Ja ich weiss, polemische Überschrift. Andere Browser sind auch betroffen. Doch nennt ihr es nicht Sicherheitslücke wenn eure Browserhistory beim Besuch einer harmlosen Webseite ausgelesen und gespeichert werden kann?
Start Panicking! kann folgendes: auf Wunsch eure Browserhistory auslesen – den Link an eure Freunde schicken – oder euren Freund auf die Seite lotsen (per Einladung) und seine History wird euch geschickt. Technische Details zur Sicherheitslücke gefällig? Bitte schön. Bin gespannt wie viele bald eine E-Mail als Einladung zu dieser Seite bekommen 
http://www.safehistory.com/
Kann helfen. Nicht getestet. Kenne das bislang nur mit einer CSS Methode. Hier wird allerdings bischen mehr als nur eine bestimmte Anzahl an Seiten ausgelesen.
E-Mails kann man löschen! Und die werd´ ich bestimmt ungelesen “wechschmeißen”.
Gut, das du eine Warnung rausläßt.
Unwissende werde sicherlich darauf reinfallen.
Nett von dir das du davon berichtet hast caschy.
Ohne JS gehts bei mir nich (s. 1. Link für Version ohne JS). Mit gehts. Lustig
Ich glaube ich habe es kaputt gemacht.
Mit FF36 wollte ich mit einem leeren Profil testen und schauen was angezeigt wird. Tut sich aber nichts.
Habe es gerade auch mal mit meinem Firefox 3.1B3 getestet und es klappt ja ganz gut. Zum Glück bin ich im Moment nur via Opera 10.00.1413 unterwegs. Läuft rund und hat mit diesem css-zeugs keine Probleme.
Für Leute die blindlings auf alles klicken was Ihnen vor die Nase kommt, sicher ein Risiko. Aber da gibt es noch ganz andere Sachen…
moin!
Also ich denke, dass “noscript” das bei mir blockt. Denn die Seite bleibt weiß und der status ist “Fertig”.
Aber: ich teste das gleich mal in einer VM.
greets
Marko (dericy)
Hm, geht nicht. *g* Dann will ich doch gleich mal den Internet-Explorer testen: lol, geht einfach in die ewigen Jagdgründe, und wacht nicht mehr auf. Opera: komisch, auch der zeigt mir nur diese eine Seite an: startpanic.com
Was muss man denn machen, damit das funktioniert?
Und es wird wieder eine Horde Begeisterter geben, die diesen Schwachfug nutzen… soifz
ein Grund mehr das es gut ist die Historie nach jeder Session zu löschen oder garnicht zu speichern. Wichtige Seiten kommen in meine Bookmarks und dinge die ich später lesen will kommen in ein Tmp Bookmark Ordner. Viele Seiten speicher ich per Session Manager.
Ich muss gestehen, dass ich mich mit den technischen Details noch nicht beschäftigt habe, aber wenn die Historie über JAvaScript ausgelesen werden kann, warum dann nicht die bookmarks, oder die geöffneten tabs?
In der dt. Version heisst es Chronik.
@caschy
Danke für den Hinweis, Seite bei mir geblockt.
Wer diese und andere Seiten mit einfacher Handhabung sperren will, sei auf Proxomitron verwiesen (www.proxomitron.de).
In Verbindung mit FoxyProxy kann man sich mit einfachen Mitteln einen umfangreichen Filter aufbauen bzw. an die eigenen Bedürfnisse anpassen (Werbe-, Trollfilter und anderes liegt bereits bei).
@Marko (dericy):
Bei einer Lücke die CSS Ausnütz bringt NoSCRIPT recht wenig, ok, die Seite benutzt nochn JS was man mit NoScript verbieten kann, jedoch geht das Ausnützen der “Lücke” auch ohne Script. Und wieso zur Hölle bitte in einer VM Testen?
@Stef:
“Schwachfug” ist gut…
Bild 1
Bild 2 <— Java, Javascript, Cookies und alle Plugins auf ON.
http://www.firefox-browser.de/.....tellungen)
@nochwas:
Wiederum die Frage: Was bringt eine Proxy wenns ums CSS geht und die lokale History, dein Browser, nicht die Proxy wertet das CSS aus und sorgt somit für die übermittlung ob man schon auf der Seite war, da hilft es nur das man keine History speichert
reicht zum blockieren nicht auch adblock plus?
@KeineAhnung
vm, weil ich gerade eine hatte und dort nen “leeren” portablen firefox hatte. So brauchte ich den nicht zu laden. Nicht etwa aus angst oder so…
Da bringt die VM – zumindest in diesem Fall – nichts.
