar nicht, immerhin kann man aber mit einer hinreichend langen Liste die wichtigsten Seiten testen.

Das Programm funktioniert derzeit nur auf Mozilla-Ablegern (Firefox, Netscape, etc.) und bei Safari. Eine Online-Demo zum Testen der eigenen History steht auf ha.ckers.org zur Verfügung. Abhilfe gegen diese speziellen Angriff bringt nur das Abschalten von JavaScript.

Leider gibt es auch eine Möglichkeit, ohne JavaScript an die Browser-History zu kommen, die erstmalig Wissenschaftler der Universität Indiana vorstellen. Dabei nutzt ein Angreifer die Eigenschaft von Stylesheets, unterschiedliche Hintergrundbilder nachladen zu können, je nachdem ob die Seite bereits besucht wurde oder nicht. Mit präparierten HTML-Seiten kann ein Angreifer dann ohne jegliches Script die Historie abfragen, indem er beobachtet, ob die Seite Bilder nachlädt. Seit gestern steht eine von RSnake implementierte Demo dazu auf ha.ckers.org zur Verfügung, die sowohl in Firefox als auch im Internet Explorer 7 und in Opera 9.10 funktioniert. Zumindest für Firefox gibt es einen Schutz vor solchen Angriffen: Das Plug-in SafeHistory Stanford University verhindert das Auslesen der besuchten Seiten. Alternativ hilft es, den Verlauf beziehungsweise die Liste der besuchen Seiten zu löschen. Das Löschen des Caches und der Cookies nützt hier nichts.

Siehe dazu auch:

(dab)