Firefox: Sicherheitslücke stiehlt History

Ja ich weiss, polemische Überschrift. Andere Browser sind auch betroffen. Doch nennt ihr es nicht Sicherheitslücke wenn eure Browserhistory beim Besuch einer harmlosen Webseite ausgelesen und gespeichert werden kann?

Start Panicking!.jpg

Start Panicking! kann folgendes: auf Wunsch eure Browserhistory auslesen – den Link an eure Freunde schicken – oder euren Freund auf die Seite lotsen (per Einladung) und seine History wird euch geschickt. Technische Details zur Sicherheitslücke gefällig? Bitte schön. Bin gespannt wie viele bald eine E-Mail als Einladung zu dieser Seite bekommen 😉

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

30 Kommentare

  1. @KeinAhnung
    Der Proxy leitet ja nur auf localhost um, damit die Listen der geblockten oder eingeschränkten Seiten von Proxomitron überprüft werden können. Wenn die aufgerufene Seite dort vermerkt ist, erscheint wird die Seite nicht aufgerufen und es erscheint ein Hinweis, dass Proxomitron sie geblockt hat. Danach hast du noch die Möglichkeit die Seite dennoch über bypass freizugeben. Foxyproxy habe ich dann noch dazwischen geschaltet, damit ich die Überprüfung direkt aus FF heraus für bestimmte Seiten auf Dauer oder nur einmailg freigeben kann. Ich könnte die Einstellungen auch direkt in Proxomitron vornehmen. Meinen Weg halte ich aus Bequemlichkeit für einfacher.

    @lordkanti
    Da es bei dieser Vorgehensweise nur ums blockieren geht, müsste auch adblock ausreichen. Habe ich aber nicht installiert, da mir Proxomitron nach meiner Ansicht mehr Einstellungsmöglichkeiten gibt, aber dadurch auch mehr Kenntnisse voraussetzt.

  2. @Praefix

    Nicht Opera, FF oder IE ist das „Böse“ bei einem Datendiebstahl.

    Bei einem Wohnungseinbruch ist nicht der Türhersteller das Problem sondern der Einbrecher. In der Verantwortungskette steht der Datendieb an erster Stelle nicht die Programmierer von Browsern. Wir sollten uns gegenseitig unterstützen damit alle 3 Browser dagegen sicher werden.

    Kein OS und kein Browser ist wirklich 100% sicher. Sicher ist nur, dass nichts sicher ist.

    Panik ist ein schlechter Ratgeber. Er verführt auch zu Überreaktionen …

    Wer ernsthaft Sicherheit will arbeitet für alle mit.

  3. SonicHedgehog says:

    Sehe das jetzt noch nicht soo schlimm, aus folgenden Gründen:

    1) Der Vorgang dauert ohnehin sehr lange. Und dass die Seite ständig Links irgendwo einsetzt, fällt bei der Dauer auch schnell (bei mir) in der Statuszeile auf.

    2) Wenn man jetzt weiß, dass man google.com besucht … wow! Schrecklich. Für sensible Seiten kann man einfach mal Strg + Umschalt + P drücken und man ist im Tarnkappen-Modus 😉

    Irgendwo hatte ich auch eine Diskussion zu dem Thema gelesen. Und am Ende kam eben raus, dass nur Private-Moduse was abhelfen. Weil beschränken kann man die Funktion auch schlecht (z.B. nur innerhalb einer Domain geht z.B. bei den Google-Ergebnissen mal gar nicht).

    Auf meine History verzichten möchte ich auch nicht mehr.

  4. von 5 Seiten hat Startpanic 4 entedeckt.
    Somit kann man damit nur vogegebene Seiten ausgelesen werden.
    Deshalb denke ich, dass da so etwas ähnliches, wie das mit dem CSS mechansimus dahinterstekct.

  5. warum wird diese lücke nicht gefixt ????

  6. Just to give an update – Firefox will soon resolve this issue.
    Here’s my new blogpost on this: http://sharovatov.wordpress.com/2010/03/17/visited-links-privacy-issue-revisited/

  7. And people, if you don’t want your history leaked, use inPrivate browsing mode (all browsers support it) and you’ll be safe.

    P.S. Sorry for not speaking German – I mostly understand everything you’re saying, but it’d take me ages to reply in German 🙂

  8. @Vitaly: english is ok 😉 And thanks for Info!

  9. JürgenHugo says:

    @Vitaly:

    I think, you understand some more German as we Russian… :mrgreen:

  10. Gerade bin ich auf diese Info gestoßen und stelle fest, dass im aktuellen Firefox (3.6.12) die Lücke immer noch existiert und diese Diskussion um dieses Problem ist schon locker ein Jahr alt.

    Hab ich irgendwas verpasst? Warum geschieht da nichts?

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.