Browser speichern Informationen über besuchte Webseiten in einer Surf-History (Chronik).
Eine empirische Untersuchung der University of California zeigt, dass ca. 1% der Top 50.000 Websites versuchen, diese Daten über zuvor besuchte Websites auszulesen. Daneben gibt es spezielle Anbieter wie Tealium oder Beencounter, die einem Webmaster in Echtzeit eine Liste der Websites liefern, die ein Surfer zuvor besucht hat. Die dabei übermittelten Informationen erlauben ein ähnlich detailliertes Interessenprofil zu erstellen, wie das Tracking über viele Websites. In der Regel werden die Informationen für die Auswahl passender Werbung genutzt.
Ein Experiment des Isec Forschungslabors für IT-Sicherheit zeigt, dass diese History-Daten auch zur Deanonymisierung genutzt werden können. Anhand der Browser History wurde ermittelt, welche Gruppen bei Xing der Surfer bisher besucht hat. Da es kaum zwei Nutzer gibt, die zu den gleichen Gruppen gehören, konnte mit diesen Daten eine Deanonymiserung erfolgen. Die Realnamen sowie E-Mail Adressen der Surfer konnten ermittelt werden. Das Experiment könnte man auch auf Facebook Gruppen anwenden o.ä.
Es wurde andere Angriffe auf die Surfhistory entwickelt (z.B. Timing Attacks). Die einzig wirksame Verteidigung besteht in der Deaktivierung der Surfhistory. Im Dialog "Einstellungen" kann man auf dem Reiter "Datenschutz" die Speicherung besuchter Webseiten deaktivieren.
Außerdem können Webseiten in einem Tab die Anzahl der zuvor besucht Webseiten auslesen. Um das zu verhindern, kann man unter "about:config" folgenden Wert setzen:
browser.sessionhistory.max_entries = 2
Damit kann man aber mit dem Back-Button nur noch eine Seite zurück gehen. :-(
Eine empirische Untersuchung der University of California zeigt, dass ca. 1% der Top 50.000 Websites versuchen, diese Daten über zuvor besuchte Websites auszulesen. Daneben gibt es spezielle Anbieter wie Tealium oder Beencounter, die einem Webmaster in Echtzeit eine Liste der Websites liefern, die ein Surfer zuvor besucht hat. Die dabei übermittelten Informationen erlauben ein ähnlich detailliertes Interessenprofil zu erstellen, wie das Tracking über viele Websites. In der Regel werden die Informationen für die Auswahl passender Werbung genutzt.
Ein Experiment des Isec Forschungslabors für IT-Sicherheit zeigt, dass diese History-Daten auch zur Deanonymisierung genutzt werden können. Anhand der Browser History wurde ermittelt, welche Gruppen bei Xing der Surfer bisher besucht hat. Da es kaum zwei Nutzer gibt, die zu den gleichen Gruppen gehören, konnte mit diesen Daten eine Deanonymiserung erfolgen. Die Realnamen sowie E-Mail Adressen der Surfer konnten ermittelt werden. Das Experiment könnte man auch auf Facebook Gruppen anwenden o.ä.
Schutz gegen History Sniffing
In der Regel wurde der Besuch von Webseiten in der Vergangenheit durch Auswertung der Formatierung von Links ermittelt. Im Browser werden Links zu bereits besuchten Webseiten anders dargestellt, als unbekannte Webseiten. Deshalb hat Mozille 2010 die folgende Option eingeführt, mit der man die abweichende Formatierung von besuchten Links verhindern kann: layout.css.visited_links_enabled = false Seit 2013 ist Firefox auch in der Standardkonfiguration robust gegen diese Trackingmethode und verhindert das Auslesen der Formatierungen für die Darstellung besuchter Webseiten. Das Deaktivieren der Formatierung von besuchten Links ist daher als Verteidigung gegen Tracking nicht mehr nötig, kann aber Peinlichkeiten vor dem Bildschirm vermeiden.Es wurde andere Angriffe auf die Surfhistory entwickelt (z.B. Timing Attacks). Die einzig wirksame Verteidigung besteht in der Deaktivierung der Surfhistory. Im Dialog "Einstellungen" kann man auf dem Reiter "Datenschutz" die Speicherung besuchter Webseiten deaktivieren.
Lizenz: Public Domain