Tag: firefox

Fingerabdruck des eigenen Browsers

10 Feb

Die EFF stellt mit Panopticlick eine Plattform zur Erstellung eines genauen Browser-Fingerabdrucks bereit. Das Ganze ist als Proof-of-Concept anzusehen und wird sicherlich schon von einigen Werbeanbietern (Google z.B.) genutzt.

Es geht dabei um die Erstellung eines Fingerabdrucks (durch Kombination der IP, Browserkennung, Plugindetails, Betriebssystem et cetera) des Browsers, heutzutage reicht eine IP Adresse nicht mehr sicher zur Identifizierung aus. Durch den Browserabdruck können auch hinter ein und der selben IP Adresse noch verschiedene Personen / Browser erkannt werden. Dies geht vor allem auch in sicheren Netzen wie Tor! Dadurch das nicht jeder die gleichen Plugins, Browser, Bildschirmauflösungen und so weiter nutzt, ist eine derartige Erkennung möglich. Erstellt man aus allen zur Verfügung stehenden Daten einen SHA-Hash oder Ähnliches wird eine Art Fingerabdruck für jeden Nutzer erstellt, der an diesem auch wiedererkannt werden kann, sofern er nicht grundlegende Einstellungen am Browser verändert. Theoretisch kann man den Algorithmus aber auch so robust gestalten das kleine Änderungen an den Plugins zum Beispiel nicht zur Veränderung des Hashs führen, damit kann man dann kleine Fehler ausbügeln.

Man sollte also in einem solchen “anonymen” Netz wie Tor, einen möglichst alltäglichen Browser verwenden um nicht genauer erkannt zu werden!

 
0 Kommentare
 

CSS Exploit: Ich weiß, welche Seiten Du aufgerufen hast!

26 Nov

Azarask beschreibt auf seinem Blog eine Möglichkeit, via CSS und JS herauszufinden ob ein User auf einer bestimmten Webseite war. Die Technik funktioniert bei mir im Opera ohne Probleme, im aktuellsten Firefox scheint es nicht mehr zu klappen, dabei ist es eigentlich eine völlig harmlose Masche.

Wichtig ist bei dem Trick, man kann nicht die History eines Browsers abfragen, jedoch kann man Fragen: War der User auf Seite xzy.de?

Man kann also bestimmte Seiten abfragen, positiv: man könnte so speziefischen Content anbieten, zum Beispiel YiggMe Buttons wenn derjenige Yigg Nutzer ist. Negativ, man kann einfach 100 Seiten abfragen und so herausfinden auf welchen Seiten sich der Besucher noch so rumtreibt.

Der Trick ist dabei so einfach wie genial. Dank CSS werden Links die man einmal besucht hat oft farblich anders markiert. Oft zum Beispiel von blau nach lila. Jeder kennt das. Und viele Seiten, sagen wir 80%, nutzen das auch, welche Farbe dabei genutzt wird ist egal. Denn ohne CSS ist die Standardeinstellung immer blau/lila. Erzeugt man nun bei einem Seitenaufruf einen unsichtbaren iFrame, listet dort einfach alle Links auf die einen interessieren und nutzt dabei kein CSS, dann werden einige Links blau sein, andere lila. Je nach dem wo der Nutzer bereits alles war. Leuchtet ein. Die Farbe kann man nun aber leicht mit JavaScript auslesen. Das heißt, kombiniere ich das, kann ich mit einem iFrame, CSS und JS herausfinden, ob der gerade surfende Nutzer zum Beispiel auf Amazon war, oder auf Twitter etc.

Einerseits wirklich nichts besonderes und keine Lücke im Browser, sondern eher eine Möglichkeit an die bisher keiner gedacht hat, krass.

Wer es testen möchte -> http://browserspy.dk/css-exploit.php (keine Sorge, nichts gefährliches, Screenshot siehe unten)

Btw: Die oben verlinkte Seite browserspy.dk ist jedem zu empfehlen, der wissen möchte was der Browser alles so verrät, eine sehr umfangreiche Sammlung!

css exploit live

 
3 Kommentare
 

What is a browser? Shocking answers…

12 Jul

Google hat sich mal auf der Straße erkundigt, wer weiß eigentlich was ein Browser ist? Hier die teilweise schockierenden Antworten der US-Bürger.

YouTube Preview Image
(YouTube Video)

(via)

 
5 Kommentare
 

DNS-Prefetch macht euch zu KiPo-Konsumenten

01 Jul

Wie die Infogurke bereits gestern gepostet hat, könnte die neue DNS-Prefetch Funktion des Firefox 3.5 für Probleme sorgen.

Mit diesem Feature werden die DNS Namen zu allen Links einer Seite bereits während des Besuchs aufgelöst, um dann bei einem Klick auf einen Link schnell die passende IP parat zu haben, so spart man sich etwas Zeit. Das Problem dabei, surft man zum Beispiel auf wikileaks.org und ruft die dort gepostete Seite mit gesperrten Seiten aus Dänemark auf, “prefetched” Firefox natürlich auch zahlreiche Links, die ihr sonst vielleicht nicht aufgerufen hättet.

Sollte also bald die Stopp-Schild Seite mit Überwachung und Live-Bericht ans BKA sein, könnte bei euch doch mal die Polizei vor der Tür stehen, obwohl ihr niemals bewusst auf einer verbotenen Seite wart. Ein weiterer Grund, warum die Überwachung einer solchen Sperrseite Schwachsinn ist.

Also, brav die DNS Sperren umgehen. Ober aber DNS Prefetching deaktivieren, via about:config -> network.dns.disablePrefetch true

 
7 Kommentare
 

News des Tages

30 Jun

- Firefox 3.5 ist fertig und zum Download freigegeben
Die neuste Version des beliebten Browser steht zum Download bereit! Update empfohlen ;).

- Schwedische IT-Firma kauft The Pirate Bay
Die schwedische IT-Firma Global Gaming Factory hat angekündigt, die Website The Pirate Bay zum Preis von umgerechnet 5,5 Millionen Euro übernehmen zu wollen.

- Einheitliches Ladegerät für Handys
Die großen Hersteller (u.a. Nokia, Sony Ericsson, Apple) haben sich auf einen einheitlichen Anschluss für Ladegeräte geeinigt. Es wird Micro-USB werden. Schon ab 2010 soll es losgehen.

 
0 Kommentare
 
« Older Entries