Anonym surfen, is nicht! - Du bist ein offenes Buch. (?) 49
Pantee Photography
02.02.2010
Wer mal testen möchte, was er beim Surfen im Internet so alles über sich verrät - und was alles möglich ist (z.B. mit ActiveX) kann sich ja mal das hier anschauen.
#21Report
02.02.2010
Original von Micha19 -- Camer(a)flimmern
- löschen kannst du nur diese "althergebrachten" Cookies per Webbrowser.
Auf die "Monstercookies", oder wie auch immer die genannt werden des
Web 2.0 hast Du keinen Einfluss.
Auch das Flash-Plugin etwa hat Schreib- Leserechte im System. Einfluss
darauf hat der User nicht.
Das stimmt so nicht ganz. Natülrich legt Flash seine Daten woanders ab. Aber was lokal ins System geschrieben wird kann man natürlich auch wieder löschen
Die Flash-Sachen findet man halt im Dokumente und Einstellungen Verzeichnis
Mit HTML 5 kommt jetzt auch noch Local Storage dazu. Da kann man lokal Megabyteweise Daten speichern was aber eher für Caching usw gedacht ist.
Diese Daten werfen dann auch wieder ganz neue Probleme auf
#22Report
02.02.2010
Original von Pantee - Blende 08/15
Wer mal testen möchte, was er beim Surfen im Internet so alles über sich verrät - und was alles möglich ist (z.B. mit ActiveX) kann sich ja mal das hier anschauen.
Naja, soviel spannendes kam da erst mal nicht bei rum. Zumindest nichts, weshalb ich mir sorgen um meine ausländischen Bankkonten machen müsste, oder meine drei Ehefrauen, oder ähnliches, nur mal als Beispiel.... ;)
#23Report
02.02.2010
Original von Enno Kiel
Ich hab hier mal schnell was reingehackt.
Das Script zeigt die bis SedCard Nummer 9999 besuchten Model-Sedcards an:
externes Script
Das ist mal eben auf die Schnelle reingehauen. Würde ich mich noch länger damit beschäftigen, würde ich alle besuchten Sedcards ermitteln können.
Dann müsste sich aber auch der Browser länger damit beschäftigen ^^
Erschreckend wie viele Profile ich in dem kleinen SC Bereich noch in meiner History habe ;) Ich klicke zu viele SCs an.....
Alles in allem ist das Ganze zwar unschön aber weniger Bedenklich als die Daten welche Google über einen z.B. durch das Anklicken von Suchergebnissen speichern kann.
#24Report
#25
02.02.2010
Original von P. Shot
[quote]Original von Hermann Klecker
User, die dort registriert sind, aber konsequent im Internet ein Pseudonym verwenden.
ich erkenne mich wieder :-)[/quote]
Naja, das extrem konsequente Verwenden eines Pseudonyms .... Du weißt was ich meine...
Ist ein Account gehackt, dann liegt vieles offen, meistens zumindest...
#26Report
02.02.2010
Wer sich richtig nackig machen möchte, kann ja gerne mal Blippy ausprobieren. ;)
http://blippy.com/
Abgesehen davon dass alle Zahlungen per Kreditkarte und Co. dort aufgelistet werden, nein, man gibt auch alle Passwörter und Co. von verschiedenen Webseiten raus.
Yeah. ^^
LG Hendrik
http://blippy.com/
Abgesehen davon dass alle Zahlungen per Kreditkarte und Co. dort aufgelistet werden, nein, man gibt auch alle Passwörter und Co. von verschiedenen Webseiten raus.
Yeah. ^^
LG Hendrik
#27Report
02.02.2010
Original von Pixelspalter
[quote]Original von Enno Kiel
Ich hab hier mal schnell was reingehackt.
Das Script zeigt die bis SedCard Nummer 9999 besuchten Model-Sedcards an:
externes Script
Das ist mal eben auf die Schnelle reingehauen. Würde ich mich noch länger damit beschäftigen, würde ich alle besuchten Sedcards ermitteln können.
