Firefox-Entwickler stopfen altes CSS-Leck
Eine schon seit 2000 bekannte Möglichkeit, herauszufinden, welche Webseiten ein Nutzer besucht hat, wollen die Entwickler des Firefox-Browsers demnächst stopfen. Auch andere Browser sind von diesem "CSS History Hack" betroffen.
- Christian Kirsch
Im Mozilla-Security-Blog beschreiben die Entwickler des Firefox-Browsers, wie sie eine uralte Datenschutzlücke stopfen wollen. Der "CSS History Hack" hatte vor kurzem Aufregung ausgelöst, weil er das Ausspähen von Nutzern sozialer Netze ermöglicht. Erstmals wurde das Problem im Jahr 2000 in einem Bugzilla-Eintrag beschrieben.
Es beruht darauf, dass Browser traditionell besuchte und unbesuchte Links unterschiedlich darstellen. Dadurch können Webanwendungen herausfinden, welche Seiten ein Anwender besucht hat. Das W3C hat deshalb bereits in der Spezifikation von CSS 2.1 festgelegt, dass Browser "alle Links als unbesucht darstellen oder andere Maßnahmen ergreifen können, um die Privatsphäre des Benutzers zu gewährleisten".
Für die zweite Variante wollen sich die Mozilla-Entwickler entscheiden, indem sie nur noch bestimmte Attribute für die Pseudoklasse :visited
zulassen. Attribute, die entfernte Ressourcen laden (etwa background-image
, wird der Browser ignorieren. Außerdem soll die Layout-Engine alle Links in derselben Geschwindigkeit positionieren, sodass Anwendungen kein unterschiedliches Zeitverhalten ausnutzen können. Schließlich wird die JavaScript-Methode getComputedStyle
in Zukunft auch für besuchte Links die CSS-Attribute der unbesuchten liefern.
Die angekündigten Änderungen sollen demnächst in den Entwicklungszweig des Browsers einfließen. Am Aussehen der meisten Webseiten werde sich dadurch nichts ändern, so die Firefox-Entwickler.
Siehe dazu auch:
- iX-Artikel zum CSS History Hack
(ck)