Chrome Browse Sicherheit

rat

0
Hi@all

Also ich beschäftige mich mit der Sicherheit von Chrome im Moment sehr und mir ist da etwas aufgefallen was ich nicht lösen kann.

Also ich habe das Problem in der Tab History und zwar ist dieses sehr merkwürdig,er sagt immer ich hätte 3 Tabs offen obwohl das nicht wahr ist.

http://i.imgur.com/bzq1GVK.png

Die History ist komplett Deaktiviert und im Profilordner gibt es eine Datei namens History,diese habe ich mir mal genauer angeschaut und dort gibt es einen Eintrag.

Code:
3tablesegmentssegmentsCREATE TABLE segments (id INTEGER PRIMARY KEY,name VARCHAR,url_id INTEGER NON NULL)

Der Wert 3 lässt sich auch nicht ändern und da sind viele Verschlüsselte Zeilen bei.Auch wenn ich die History lösche und den Browser neustarte erstellt er eine neue History aber wider sagt mir ip-check.info ich hätte 3 Tabs offen was aber nicht stimmt.

Und wenn ich die History aktiviere und z.b 4 Seiten besuche sagt mir die Seite ich hätte 7 Seiten besucht,da laufen im Hintergrund bei Chrome 3 Tabs die sich nicht deaktivieren lassen,egal was ich versuche.

Hat jemand ne Idee um das zu Lösen.
 
Zuletzt bearbeitet:
HTML Standard

Die Tab anzahl wird über die API rausgelesen und sagt die geöffnete Seiten im Tab.

Bsp bei dir: Ich öffne Chrome, Startseite lädt (History Counter: 1), du rufst die Ip check seite auf (History Counter:2), die Seite läd den Check und verweist auf neue Seite (History Counter: 3).

Damit hättest du dein Ergebnis :)
 
beim Inkognito Modus macht er das nicht und das will ich im normalen Modus erreichen,die anderen Punkte konnte ich auch sichern,war nicht einfach aber habs hinbekommen.Jetzt fehlen nur noch die Tab Protection,den Useragent ist egal weil ip-check.info nur Firefox als einzigst wahren Browser akzeptiert was quatsch ist und dazu noch ne völlig veraltete Version.
 
Zuletzt bearbeitet:
Das dürfte schwierig werden.
window.history ist ein Object und kein Array und darüber hinaus noch ein internes Object was JS vom Browser mit eingeschränktem zugriff zur Verfügung stellt wird.
Man kann da also nicht so ohne weiteres die Länge manipulieren.
Das einzige was du machen kannst ist mittels replaceState, aber hier gibt es Sicherheitsbeschränkungen.

Abgesehen davon: wiso willst du das machen?
Du stehts dann heraus, denn du bist dann nicht im Inkognitomodus aber dein Historyobject verhält sich trotzdem so.

Du müsstest da dann mittels Webextension ran gehen, oder halt mit einem alten Addon-SDK.

history - Mozilla | MDN

Chrome bietet dort zZ bessere Unterstützung als FF, und dort ist man sozusagen "in limbo" weil die SDK, aufs Abstellgleis kommt aber die Webextensions noch nicht komplett da sind -.- .

Gruß

Fluffy
 
Da hast du Recht Fluffy,es ist wirklich nicht leicht,die anderen Punkte lassen sich nach Belieben manipulieren mit diversen Commands oder Extensions und Regedit Einstellungen aber die Tab History ist lässt sich nicht so leicht Manipulieren wie du schon sagst.

was mir aufgefallen ist,auch im Inkognito Modus lässt sich die Tab History auslesen und zwar ist hier zu beachten.

Starte ich den Browser und gehe auf ip-check.info und mache den Scan bekomme ich auch im Inkognito Modus meine 3 Tabs,aber gehe ich z.b normal auf die Seite und benutzte Addons wie "Inkognito this Tab" und mache dann den Scann erscheint bei der Tab History Geschützt.

Die Tab History wird nur Geschützt solang ich auch im Inkognito Modus den Scan nicht in einem neuen Tab sondern in einem bereits bestehenden Tab mache.
 
Zuletzt bearbeitet:
Na ist doch klar, es gibt noch keine History wenn du den Scan direkt im neuen "privaten" Tab machst, damit die die History.length 0 bzw 1 und die Seite spuckt dir dein Ergebnis aus.

Bin mir eh unsicher was du vor hast? Die Länge der History sagt ja letzendlich nur aus, wie lange du das Tab offen hattest (indirekt).

Spielst du die Sache an das Webseiten welche mal besucht wurden sind bzw deren Links eine andere Ladezeit haben als nicht besuchte Seiten? Fingerprinting über die History?
 
genau es geht um Fingerprinting.

Im Firefox lässt sich das ganz leicht lösen mit einem Eintrag über about:config und dann browser.sessionhistory.max_entries auf 2

//edit ich fall grad um,bei Chrome muss man echt aufpassen welchen man davon nimmt.

Google Chrome,SWare Iron, und Iridium laden als erstes sofort google-analyticts in den Cache wenn man sie startet,auch wenn dieser deaktiviert wurde.

hab jetzt mal den Vivaldi genommen,sieht aus wie ein Opera ist aber ein Chrome,dieser macht das nicht.Cache deaktiviert und da landet auch nichts im Cache.

Man muss bei Chrome wirklich aufpassen.
 
Zuletzt bearbeitet:
Ja da hatte ich die Scheuklappen auf,hab jetzt wider zu Firiefox gewechselt.