Dann müsste sich aber auch der Browser länger damit beschäftigen ^^
Erschreckend wie viele Profile ich in dem kleinen SC Bereich noch in meiner History habe ;) Ich klicke zu viele SCs an.....[/quote]
Ich dachte beim Testen auch: Hääää? :D
Und dass sich der Browser damit länger beschäftigen kann, wäre ja auch kein Problem: Bspw. ein lustiges Flash-Video abspielen und im Hintergrund währenddessen die Daten ermitteln.
Das mit Google sehe ich anders: Google weiß halt im Normalfall nur: Da gibts einen Benutzer, der sucht X, Y und Z, wenn der wiederkommt, bieten wir ihm mal I, J und K an.
Das Problem ist halt bei der beschriebenen Methode: Nach dem gleichen Prinzip kann man ermitteln, in welchen Xing-Gruppen jemand Mitglied ist und anhand dieser ganzen Gruppenmitgliedschaften kann man angeblich ermitteln, wer diese Person ist.
#28Report
[gone] Markus Hoffmann - www.art-la-douce.de
02.02.2010
das ist in der Tat ein sehr interessanter Bericht wenn auch keine neue Tatsache für mich.
Überraschend finde ich allerdings die Art und Weise wie der Angriff von statten geht und ich möchte fast wetten das sich BND & Co. brennend für das Modell interessieren könnten.
Die Einsatzgebiete reichen ja wirklich vom KinderPoron-Ring bis hin zum bösen Terroristen den man auf diese Weise nun nicht nur ortografisch festlegen kann sondern auch noch namentlich erfassen... - so zumindest in der Theorie.
Aber ich denke die Praxis ist nicht weit denn wenn der Staat sich nun schon "offiziell" gestolene Daten kauft um Steuerbetrüger zur Kasse zu bitten ist dieser Schritt doch wohl ebenso leicht durch die Berufung auf Urteile zu realisieren.
Überraschend finde ich allerdings die Art und Weise wie der Angriff von statten geht und ich möchte fast wetten das sich BND & Co. brennend für das Modell interessieren könnten.
Die Einsatzgebiete reichen ja wirklich vom KinderPoron-Ring bis hin zum bösen Terroristen den man auf diese Weise nun nicht nur ortografisch festlegen kann sondern auch noch namentlich erfassen... - so zumindest in der Theorie.
Aber ich denke die Praxis ist nicht weit denn wenn der Staat sich nun schon "offiziell" gestolene Daten kauft um Steuerbetrüger zur Kasse zu bitten ist dieser Schritt doch wohl ebenso leicht durch die Berufung auf Urteile zu realisieren.
#29Report
02.02.2010
Original von Hendrik Siemens
Wer sich richtig nackig machen möchte, kann ja gerne mal Blippy ausprobieren. ;)
http://blippy.com/
Abgesehen davon dass alle Zahlungen per Kreditkarte und Co. dort aufgelistet werden, nein, man gibt auch alle Passwörter und Co. von verschiedenen Webseiten raus.
Yeah. ^^
LG Hendrik
Ein "social" network im buchstäblichen Sinn. Kreditkarten sind für alle da, so share them! :D
#30Report
02.02.2010
Original von Enno Kiel
Das mit Google sehe ich anders: Google weiß halt im Normalfall nur: Da gibts einen Benutzer, der sucht X, Y und Z, wenn der wiederkommt, bieten wir ihm mal I, J und K an.
Oh täusch Dich mal nur nicht.
Google weiß während der ganzen Speicherzeit der Suchergebnisse auf welchen Seiten Du Dich rumgetrieben hast. Sie kennen Deine Vorlieben und Favoriten
Und jetzt stell Dir mal vor, Du bemühst einmal(!) Google-Maps um eine Route von Deiner Adresse irgendwohin zu planen
Voila.....wie viele Leute werden wohl im gleichen Haus wohnen? ;)
Man muß Daten nur intelligent verknüpfen. Und schon ist es mit der Anonymität im Internet nicht mehr weit her.
Das ist es auch was dieser Bericht sagt. Im Einzellfall gesehen ist man zwar in der großen Masse Anonym. Aber durch seine Gewohnheiten und Bekanntschaften wird man plötzlich identifizierbar.
#31Report
02.02.2010
Original von Michael Gundelach
Na sooo überraschend ist das jetzt nicht für mich. Meine Webstatistiken sagen mir auch direkt woher ein User kam.
