Interessanter Artikel:

http://www.spiegel.de/netzwelt/web/0,1518,675395,00.html

Naja, machen wir uns nicht's vor, damit war ja auch irgendwie zu rechnen.

Menno, immer muss man irgendwelche Artikel richtigstellen:

Um bereits besuchte Links in einer anderen Farbe darstellen zu können, erhalten Websites Zugriff auf den Browserverlauf.

Das stimmt so nicht. Der Browser selbst sorgt dafür, dass besuchte Links in einer anderen Farbe dargestellt werden.

Die Vorgehensweise einer Seite, um zu ermitteln, auf welchen Seiten der Nutzer vorher war funktioniert wie folgt:

Der Browser stellt wie gesagt die besuchten Links in einer anderen Farbe dar. Diese Darstellung kann mittels CSS auch geändert werden. Die Farbe eines Links ändert man bspw. mittels:

a {
text-color: black;
}

a:visited {
text-color: white;
}

Der Browser stellt also anhand dieser Anweisung Links schwarz und besuchte Links weiß dar.

Mittels JavaScript kann man nun ermitteln, in welcher Farbe einzelne Links vom Browser dargestellt werden.

Es kann nur eine von der Seite vorgegebene Liste ausgewertet werden. Auf die einzelnen Einträge der History hat die Seite keinen Zugriff.

Allerdings gebührt der Idee, eine Liste aller Xing-Gruppen-Links auszuwerten und anhand des Ergebnisses auf die Identität zurückzuschließen doch ein gewisser Respekt!

ok, d.h. ein formaler Fehler im Spiegel-Artikel (das ist übrigens ja gerade beim Spiegel nichts aussergewöhnliches, ist ja sozusagen die Bild-Zeitung für alle mit wenigstens Mittlerer Reife)

but anyway, im prinzip funktioniert das, ja?

Original von TWENTYFOURSEVEN-MEDIA
but anyway, im prinzip funktioniert das, ja?

Zumindest klingt es nachvollziehbar. Allerdings müsste ich mehr über Xing und Konsorten und deren Userverhalten wissen, um da ein genaueres Urteil abgeben zu können. Auf jeden Fall aber lässt sich das schon einigermaßen eingrenzen.

Kann man sich ja ähnlich wie hier vorstellen: Wenn man ermittelt, in welchen Gruppen jemand Mitglied ist, verkürzt sich die Liste der möglichen Nutzer.

Na sooo überraschend ist das jetzt nicht für mich. Meine Webstatistiken sagen mir auch direkt woher ein User kam. Je mehr Daten ich abgreife, desto mehr Querverweise kann ich natürlich checken.

Ist wie mit den berühmten "anonymen" Umfragen, wo "nur zu statistischen Zwecken" dann nach Schulbildung, Einkommen und Beruf gefragt wird...
Mit genügend anderen Daten kann ich auch dort eine einzelne Person ausfiltern. Macht die professionelle Werbung schon lange im Netz...

Original von Enno Kiel
[quote]Original von TWENTYFOURSEVEN-MEDIA
but anyway, im prinzip funktioniert das, ja?

Zumindest klingt es nachvollziehbar. Allerdings müsste ich mehr über Xing und Konsorten und deren Userverhalten wissen, um da ein genaueres Urteil abgeben zu können. Auf jeden Fall aber lässt sich das schon einigermaßen eingrenzen.

Kann man sich ja ähnlich wie hier vorstellen: Wenn man ermittelt, in welchen Gruppen jemand Mitglied ist, verkürzt sich die Liste der möglichen Nutzer.[/quote]

So wie die schreiben, lässt sich das ja auf jedes beliebige Social Network anwenden und die MK ist im Prinzip ja auch eines. Und spätestens wenn man dann auch noch mehrere SN auswertet, hat man doch vermutlich eine sehr hohe Trefferwahrscheinlichkeit, oder?
Außerdem scheint es sich dabei ja nicht um ein Browser-spezifisches Problem zu handeln, sondern einfach nur nach dem Prinzip, je mehr jemand surft und in je mehr Communities und deren Gruppen er unterwegs ist, umso leichter ist er auch identifizierbar.
Naja, im Grunde ja auch nichts wirklich neues, ist ja im realen Leben genauso, jemand der immer nur zuhause bleibt und die Öffentlichkeit meidet, der fällt auch nicht weiter auf.