Also Finger weg von
Google Chrome
SRW Iron
Iridium

Vivaldi ist ganz ok,bis ich merke das der auch irgendwo hintelefoniert und mit Firefox hab ich das jetzt über about:config gelöst http://i.imgur.com/mvJGjut.png Reiter Protected

Es geht halt darum den Datenkracken so wenig Informationen wie möglich zu geben und das sind die 3 besten Tests die ich gefunden habe.

IP/DNS Detect - What is your IP, what is your DNS, what informations you send to websites.
IP check
How to find and check my IP address
 
Zuletzt bearbeitet:
Mozilla bekommt dank Update- und Erweiterungschecks auch ständig deine IP, wenn du kein VPN verwendest. Ist mir letztens aufgefallen, als ich für ein paar Analysen mal wieder einen MITM-Proxy brauchte. Da tauchten dann auch ständig Anfragen an Mozilla-Server auf. Was die damit anstellen, kann wohl auch kaum jemand sagen. Allein schon die Frage welchen Browser jemand nutzt, kann nämlich für Geheimdienste durchaus interessant sein.
 
Interessant Bitmuncher

Ich benutzte für Proxys das Toold Proxifier welches auch jegliche Verbindungen anzeigt die irgendwo hin aufgebaut werden und bei manchen verbindungen überlege ich noch imemr woher sie kommen wie hier Yandex.ru im Vivaldi http://i.imgur.com/LJcZCwq.jpg.
 
Zuletzt bearbeitet:
Von irgendetwas kommt es und mir fällt immer mehr auf das es unmöglich ist den Datenkraken zu entkommen.Allein schon der Steam Client baut eine verbindung zu Google-Analytics auf.

Anonymität ist nen absoluter Mythos,das exestiert nicht je mehr ich mich damit außeinander setzte um so klarer wird mir das und ein VPN/Proxy/SSH ist da auch nicht immer die Lösung.

Man hinterlässt überall seine Spuren und diese zu beseitigen ist nen Kampf gegen Windmühlen.
 
Nun macht aber mal halb lang.

Allein schon der Steam Client baut eine verbindung zu Google-Analytics auf.

Anonymität ist nen absoluter Mythos,das exestiert nicht je mehr ich mich damit außeinander setzte [...]

Steam ist eine Plattform, über die Software vetrieben wird. Da Marketing- und Verkaufsprozesse heute maßgeblich auf der Korrelation von Informationen beruhen und dies meistens nicht das Kerngeschäft von Unternehmen ist, wird genau das ausgelart, z.B. zu Google als einem der größten Unternehmen in diesem Bereich. Steam interessiert sich per se ganz offensichtlich nicht für Anonymität, was im Umkehrschluss bedeutet, dass die Erwartungshaltung hinsichtlich Anonymität schlicht eine sehr naive ist.

Mozilla bekommt dank Update- und Erweiterungschecks auch ständig deine IP, wenn du kein VPN verwendest.
[...]
Was die damit anstellen, kann wohl auch kaum jemand sagen. Allein schon die Frage welchen Browser jemand nutzt, kann nämlich für Geheimdienste durchaus interessant sein.

Was ist denn nun besser: Die Erhaltung von Anonymität durch die Vermeidung jeglicher Kommunikation oder die deutlich gesteigerte Angriffsfläche gegen eine deutlich höhere Anzahl an Angreifern durch die heute innerhalb weniger Tage bereits veraltete Software?

Es ist nunmal so, dass für einen Großteil der User dieses Verhalten sinnvoll ist. Der Rest hat zumindest bei Mozilla die Möglichkeit, die "de-anonymisierenden Funktionen" (Suchmaschinen, Updates, Absturzmeldung, ...) zu deaktivieren. Auch wenn dies nicht wirklich etwas bringt, wenn man bedenkt, dass man Browser inzwischen sogar anhand unterschiedlicher Protokoll- und Javascriptimplementierungen oder User anhand ihrer Tipp-, Maus- oder Touchverhaltens erkennen kann.

Das Ergebnis aus der technischen Entwicklung, die wir gerade sehen, ist doch, dass Privatsphäre - denn darum geht es doch letzten Endes bei der Diskussion hier - schlussendlich nur durch Regelularien und Gesetze sowie die Durchsetzung dieser geschützt werden kann und technische Maßnahmen schlussendlich nur flankierend wirken. Die Frage, welche Daten gesammelt werden, für was sie verwendet werden dürfen, an wen sie weitergegeben werden dürfen, wann sie gelöscht werden müssen sowie die persönliche Frage, welchen Schaden sie anrichten könnten. All das sind Fragen, die man nicht technisch beantworten kann.

Ode provokativ aus Sicht des klassischen Risikomanagements gefragt: Wie willst du dich gegen de-anomymisierende Maßnahmen schützen, wenn du nichtmal weißt, wie wahrscheinlich ein bestimmter Schaden eintreten wird?

Und da komme ich auf meinen ersten Punkt zurück: Wenn ich Steam benutze, dann muss ich davon ausgehen, dass ich getrackt, beobachtet und analysiert werde. Wenn mich das stört (~wenn der erwartete Schaden dadurch zu hoch ist), dann wäre die logische Konsequenz, Steam schlicht nicht mehr zu benutzen. So hart es klingt: Wir sind an unserer Situation meistens selbst schuld. Da bleibt nur noch eine Frage: Haben wir wirklich ein Problem oder ist das nur Übertreibung von ein paar Nerds, die den Wert von Anonymität im gesellschaftlichen Kontext überbewerten? Anonymität macht sicherlich Sinn, z.B. bei geheimen Wahlen. Aber brauchen wir wirklich immer und überall Anonymität, selbst wenn wir deren Sinn nichtmal selbst verstehen?
 
Zuletzt bearbeitet:
Zurück
Oben