Es würde vielen auch reichen, Java Script im Browser zu deaktivieren, aber wer möchte denn dann noch surfen? Mittlerweile wird ja jeder Button oder was weiß ich mit Java erzeugt. Ich freue mich immer schon, wenn ich eine Seite öffne, die noch nicht von NoScript “beglaubigt” wurde.
Ist aber schon sehr interessant, was man über eine Internetseite so alles auf einem Rechner auslesen kann. In diesem Fall ist das nur ein Hinweis. Aber weiß man denn, wieviele Seiten das nicht jeden Tag bei uns machen?
@KeinAhnung
Der Proxy leitet ja nur auf localhost um, damit die Listen der geblockten oder eingeschränkten Seiten von Proxomitron überprüft werden können. Wenn die aufgerufene Seite dort vermerkt ist, erscheint wird die Seite nicht aufgerufen und es erscheint ein Hinweis, dass Proxomitron sie geblockt hat. Danach hast du noch die Möglichkeit die Seite dennoch über bypass freizugeben. Foxyproxy habe ich dann noch dazwischen geschaltet, damit ich die Überprüfung direkt aus FF heraus für bestimmte Seiten auf Dauer oder nur einmailg freigeben kann. Ich könnte die Einstellungen auch direkt in Proxomitron vornehmen. Meinen Weg halte ich aus Bequemlichkeit für einfacher.
@lordkanti
Da es bei dieser Vorgehensweise nur ums blockieren geht, müsste auch adblock ausreichen. Habe ich aber nicht installiert, da mir Proxomitron nach meiner Ansicht mehr Einstellungsmöglichkeiten gibt, aber dadurch auch mehr Kenntnisse voraussetzt.
Dann bleibe ich auch lieber bei Opera 10. Die funktioniert 1a. Klar jeder Browser wird Lücken haben, aber ich denke das Opera Team macht schon noch eine bessere Arbeit.
Das hat ja auch eine Mitarbeiterin(für die Sicherheit) bei FF gesagt, das der FF noch so viele Lücken hat, und ist dann gegangen. War mal in einer News bei winfuture. Grundsätzlich fand ich denn FF aber gut, die Optik gefällt mir besser als bei Opera, das ist dann aber Geschmacksache.
@Praefix
Nicht Opera, FF oder IE ist das “Böse” bei einem Datendiebstahl.
Bei einem Wohnungseinbruch ist nicht der Türhersteller das Problem sondern der Einbrecher. In der Verantwortungskette steht der Datendieb an erster Stelle nicht die Programmierer von Browsern. Wir sollten uns gegenseitig unterstützen damit alle 3 Browser dagegen sicher werden.
Kein OS und kein Browser ist wirklich 100% sicher. Sicher ist nur, dass nichts sicher ist.
Panik ist ein schlechter Ratgeber. Er verführt auch zu Überreaktionen …
Wer ernsthaft Sicherheit will arbeitet für alle mit.
Sehe das jetzt noch nicht soo schlimm, aus folgenden Gründen:
1) Der Vorgang dauert ohnehin sehr lange. Und dass die Seite ständig Links irgendwo einsetzt, fällt bei der Dauer auch schnell (bei mir) in der Statuszeile auf.
2) Wenn man jetzt weiß, dass man google.com besucht … wow! Schrecklich. Für sensible Seiten kann man einfach mal Strg + Umschalt + P drücken und man ist im Tarnkappen-Modus
Irgendwo hatte ich auch eine Diskussion zu dem Thema gelesen. Und am Ende kam eben raus, dass nur Private-Moduse was abhelfen. Weil beschränken kann man die Funktion auch schlecht (z.B. nur innerhalb einer Domain geht z.B. bei den Google-Ergebnissen mal gar nicht).
Auf meine History verzichten möchte ich auch nicht mehr.
von 5 Seiten hat Startpanic 4 entedeckt.
Somit kann man damit nur vogegebene Seiten ausgelesen werden.
Deshalb denke ich, dass da so etwas ähnliches, wie das mit dem CSS mechansimus dahinterstekct.
warum wird diese lücke nicht gefixt ????
Just to give an update – Firefox will soon resolve this issue.
Here’s my new blogpost on this: http://sharovatov.wordpress.co.....revisited/
And people, if you don’t want your history leaked, use inPrivate browsing mode (all browsers support it) and you’ll be safe.
P.S. Sorry for not speaking German – I mostly understand everything you’re saying, but it’d take me ages to reply in German
@Vitaly: english is ok
And thanks for Info!
@Vitaly:
I think, you understand some more German as we Russian…
Deine Meinung ist uns wichtig...