|
Autor |
Nachricht |
jrose
Beiträge: 2736
|
Titel: Alle in Deckung: Datenschutz-GAU!!
Verfasst am: Di, 02 Feb 2010, 22:44 |
|
|
Bisher hatte ich spiegel.de ja für einigermassen seriös gehalten, aber wenn man beruflich eher auf heise.de unterwegs ist, kommen einem manche Sachen doch ein wenig spanisch vor:
Zitat: |
Anonym surfen im Web? Das war einmal. IT-Forschern ist es nach SPIEGEL-ONLINE-Informationen gelungen, Internetsurfer mit einem einfachen Trick namentlich zu identifizieren. Von der Sicherheitslücke sind Millionen Teilnehmer sozialer Netzwerke betroffen - es droht ein Datenschutz-GAU. |
Quelle
Die Grundlage für diesen von spon zu Katastrophe hochstilisierten Hack ist angeblich bereits 10 Jahre alt und kann neben der Seite der jetzt zitierten "IT-Forscher" (hier, momentan fast immer überlastet), auch hier (unter dem Titel "CSS History Hack") ausprobiert werden.
Wie gehts?
Da fast alle Browser besuchte Links farblich anders darstellen, kann man über eine präparierte Website feststellen, ob gewisse Links schon besucht wurden, man liest einfach aus, wie der Browser die Links, die man unterschiebt, darstellt.
1. Einschränkung:
Die auszulesenden Links müssen auf der präparierten Seite vorhanden sein, es ist also nicht möglich, einfach die History der besuchten Seiten auszulesen.
Die "Forscher" haben jetzt Xing-Gruppen-Links genommen und über eine präparierte Seite geprüft, ob man auf diesen Seiten war bzw. Mitglied der entsprechenden Gruppe ist. Die Annahme ist, dass die Gruppen-Abos für jeden User eine Art "Fingerabdruck" darstellen, über den Rückschlüsse zu ziehen sind.
2. Einschränkung:
Haben zwei Leute exakt dieselben Gruppen, funktionierts nicht.
3. Einschränkung:
Man muss eine präparierte Seite besuchen, steht also nicht beim Lesen von E-Mails direkt mit runtergelassener Hose da und muss Angst haben, dass jemand jeden Moment an die Tür klopft.
4. Einschränkung:
Die Forscher geben an, dass die von spon ebenfalls schon als "betroffen" gemeldeten "Millionen Teilnehmer sozialer Netzwerke" aufgrund ihrer Grösse nur mit entsprechender Infrastruktur abgegrast werden können, ein Script-Kiddie wird sich von zu Hause also kaum daran machen können, da müssen Profis ran.
Was bei spon so reisserisch klingt: "Wenn eine präparierte Website ihren Besuchern diesen Fingerabdruck abnehmen und mit einer Kartei aller Nutzer eines Netzwerks vergleichen kann, ist der anonyme Websurfer enttarnt." und die Angst vor Enttarnung schürt, ist schon durch ein dickes "wenn" eingeleitet.
heise: "In einem kurzen Test der heise-Security-Redaktion lieferte das Experiment in zwei Fällen keine Resultate zurück – diejenigen Nutzer waren zwar Mitglieder in Xing-Gruppen, jedoch nicht in Foren aktiv oder hatte ihre Browser-Historie kürzlich gelöscht. In einem Fall lieferte der Test immerhin zwei Namen zurück, von denen einer der richtige war."
Immerhin.
Trotzdem: In Zukunft spon (vielleicht nicht nur bei solchen Meldungen) erstmal durch eine zweite Meinung prüfen.
Wer jetzt echt Angst hat und eine schnelle Hilfe braucht: Browser-Historie löschen und der Keks ist gegessen. Oder ein Add-On wie z.B. "NoScript" (Firefox) verwenden, oder die Farbe für besuchte Links auf dieselbe Farbe wie für normale Links einstellen, schon ist der "Datenschutz-GAU" (mannmannmann) gebannt.
Und hier noch was Lustiges, was sich derselben Masche bedient: klick
jr
EDIT:
Wer nicht seine komplette History sondern nur die "Xing-Gefahr" löschen will, kann z.B. im Firefox in der History (Strg+H) nach "Xing" suchen und dann mit einem Rechtsklick auf einen Xing-Link "Diese Website vergessen" wählen, dann werden *alle* Spuren, die mit Xing zu tun haben (also z.B. auch Cookie-Ausnahmen, etc.) gelöscht.
____________ ... wir haben mal wieder alles richtig gemacht.
|
|
Nach oben |
|
jrose
Beiträge: 2736
|
Titel: (Kein Titel)
Verfasst am: So, 14 Feb 2010, 23:09 |
|
|
Und hier mal was richtig lustiges im Bereich "Datenschutz". Wieder auf spiegel.de, aber heise bestätigt die Meldung (auch hier).
