Das t3n Magazin hat die Liste der Top100 OpenSource Projekte aktualisiert. Auf den ersten 10 Plätzen hat sich nicht wirklich viel getan, Firefox ist weiterhin das beliebteste OpenSource Projekt überhaupt. WordPress kommt immerhin auf Platz 5, die beliebte (Java-)IDE Eclipse kommt nur auf Platz 11. Warum Notepad++ nur auf Platz 99 ist, bleibt mir allerdings schleierhaft, das ist ein super Tool, nutzt es ;).
Die EFF stellt mit Panopticlick eine Plattform zur Erstellung eines genauen Browser-Fingerabdrucks bereit. Das Ganze ist als Proof-of-Concept anzusehen und wird sicherlich schon von einigen Werbeanbietern (Google z.B.) genutzt.
Es geht dabei um die Erstellung eines Fingerabdrucks (durch Kombination der IP, Browserkennung, Plugindetails, Betriebssystem et cetera) des Browsers, heutzutage reicht eine IP Adresse nicht mehr sicher zur Identifizierung aus. Durch den Browserabdruck können auch hinter ein und der selben IP Adresse noch verschiedene Personen / Browser erkannt werden. Dies geht vor allem auch in sicheren Netzen wie Tor! Dadurch das nicht jeder die gleichen Plugins, Browser, Bildschirmauflösungen und so weiter nutzt, ist eine derartige Erkennung möglich. Erstellt man aus allen zur Verfügung stehenden Daten einen SHA-Hash oder Ähnliches wird eine Art Fingerabdruck für jeden Nutzer erstellt, der an diesem auch wiedererkannt werden kann, sofern er nicht grundlegende Einstellungen am Browser verändert. Theoretisch kann man den Algorithmus aber auch so robust gestalten das kleine Änderungen an den Plugins zum Beispiel nicht zur Veränderung des Hashs führen, damit kann man dann kleine Fehler ausbügeln.
Man sollte also in einem solchen “anonymen” Netz wie Tor, einen möglichst alltäglichen Browser verwenden um nicht genauer erkannt zu werden!
Azarask beschreibt auf seinem Blog eine Möglichkeit, via CSS und JS herauszufinden ob ein User auf einer bestimmten Webseite war. Die Technik funktioniert bei mir im Opera ohne Probleme, im aktuellsten Firefox scheint es nicht mehr zu klappen, dabei ist es eigentlich eine völlig harmlose Masche.
Wichtig ist bei dem Trick, man kann nicht die History eines Browsers abfragen, jedoch kann man Fragen: War der User auf Seite xzy.de?
Man kann also bestimmte Seiten abfragen, positiv: man könnte so speziefischen Content anbieten, zum Beispiel YiggMe Buttons wenn derjenige Yigg Nutzer ist. Negativ, man kann einfach 100 Seiten abfragen und so herausfinden auf welchen Seiten sich der Besucher noch so rumtreibt.
Der Trick ist dabei so einfach wie genial. Dank CSS werden Links die man einmal besucht hat oft farblich anders markiert. Oft zum Beispiel von blau nach lila. Jeder kennt das. Und viele Seiten, sagen wir 80%, nutzen das auch, welche Farbe dabei genutzt wird ist egal. Denn ohne CSS ist die Standardeinstellung immer blau/lila. Erzeugt man nun bei einem Seitenaufruf einen unsichtbaren iFrame, listet dort einfach alle Links auf die einen interessieren und nutzt dabei kein CSS, dann werden einige Links blau sein, andere lila. Je nach dem wo der Nutzer bereits alles war. Leuchtet ein. Die Farbe kann man nun aber leicht mit JavaScript auslesen. Das heißt, kombiniere ich das, kann ich mit einem iFrame, CSS und JS herausfinden, ob der gerade surfende Nutzer zum Beispiel auf Amazon war, oder auf Twitter etc.
Einerseits wirklich nichts besonderes und keine Lücke im Browser, sondern eher eine Möglichkeit an die bisher keiner gedacht hat, krass.
Wer es testen möchte -> http://browserspy.dk/css-exploit.php (keine Sorge, nichts gefährliches, Screenshot siehe unten)
Btw: Die oben verlinkte Seite browserspy.dk ist jedem zu empfehlen, der wissen möchte was der Browser alles so verrät, eine sehr umfangreiche Sammlung!
Google hat sich mal auf der Straße erkundigt, wer weiß eigentlich was ein Browser ist? Hier die teilweise schockierenden Antworten der US-Bürger.
(via)
Wie die Infogurke bereits gestern gepostet hat, könnte die neue DNS-Prefetch Funktion des Firefox 3.5 für Probleme sorgen.
Mit diesem Feature werden die DNS Namen zu allen Links einer Seite bereits während des Besuchs aufgelöst, um dann bei einem Klick auf einen Link schnell die passende IP parat zu haben, so spart man sich etwas Zeit. Das Problem dabei, surft man zum Beispiel auf wikileaks.org und ruft die dort gepostete Seite mit gesperrten Seiten aus Dänemark auf, “prefetched” Firefox natürlich auch zahlreiche Links, die ihr sonst vielleicht nicht aufgerufen hättet.
Sollte also bald die Stopp-Schild Seite mit Überwachung und Live-Bericht ans BKA sein, könnte bei euch doch mal die Polizei vor der Tür stehen, obwohl ihr niemals bewusst auf einer verbotenen Seite wart. Ein weiterer Grund, warum die Überwachung einer solchen Sperrseite Schwachsinn ist.
Also, brav die DNS Sperren umgehen. Ober aber DNS Prefetching deaktivieren, via about:config -> network.dns.disablePrefetch true
ChocoTheme by .css{mayo}
