Verlauf auslesen per Javascript/CSS

Die gängigen Browser zeigen bereits geklickte Links in einer anderen Farbe an. So kann eine manipulierte Website im Hintergrund eine URL-Liste haben und an dieser erkennen welche der Seiten der Besucher bereits besucht hat. Der Browser markiert (per Javascript oder CSS[1]) die bereits besuchten Links, nur das mensch dies nicht mitbekommt. Die manipulierte Seite „merkt“ welche der angezeigten Links anders dargestellt werden, und so welche Seiten der Besucher bereits besucht hatte.

BKA/VS/LKA/Staatsschutz o.a. könnten die zu checkenden Listen natürlich mit „Szeneseiten“ füllen oder z.B. durch die URLs von Gruppen in Sozialen Netzwerken (Facebook, VZ-Netzwerke usw.) ziemlich genau einen Person die in all diesen ist ausmachen und so den Besucher mit den von ihm selber in einem Sozialen Netzwerk preisgegebenen Informationen verbinden. [2]
Bild
Außerdem könnte z.B. ermittelt werden welcher Personen hinter welchen Seite stecken. Dies könnte dann so ablaufen:
Beispiel: Bei dem in „der Szene“ beliebten Bloghoster Blogsport.de wäre es z.B. möglich das in der Liste der URLs auch Unterseiten welche im Administrativen Bereich liegen aufgezählt werden, und so erfahren würde ob der Besucher der infizierten Seite hinter einem Blogsport.de-Blog steckt. Da beispielsweise das BKA eh die Besucher Überwacht(e) [3]&[4] und die IP-Adresse der Besucher Abspeichert(e) hätte das BKA dann die IP Adressen des für den betreffenden Blog zuständigen linken Bösewichts.

Beispiel-Liste:
http://de.indymedia.org/ (Verschiedene Szene Seiten um das Surfverhalten im generellen festzustellen)
http://linksunten.idymedia.org/
http://autonome-antifa.org/ (Lokale Antifa Gruppen um zu schauen aus welcher Region der Besucher kommt (Erschließt sich eigentlich bereits aus der IP-Adresse, aber hier hat Anna bzw. Athur vorbildlich eine Proxy genutzt.))
http://beispielblog.blogsport.de/
http://beispielblog.blogsport.de/2010/Beispiel-Blogartikel (Verschiedene Blogbeiträge um zu sehen welche der Besucher angeklickt hatte.)
http://beispielblog.blogsport.de/wp-admin (Liegt in dem Bereich, in den mensch nur nach erfolgreicher Passworteingabe kommt. Wenn dieser link bereits geklickt ist, können BKA/LKA/… recht sicher davon ausgehen das es sich um den Administrator handelt.)
http://beispielblog.blogsport.de/wp-admin/refferers (Weitere Seite aus dem Internen Bereich, hier könnte geschaut werden was der Admin denn so im wp-admin alles anklickt.)

Da der VS eh „linksextreme“ Internetseiten beobachtet und zählt[5] existiert eine solche Liste wahrscheinlich bereist.
(Wahlweise könnte die liste um die einzelnen Unterseiten und Artikel ergänzt werden um zu schauen was mensch so alles liest. Brisant: Hier könnten auch URLs auf die mensch nur kommt wenn er einen Artikel verfasst aufgeführt werden, so kann z.B. gesehen werden ob der besucher bereits einen Indymedia Artikel verfasst hat usw.)

Abhilfe schafft zwar das abschalten der Chronik (Firefox: Einstellungen → Datenschutz)[6], aber dies schränkt den Luxus beim Surfen recht stark ein.
In Fire Fox kann mensch nachdem er “about:config” in die Adressleiste eingegeben hat die Option “layout.css.visited_links_enabled” deaktivieren die Lücke in CSS schließen. Dies in Kombination mit dem Fire Fox Add-on NoScript [7] welches Javascript nur auf den von einem selber erlaubten Seiten zulässt sollte sicher sein. Hiernach kann mensch bei volgendne Beispielen Testen ob Websiten noch immer z.B. seinen Mailanbieter, Banken oder sogar seinen Namen herausfinden können:
http://ha.ckers.org/weird/CSS-history-hack.html (Mail Anbieter)
http://startpanic.com/ (Große Seiten, US)
http://whattheinternetknowsaboutyou.com/all (Große Seiten, hauptsächlich US)
http://linuxbox.co.uk/stealing-browser-history-with-javascipt-and-css-results.php (Rundum Mischung von Google bis zur Website der Lokalzeitung)
http://128.111.48.22/experiment/ (Für Xing User, findet den Namen heraus)

_____________________________________

[1] Quellcode einer solchen Manipulation: http://www.web-tuts.de/css-history-hacks-auslesen-von-besuchten-webseiten.html und http://www.tutorials.de/forum/javascript-ajax/274623-history-url-auslesen.html#post1531036
[2] http://www.spiegel.de/netzwelt/web/0,1518,675395,00.html; XING-User können dies selber Testen: http://128.111.48.22/experiment/
[3] http://www.tagesspiegel.de/politik/deutschland/der-falsche-klick/1057184.html
[4] http://www.golem.de/0906/68028.html
[5] http://de.wikipedia.org/wiki/Linksextremismus_im_Internet
[6] http://www.webwriting-magazin.de/sicherer-surfen-chronik-im-browser-abschalten/
[7] https://addons.mozilla.org/de/firefox/addon/722/


1 Antwort auf „Verlauf auslesen per Javascript/CSS“


  1. 1 Administrator 05. Juli 2010 um 13:28 Uhr

    Den Artikel könnt ihr jetzt auch als PDF oder ODT(Open Office) herunterladen:
    http://mnm.blogsport.de/images/Verlaufauslesen.pdf
    http://mnm.blogsport.de/images/Verlaufauslesen.odt

Die Kommentarfunktion wurde für diesen Beitrag deaktiviert.