Der neu gestartete Google-Dienst "Buzz", mit dem so etwas wie Twitter, Facebook und Flickr im Hause Google vereint werden sollte, um sich noch mehr Daten an Land zu ziehen, hat offensichtlich den vermuteten Exhibitionismus der Nutzer etwas überschätzt.
Zitat: |
Buzz wertete den Google-Mail-Account jedes Benutzers danach aus, an welche seiner Kontakte der Nutzer besonders häufig Mails schrieb. Reger Schriftwechsel wurde als Beleg für eine freundschaftliche Beziehung interpretiert - eine Logik, die all jenen von vorneherein nicht einleuchtete, die ihren Mailaccount primär beruflich nutzen. Wenn aber der eigene Chef automatisch auf der Freundesliste steht, kann das peinliche oder schlimmstenfalls verheerende Folgen haben - wie schon so mancher Nutzer anderer Social Networks wie Facebook feststellen musste.
Ein in einem erbosten Blogeintrag dokumentierter realer Fall: Der gewalttätige Ex-Mann einer US-Amerikanerin wurde wegen regelmäßiger E-Mail-Kontakte automatisch der Freundesliste der Frau hinzugefügt - und fortan über all ihre sozialen Online-Aktivitäten informiert. Der inzwischen nicht mehr allgemein zugängliche Blogeintrag, in dem die Frau über ihre Erfahrungen berichtet, trug die Überschrift "Fuck you, Google". Der Dienst habe dem gewalttätigen Ex ohne ihr Wissen ihren Aufenthaltsort und ihren aktuellen Arbeitsplatz verraten. |
Das Tolle: man muss dafür garnichts tun. Also mal fix bei meinem Google-Account eingeloggt und siehe da: Buzz ist bereits aktiv (ohne dass ich etwas dafür getan hätte) und sagt mir "1 Person liest bereits bei Ihnen mit."
Danke, Google
Nach einigen Protesten ist Buzz jetzt einfacher abzuschalten (warum man den Mist überhaupt abschalten muss, steht natürlich woanders): einfach am unteren Bildschirmrand auf "Buzz deaktivieren" klicken.
EDIT 15.2.:
"Bradley Horowitz, Googles Vizepräsident für Marketing, hat am Freitag die Auftrennung von Google Buzz und Google Mail angekündigt" (Quelle)
____________ ... wir haben mal wieder alles richtig gemacht.
|
|
Nach oben |
|
jrose
Beiträge: 2736
|
Titel: (Kein Titel)
Verfasst am: Fr, 21 Mai 2010, 11:29 |
|
|
History Stealing 2.0:
Zitat: |
Leider gibt es auch eine Möglichkeit, ohne JavaScript an die Browser-History zu kommen. Dabei nutzt ein Angreifer die Eigenschaft von Stylesheets, unterschiedliche Hintergrundbilder nachladen zu können, je nachdem ob die Seite bereits besucht wurde oder nicht. Mit präparierten HTML-Seiten kann ein Angreifer dann ohne JavaScript die Historie abfragen, indem er beobachtet, ob die Seite Bilder nachlädt. Janc und Olejnik haben auch diese Methode in ihren Test integriert, die nach ihren Angaben auch bei abgeschaltetem JavaScript und installierten Plug-ins wie NoScript funktioniert. |
Quelle
____________ ... wir haben mal wieder alles richtig gemacht.
|
|
Nach oben |
|
|
|
ähnliche Beiträge |
|
Thema
| Autor
| Forum
| Antworten
| Verfasst am
|
|
Film: Ein Schnitzel für alle |
boris |
zelluloid |
0 |
Fr, 30 Sep 2022, 22:41 |
|
Brian W. Aldiss - Alle Tränen dieser Erde |
boris |
kühnes mittelscharfer |
0 |
Mo, 18 Jul 2022, 12:43 |
|
M. Suter, B. v. Stuckrad-Barre - Alle sind so ernst ... |
boris |
kühnes mittelscharfer |
0 |
Mo, 20 Dez 2021, 16:07 |
|
Joachim Meyerhoff - Alle Toten fliegen hoch Teil 1: ... |
boris |
kühnes mittelscharfer |
0 |
Fr, 19 Jul 2019, 20:53 |
|
Stewart O'Nan - Alle, alle lieben dich |
boris |
kühnes mittelscharfer |
0 |
Do, 19 Jan 2017, 23:50 |
Schreiben: nein. Antworten: nein. Bearbeiten: nein. Löschen: nein. Umfragen: nein.
|