Firefox-Bug des Tages, sehr übel und gewiss ausbeutbar. Selbst, wenn einer das NoScript-Plugin benutzt (ich mache das zum Beispiel), kann die History, also die Liste der bislang besuchten Websites, ausgelesen werden (Achtung, Link auf eine Implementation des Exploits). Es wird nicht einmal JavaScript benötigt. Alles, was man dafür braucht, ist ein IFRAME. Das Senden der Daten gehört bereits zu dem Exploit. Auf diese Weise kann jemand die Surfgewohnheiten eines Seitenbesuchers ermitteln, und zwar auch so, dass der Betroffene das gar nicht mitbekommt. Selbst, wer paranoid mit Tor und NoScript unterwegs ist, kann immer noch ausgespäht werden. In meinen Augen ist das ein sehr schweres Sicherheitsproblem, das hoffentlich bald gefixt wird. Bis dahin sollte man besser seine History leeren, wenn man Seiten besucht hat, die man nicht in die ganze Welt rausposaunen möchte. [via]
Kommentare
Kommentieren
In der Archivversion kann nicht kommentiert werden.
Bio am 16.6.2009 um 00:01
Für Firefox 2 gibt es da ein AddOn namens SafeHistory das gegen solche Atacken schützt.
Leider ist das nicht mit Firefox 3 kompatibel!
Seit dem umstieg von Firefox 2 auf Firefox 3 vermisse ich diese beiden AddOns SafeHistory und SafeCache sehr und hoffe eigentlich immer noch dass da bald ein Update für Firefox 3 nachkommt.
Hier gibt es den Sourcecode dafür. Evtl. hast du, oder ein anderer Leser ja lust das kompatibel zu machen!?
Den Leuten dort habe ich auch gerade ne Anfrage über das Feedback-Formular geschickt, mit dem Hinweis auf das neue Exploit. Das sollten noch mehr Leute tun um den Entwicklern mehr Anregung zur Anpassung zu geben.
kunstseidenes am 16.6.2009 um 13:57
Wieder mal so ne ganz blöde Frage, aber gilt das nur für gespeicherte History?
Nachtwächter am 16.6.2009 um 15:06
Ja, es gilt nur für die gespeicherte History, also das, was mit Strg-H sichtbar wird. Wenn das Addon nicht verwendbar ist, gibt es immer noch die radikale Methode, alle gespeicherten Daten zu löschen. Das geht im Menü unter Extras / Private Daten löschen. Dabei gehen aber auch gespeicherte Cookies verloren, und man »darf« sich überall neu anmelden. Unter dem Aspekt der Browsersicherheit ist es dennoch die sauberste Lösung, denn nicht gespeicherte Daten können nicht ausgelesen werden…
kunstseidenes am 16.6.2009 um 15:38
Ach, dann ist ja gut. Ich speichere grundsätzlich keine History und keine PW ab. Alle Cookies und privaten Daten werden bei Schließen des Browsers gelöscht.
Ich hielt das bislang für normal…warum um Gottes Willen sollte ich sowas abspeichern, noch dazu für neunzig Tage?