Wenn der User denn über einen Link von einer anderen Seite kam. Wem das zu wenig anonym ist, der braucht den Link nur mit Copy+Paste in einen neuen Browsertab wuppen, und schon besuchter Dich anonym.
Und der Firefox/Mozilla-User kann es ohnehin mühelos abstellen, daß sein Browser den Referrer mit übermittelt.
#32Report
02.02.2010
Original von Pixelspalter
Oh täusch Dich mal nur nicht.
Google weiß während der ganzen Speicherzeit der Suchergebnisse auf welchen Seiten Du Dich rumgetrieben hast. Sie kennen Deine Vorlieben und Favoriten
Wenn ich wirklich mal Informationen suche und mir so die Suchergebnisse bei Google angucke kann ich das runterbrechen auf: Entweder machen dann die oder ich was grundlegend falsch! :)
Im Grunde hast Du natürlich Recht.
#33Report
#34
[gone] Hermann Klecker
02.02.2010
Original von Pixelspalter
[quote]Original von Hermann Klecker
Brute Force ist hier nicht nötig.
Sie wollen ja nicht wissen, wo Du überall schon warst.
Sie wollen die großen Social Networks und deren Gruppen abgreifen.
Das IST Brute Force
Wenn sie wissen wollen auf welchen der 40.000 Facebook-Gruppen Du schon warst, dann müssen sie den Browser gegen 40.000 Gruppen-URLs checken
Nichts anderes wird hier gemacht.
Das heißt es wird ein Script geschrieben, das erst mal die Daten von 40.000 Gruppen empfangen muß und dann eine nach der anderen abarbeitet um im Browser rauszufinden, ob so ein Link schon mal besucht wurde.
Das dürfte ganz schön dauern und Rechenzeit fressen[/quote]
Nein, das ist nicht Brute Force.
Aber für das eigentliche Problem ist es ja sch....egal, wie das heißt. :-)
Die Rechenzeit ist nichts im Vergleich zur Übertragungszeit und die ist im Rahmen dessen, daß das bei normalem Surfverhalten mögich sein müsste.
Laß es pro Request 100 Byte sein, dann reden wir 40 2x40.000xLatenz plus 4.000.000/Bandbreite plus Verzögerung durch Grundrauschen etc.
Nehmen wir die Latenz zur MK, die ist etwas 10ms. (grad gepingt, im Schnitt 20ms)
Also 800.000ms macht 800s also gut 13min für die Latenz und bei 80 KB/s Upstream (grad gemesen) übertragen sich 4MB in 50s.
Wenn ich mit den 100 Byte pro Request daneben liege, dann sag 1000 Byte, dann kommen wir auf 500s also etwa 8 Minuten.
Zusammen sind es also 14 bis 22 Mintuten oder so.
Die Rechenzeit kannst Du da vernachlässigen.
#35Report
[gone] Markus Hoffmann - www.art-la-douce.de
02.02.2010
Original von P. Shot
wenn schon, dann heisst es kinderporno-ring. und seit den wormser prozessen und den hässlichen spekulationen um die kampusch wissen auch die tapfersten "BILD" leser, dass das nachplappern von lügen nicht dadurch wahrer wird, dass es tausende tun. nur vereinzelt tauchen noch tapfere ignoranten in internetforen auf ... ;-)
danke für die grammatikalische Richtigstellung aber Kinderporno-ring schreibt man -glaube ich
groß ;-))
Wie gut das ich keine Bildzeitung lese und meine Informationen von anderen Quellen beziehe.
- Wie leicht ist es schon über einen IP-Ortung ist den Standort deines Rechners zu lokalisieren lässt sich nicht leugnen ebensowenig das es JEDEM möglich ist eine IP-Adresse auszulesen. Alleine schon hier in der MK hinterlässt du mit jedem LogIn deine IP...
#36Report
[gone] Hermann Klecker
02.02.2010
Original von Pantee - Blende 08/15
Wer mal testen möchte, was er beim Surfen im Internet so alles über sich verrät - und was alles möglich ist (z.B. mit ActiveX) kann sich ja mal das hier anschauen.