Mich wundert sowieso, dass sich dermaßen viele Leute in social communities anmelden. Aber das scheint kaum jemandem einen Gedanken Wert zu sein. Die Leute fahren doch auf alles ab, das nur minimal ein bisschen Bequemlichkeit bietet. Siehe z.B. dieser social bookmarks Krempel!

Naja diese social communities sind ja nur ein kleiner Teil. Dann kommt das Internet Kaufverhalten dazu. Einkaufen mit Plastik etc. Wenn ich genügend Daten zusammen habe, kann jeder halbwegs brauchbare PC heute schon entsprechende Abfragen rausfiltern...

Ist toll, wenn man wirklich nur noch Werbung bekommt, die einen interessiert. Die Tür schwingt aber in beide Richtungen...

Der Fluch der "schönen neuen Welt".

Interessant ist es auch, wie einfach sich offenbar Beziehungs-Netzwerke offenlegen lassen, also mit wem jemand zum Beispiel häufiger Kontakt hat.

Nur versteh ich nicht, wieso die Spiegel-Deppen gleich wieder vom "Datenschutz-Gau" sprechen müssen.
Scheiß Reporter, dämliches Gesindel, heute gab's ja schonmal einen Thread, von wegen "Schneefall" oder "Schneechaos". Wieso müssen diese Zeitungsheinis eigentlich immer Superlative bemühen?
Ist das der Preis der sogenannten freien Presse? Die suggestive Über-Falsch-Information? (sogenannt "frei", weil sie ja schließlich Auflage oder Klicks brauchen um ihr treiben wirtschaftlich zu finanzieren)

Original von Michael Gundelach
Na sooo überraschend ist das jetzt nicht für mich. Meine Webstatistiken sagen mir auch direkt woher ein User kam. Je mehr Daten ich abgreife, desto mehr Querverweise kann ich natürlich checken.

Das ist was Anderes. Die werten nur den Referer aus der von jedem Browser mitgeschickt wird. Quasi von wo her auf Deine Seite verlinkt wurde.
Das hat aber nichts mit der Browserhistory zu tun. Die ist üblicherweise gegen Zugriff und Manipulation geschützt

Undsoweit ich das verstehe hat man auch mit dieser Sicherheitslücke keinen direkten Zugriff auf die History. Die arbeiten nur über Umwege
Weil Browser evt Links die schon mal besucht wurden anders darstellen als Links wo man noch nicht drauf war, checken die das einfach gegen. Quasi eine Art Brute Force Attacke gegen die Browserhistory.
Ich geb Dir alle möglichen Seiten und Du sagst nur noch ja oder nein ob Du die schon besucht hast.

Original von Pixelspalter
...Quasi eine Art Brute Force Attacke gegen die Browserhistory.
Ich geb Dir alle möglichen Seiten und Du sagst nur noch ja oder nein ob Du die schon besucht hast.

Aber ne geile Idee, da gibt's mal nix gegen zu sagen, oder?

By the way, Brute Force hat sich schon immer bewährt, wenn man über genug Bandbreite und Rechenkapazität verfügt.

Und genau das ist hier das Problem warum diese "Attacken" nur bedingt funktionieren

Hier kann nur der lokale Browser die Rechenzeit übernehmen und die Ergebnisse zurückübermitteln. Das Javascript läuft ja nur lokal. Und je weniger Rechenpower desto weniger Ergebnisse bekommt man raus.

Ganz nüchtern betrachtet werden kann man evt. noch gegen ein paar bekannte Seiten prüfen und die Werbung entsprechend schalten. Aber kein Mensch findet raus ob ihr auf irgeneiner kleinen Homepage wart

Interessant, das zu wissen - auch wenn mir niemand die History klaut ( bin als ich das gelesen hab, rot geworden ), sondern nur eine Menge von Webadressen auf besucht/nicht-besucht getestet werden können.
Aber das bzgl dem Rausfinden wer ich bin würd bei mir schlecht gehen, meine History, sogar meine Cookies werden bei jedem Beenden des Browsers gelöscht.
Selbst in der MK besuche ich maximal eine Gruppe pro Browser-Lauf, so ein wahnsinns Gruppenmensch bin ich nicht, obwohl ich in einigen Gruppen Mitglied bin.

