Christian Mayer's Weblog

Browser History Hack

In letzter Zeit kursieren viele Artikel über den 10 Jahre alten Browser Bug im Internet. Also eigentlich ist es ja kein Fehler (Bug), sondern eher ein Browser-Feature. Man kann jedoch nicht einfach so den ganzen Browser-Verlauf in einem auslesen, wie es vielleicht einige glauben. Das geht natürlich nicht.

Aber was genau macht dieser Hack eigentlich? Mithilfe von JavaScript wird zuerst ein Link erzeugt. Dieser wird, jenachdem ob der Link zuvor schon einmal besucht worden ist, vom Browser dementsprechend eingefärbt. Danach liest das JavaScript die Farbe des Links aus. Ein besuchter Link hat eine andere Farbe als ein noch nie besuchter Link. So könnte dann ein Angreifer herausfinden, ob ein User schon einmal auf einer bestimmten Internet-Seite war oder nicht. Das heißt, der Angreifer muss genau die URL kennen. Auch die genaue URL einer Unterseite. War ein User schon einmal z. B. nur auf “https://fox21.at/”, wird die Überprüfung auf “https://fox21.at/irgendeineUnterseite” nicht anschlagen, weil es einfach 2 unterschiedliche Zeichenketten sind. Das heißt, die URL, die überprüft werden soll, muss öffentlich für jedermann zugänglich sein. Aber dennoch ist dieser Bug gefährlich, da man so von jedem Internet-User, der eine gefähliche Seite besucht, ein Online-Profil erstellen kann.

Hier ist mein Beispiel. Was dem Script aber noch fehlt, ist die Antwort, die die ganzen Informationen zurück zum Server schickt. Anders gesagt, mein Script ist ungefählich. Gefährlich sind nur Seiten, die das Ganze ohne Wissen der User im Hintergrund machen, und die Informationen über die besuchten Seiten wieder zurück zum Server schicken.

Was man damit noch machen könnte, alle Rapidshare-Links auslesen und alle Downloader verhaften. Ok, das liest sich jetzt sicher etwas brutal und übertrieben. Aber mit diesem Hack kann man so einiges über sehr viele Internet-User herausfinden.

Wer also etwas mehr Anonymität im Internet haben will, sollte im Firefox den Privaten Modus aktivieren. Natürlich kann man auch ganz einfach JavaScript deaktivieren. Stay secure.

Weitere Ressourcen

Posted on .
Categories: Security
Tags: Browser, CSS, History, HTML

Imprint | Usage | Categories | RSS Feed
Copyright © 2006 by