Da ist jetzt nichts wirklich überraschendes. Mich überrascht auch das hier nicht:
Sie befinden sich im Bundesland Noord-Holland in der Umgebung von oder in: Amsterdam
Ich befinde mich tatsächlich in Ismaning, in Oberbayern.
Oder das hier:
Die eingestellte Bildschirmauflösung beträgt:
1440 x 900
Richtig ist: 1280x1024.
Überhaupt trägt auf der Seite vieles eher zur Verunsicherung bei als zur Aufklärung.
#37Report
[gone] Hermann Klecker
02.02.2010
Original von Miquele Decosta
danke für die grammatikalische Richtigstellung aber Kinderporno-ring schreibt man -glaube ich
groß ;-))
Kinderporno-Ring
Wenn schon - denn schon. :-)
Wie gut das ich keine Bildzeitung lese und meine Informationen von anderen Quellen beziehe.
- Wie leicht ist es schon über einen IP-Ortung ist den Standort deines Rechners zu lokalisieren lässt sich nicht leugnen ebensowenig das es JEDEM möglich ist eine IP-Adresse auszulesen. Alleine schon hier in der MK hinterlässt du mit jedem LogIn deine IP...
Wie gut das im Zweifel funktioniert siehe mein letztes Post. Da liegen wir etwa 900km daneben.
Nur, was wissen wir von der IP-Adresse?
Einen Provider kann man ermitteln, bei Firmennetzen ggf. das Unternehmen.
Das wars.
Die Regionalislierung bezieht sich also bestenfalls auf das Gateway des Unternehmesn oder des Netzanbeiters.
Die Leute, die gegenüber im Hotel für keines Geld mein WLAN nutzen haben alle die selbe IP wie ich - aus Sicht der Server.
Ähnliches gilt für Firmennetze und WGs, für alle, die sich ein Internet teilen.
Für DSL gilt: Mindestens alle 24h bekommst Du eine neue IP, selbst wenn Du ständig online bist.
Und das alles, ohne daß jemand bewusst IP-Masquerading etc. betreibt.
#38Report
02.02.2010
Original von Hermann Klecker
---snip---
Nur, was wissen wir von der IP-Adresse?
Einen Provider kann man ermitteln, bei Firmennetzen ggf. das Unternehmen.
Das wars.
Die Regionalislierung bezieht sich also bestenfalls auf das Gateway des Unternehmesn oder des Netzanbeiters.
Die Leute, die gegenüber im Hotel für keines Geld mein WLAN nutzen haben alle die selbe IP wie ich - aus Sicht der Server.
Ähnliches gilt für Firmennetze und WGs, für alle, die sich ein Internet teilen.
Für DSL gilt: Mindestens alle 24h bekommst Du eine neue IP, selbst wenn Du ständig online bist.
Und das alles, ohne daß jemand bewusst IP-Masquerading etc. betreibt.
Stimmt alles. Aber wesentlich mehr dürfte z.B. Werbetreibende eine
(fast) eindeutige Identifizierung des jew. benutzten Rechners interessieren
als etwa der Klarname.
Das geht über das Auslesen der Einstellungen und PlugIns des Webbrowsers
und funktioniert UNABHÄNGIG von den jew. benutzten IPs.
Hier eine Testsite: (Die Meisten dürften Einzigartig unter den bisher
1/2 Million Testusern sein ...)
http://panopticlick.eff.org/
#39Report
02.02.2010
Original von Pantee - Blende 08/15
Wer mal testen möchte, was er beim Surfen im Internet so alles über sich verrät - und was alles möglich ist (z.B. mit ActiveX) kann sich ja mal das hier anschauen.
Na ja... ;-]
- Sie befinden sich im Bundesland Berlin in der Umgebung von oder in: Berlin
Okay... wenn 340km Entfernung "in oder in der Umgebung von" sind...
Der Browser hat auch - Google sei dank - keine deutsche, sondern die englische Spracheinstellung, aber das war vielleicht ja auch nur geraten. Und es ist auch kein I.E., der Firefox tut nur so...
Das Auslesen der Daten auf den Festplatten scheiterte an fehlenden Leserechten für den User "Internet" - der hat nämlich genau deshalb keine allgemeinen, sondern nur ganz präzise begrenzte.
#40Report
Topic has been closed