Original von Carl [ Frankfurt ]
Interessant, das zu wissen - auch wenn mir niemand die History klaut ( bin als ich das gelesen hab, rot geworden ), sondern nur eine Menge von Webadressen auf besucht/nicht-besucht getestet werden können.
Aber das bzgl dem Rausfinden wer ich bin würd bei mir schlecht gehen, meine History, sogar meine Cookies werden bei jedem Beenden des Browsers gelöscht.

Ja, so geht's. But that's so f#### inconvenient, isn't it?
Wenn ich auf MK klicke bin ich drin, Cookie sei dank, das hat schon auch was.

Kann man so auch rausfinden, bei welchen Banken ich Kunde bin?

Von meinen Konten in Singapore und auf den Caymans sollte eigentlich keiner was wissen :D

Original von Hermann Klecker
Brute Force ist hier nicht nötig.
Sie wollen ja nicht wissen, wo Du überall schon warst.
Sie wollen die großen Social Networks und deren Gruppen abgreifen.

Das IST Brute Force

Wenn sie wissen wollen auf welchen der 40.000 Facebook-Gruppen Du schon warst, dann müssen sie den Browser gegen 40.000 Gruppen-URLs checken

Nichts anderes wird hier gemacht.

Das heißt es wird ein Script geschrieben, das erst mal die Daten von 40.000 Gruppen empfangen muß und dann eine nach der anderen abarbeitet um im Browser rauszufinden, ob so ein Link schon mal besucht wurde.
Das dürfte ganz schön dauern und Rechenzeit fressen

Ich hab hier mal schnell was reingehackt.

Das Script zeigt die bis SedCard Nummer 9999 besuchten Model-Sedcards an:

externes Script

Das ist mal eben auf die Schnelle reingehauen. Würde ich mich noch länger damit beschäftigen, würde ich alle besuchten Sedcards ermitteln können.

HINWEIS: Bei dem Script werden keine Daten übertragen! Ich bekomme weder raus, wer draufgeklickt hat, noch welche Sedcards Ihr besucht habt.

Das funktioniert nach der von mir oben beschriebenen Methode.

Nach dem gleichen Prinzip könnte man jetzt den Link auswerten, den man anklickt, um einer Gruppe beizutreten:

http://www.model-kartei.de/gruppen/index.php?p=teilnehmen&gid=[id-der-gruppe]

So könnte man rausfinden, in welchen Gruppen Ihr Euch angemeldet habt. :)

Original von Carl [ Frankfurt ]
---snip---
Aber das bzgl dem Rausfinden wer ich bin würd bei mir schlecht gehen, meine History, sogar meine Cookies werden bei jedem Beenden des Browsers gelöscht.
Selbst in der MK besuche ich maximal eine Gruppe pro Browser-Lauf, so ein wahnsinns Gruppenmensch bin ich nicht, obwohl ich in einigen Gruppen Mitglied bin.

- löschen kannst du nur diese "althergebrachten" Cookies per Webbrowser.
Auf die "Monstercookies", oder wie auch immer die genannt werden des
Web 2.0 hast Du keinen Einfluss.

Auch das Flash-Plugin etwa hat Schreib- Leserechte im System. Einfluss
darauf hat der User nicht.
(Wers nicht glaubt: Einfach bei Youtube (Adobe Flash basierte Filme) die
Lautstärkeregelung persönlich einstellen. Danach könnte man alles Mögliche
löschen ... nur die Lautstärkeregelung ist beim nächsten Besuch wieder
so wie man die eingestellt hat.)

edit:
Na ja, zumindest bei "Flash" scheints doch zu gehehn:
http://www.ratschlag24.com/index.php/flash-cookies-und-monster-cookies-im-internet-explorer-abschalten/