[HaBo]

gelöscht

Anzeige

Hallo HaBo'ler,

ich habe darüber schon lang und breit nachgedacht, wie es eigentlich mit der Sicherheit von Lesezeichen aussieht.

Ich habe massig an Lesezeichen und ich wollte daher mal gerne wissen, inwieweit die "gelinkten" Seiten wissen, dass mein Browser die Seiten als Lesezeichen gespeichert hat. Gibt es die Möglichkeit das man User darüber ausspionieren kann ?

Ich denke, die "verlinkten" Seiten wissen doch ob man Sie als Lesezeichen im Browser gesetzt hat, oder ?

Könnten die Seiten eventuell dadurch auch Cookies "auslesen", meine Gewohnheiten nachvollziehen, andere Lesezeichen "auslesen", etc.pp ?

Was denkt Ihr darüber, welches Wissen habt Ihr darüber?

Wenn etwas unverständlich ist, bitte sagen, dann versuche ich es ggf. besser zu formulieren.

Vielen Dank im voraus.

Grüße

Zephyros

Elderan

Hallo,
Warum sollten sie?


Wenn es so wäre, wieso würde dann nicht jemand mal einen Browser schreiben, der soetwas nicht erlaubt?
Bzw., warum sollte dein Browser das machen?


Was aber geht:
Wo du warst, verrät, wer du bist
Angreifer können Liste besuchter Webseiten auslesen
CSS histroy hack


Dies hat aber nichts mit deinen Lesezeichen zu tun, sondern mit der Histroy deines Browser.
Und bitte die Artikel erst durchlesen und versuchen zu verstehen, bevor panische Nachfragen kommen.

gelöscht

Hallo Elderan,

danke erstmal für Deine Antworten.

Eben genau deswegen, um das Surfverhalten der User ausspionieren zu können.

Vielleicht weil noch keiner auf die Idee so richtig gekommen ist, "Angriffe" per Lesezeichen zu versuchen, tut mir leid, klingt wirklich sehr utopisch, aber einige Leute kommen dennoch auf verrückte Ideen. Wie man auch weiß, werden ständig neue Sicherheitslecks entdeckt.

Das weiß ich schon, dennoch Danke für die Links. Meine History usw wird eh nicht gespeichert, ich denke das ich diesbezüglich genug für gewisse Sicherheit getan habe.

Das war keine "panische" Nachfrage, darüber habe ich mir schon etwas länger gedanken gemacht und wollte einfach, aus interesse, mal wissen, was Ihr darüber wisst, etc.pp

Grüße

Zephyros

thinsys

man kann vielleicht nicht 100%tig sagen ob jemande eine Seite als Lesezeichen hat oder nicht, aber man kann es vermutten. Wenn man z.b normalerweise den Weg gehen muss um in einen Thread zu gelangen:

...de/index.php
...de/board.php?boardid=12
...de/thread.php?threadid=38188Lesezeichen und Ihre Sicherheit

wenn nun eine funktion vorhanden ist die in eine Datenbank schreibt
benutzer uhrzeit hat die seite besucht + referer

wenn nun der selbe user immer gleich im thread landet könnte man sich denken das er ein lesezeichen zum thread hat. sieht sein verhalten auf der Seite so aus:

...de/thread.php?threadid=38188
...de/board.php?boardid=12
...de/thread.php?threadid=12348

Elderan

Hallo,
Das 'Warum sollten sie?' zielte eher auf die Browser ab, warum sollte der Browser der Website mitteilen: Hey, ich hab dich als Lesezeichen.

Was für Angriffe denn?


Also nochmal im Klartext:
Die Lesezeichen die du in deinem Browser hast, sind lokal auf deiner Festplatte gespeichert. Der Browser sendet nicht einfach so an alle Welt, welche Lesezeichen er gesetzt hat oder nicht.
Auch übermittelt dieser einer Website nicht, dass diese über ein Lesezeichen aufgerufen wurde.

Ansonsten lad dir Live HTTP Headers für Firefox herunter, damit kannst du sehen, was dein Browser so alles sendet und empfängt, wenn du bestimmte Seiten aufrufst.

Denn wie gesagt, was für einen Sinn würde es ergeben, wenn der Browser bei jedem Seitenaufruf alle deine Lesezeichen mitsenden würden?
Das würde zuerst einmal weiteren vollkommen unnötigen Traffic erzeugen und Vorteile für den User existieren nicht.
Deswegen, warum sollte ein nicht böser Browserprogrammierer soetwas implementieren?

Und Lesezeichen eine deutlich neuere Erfindung als HTTP. Irgendwann kam mal jemand auf die Idee, dass es unpraktisch ist, alle URLs sich zu merken und hat ein kleines Tool geschrieben, welches diese abspeichert und dann wieder automatisch im Browser einträgt.


Gut, das wäre möglich. Wenn der User immer die gleiche Einstiegsseite hat, die nicht gleich mit der normalen Startseite ist, dann könnte man darauf schließen.
Der Aufwand für die Analyse ist aber viel zu hoch, um soetwas zu betreiben und der Gewinn an Informationen ist auch gering. Was bringt es mir, dass User XYZ ein Bookmark auf die Seite ... gesetzt hat?
Hinzu kommt noch, dass man Besucher nicht unbedingt eindeutig identifizieren kann. Bei den meisten ändert sich die IP alle 24 Stunden, und wenn man kein Cookie für die eindeutige Identifizierung der Person gesetzt hat, wird es verdammt schwer bis unmöglich, einen wiederkehrenden Besucher auszumachen.


PS:
Die verlinkten Texte haben nichts mit Lesezeichen zu tun, sondern befähigen sich der Histroy des Browser. Der Browser stellt bereits besuchte Links anders dar, per CSS und JS kann man nun auslesen, ob ein Link anderes dargestellt wird und somit zuvor besucht wurde.

thinsys

ich wollt ja nur sagen, das es möglich ist herauszufinden das der User oder irgend ein User ein Lesezeichen auf meine Seite hat, vorrausgesetzt der Benutzer landet nicht auf der Startseite und wurde nicht von einer Suchmaschine weitergeleitet.

jorey

wobei allerdings auch das nicht so wirklich sinnvoll waere. ich kann auch nen link zugeschickt bekommen haben und den dann in der browserhistory (oder sonstwo) wiedersehen und aufrufen. ergebnis sollte dann das gleiche sein.
alles in allem gibts hier eh nicht viel rumzudiskutiern. elderan hat alles gesagt was zu sagen ist *behaupt*.

gelöscht

Danke, dass wollte ich wissen

Das die Lesezeichen nur lokal gespeichert werden, hab ich nun überhaupt nicht bedacht, das muss in meinem Gedankenwusel total untergegangen sein

@ Jorey & thinsys

Danke für eure Antworten auf den Thread.

Grüße

Zephyros