[LW] Informations-Leaks in Browsern (was: Warum ist NoScript überflüssig?)

olafBuddenhagen at gmx.net olafBuddenhagen at gmx.net
Mo Aug 9 23:15:12 CEST 2010


Hallo,

On Mon, Jun 21, 2010 at 01:28:52AM +0200, Paul Hänsch wrote:
> Silke Meyer <silke at silkemeyer.net>, Sun, 20 Jun 2010 18:56:31 +0200:

> > ich hab in dem Zusammenhang noch einen interessanten Test gefunden:
> > Die Electronic Frontier Foundation hat eine Seite gemacht, auf der
> > mensch gucken kann, was der Browser so alles weitererzählt. Der
> > Unterschied war bei mir sehr groß, als ich es 1x mit und 1x ohne
> > NoScript getestet habe. Ohne NoScript konnte ich dort auch gleich
> > sehen, welche Firefox-Addons ich installiert habe etc.
> > https://panopticlick.eff.org/
> 
> Geht es dir hier um die Trackability?

Ja.

> Die Ausführung von Scripten ermöglicht in diesem Fall vor Allem das
> Ermitteln meiner Bildschirmauflösung, Zeitzone und meiner
> Schriftarten. Ein Satz an Informationen den ich für mich selbst zwar
> nicht als schützenswert betrachte,

Der Punkt ist, dass die Summe der preisgegebenen Informationen
ausreicht, um Deinen Browser unter etwa einer Million Besuchern
eindeutig zu identifizieren... Ohne Cookies.

> Abgesehen von diesen harmlosen Beispielen können durch Scripte
> durchaus schützenswerte Informationen exponiert werden. Ohne Scripte
> übrigens auch wie die Seite http://didyouwatchporn.com/ (u.U. NSFW)
> eindrucksvoll demonstriert. Die Seite selbst verwendet leider
> JavaScript um um Auswertung und Darstellung durchzuführen, die
> Informationsermittlung selbst findet jedoch über die Nutzung von CSS
> (!) statt und kann ohne Browserscripte auch serverseitig erfolgen (ist
> das jetzt so ne Behauptung? Werde das demnächst mal näher
> ausprobieren).

Und, hast Du?

Das Informations-Leak basiert ja auf der anderen Darstellung von
besuchten Links -- CSS an sich liefert aber keine Möglichkeit, Feedback
an den Server zu geben. Eventuell ginge es, indem man für jeden Link
jeweils andere Hintergrund-Grafiken für besucht und nicht besucht
festlegt: Falls der Browser nur jeweils die benötigte lädt, könnte der
Server das auswerten. Habe aber nicht ausprobiert, ob Browser das
wirklich so handhaben. Außerdem würde das bei vielen zu prüfenden Links
verdammt viele Server-Anfragen erfordern...

In Firefox 4 soll das Leak übrigens angeblich behoben werden -- habe
allerding keine Ahnung auf welche Weise.

-Olaf-