Thema: Plaudertasche Web-Browser ...

[SiLæncer]

Ein Test der Electronic Frontier Foundation (EFF) für den Fingerprint des Browsers lässt Rückschlüsse zu, wie eindeutig identifizierbar der eigene Browser im Web ist. Welche Person dahinter steckt, kann der Test jedoch nicht ermitteln. Dieses Ziel verfolgt ein Experiment des Isec-Forschungslabors für IT-Sicherheit, ein Zusammenschluss der Universität Wien, des Institute Eurécom und der University of California, Santa Barbara. Der Test beruht auf der in Europa viel genutzten Plattforn Xing, auf der mehrere Millionen Anwender ihre Profile veröffentlichen.

Im Wesentlichen macht sich der Test zunutze, dass viele Xing-Nutzer über ihre Zugehörigkeit zu mehreren Gruppen identifizierbar sind. Nach Angaben von Thorsten Holz, Mitinitiator des Experiments, gebe es nur wenige Personen in einem sozialen Netz, die genau den gleichen Gruppen angehören. Eine Webseite könnte über einen "Group Fingerprint" einen bislang völlig unbekannten Besucher identifizieren.

Um an die Information zu gelangen, ist allerdings etwa Vorarbeit nötig gewesen. Dazu habe man möglichst viele Gruppen in Xing und die dazugehörigen Foren gecrawlt, um einen Überblick über die Anwender von Xing zu erhalten und an URLs für den weiteren Test zu gelangen. Damit habe man rund 1,8 Millionen Anwender gefunden, die in etwa 7000 Gruppen organisiert sind.

Der zweite Schritt ist der eigentliche Test: Durch spezielle Aufrufe der Webseite im Browser kann eine Webseite feststellen, ob eine gegebene Seite auf einem anderen Server vom jeweiligen Besucher in der Vergangenheit aufgerufen wurde (Details zum sogenannten "Historie Stealing" hier). Damit lässt sich zunächst ermitteln, welche Gruppenseiten der Anwender besucht hat. In jeder gefundenen Gruppe prüft der Test nun, ob der aktuelle Besucher ein bestimmtes Mitglied der Gruppe (im Forum) ist – ebenfalls wieder mittels Durchprobieren der zuvor gesammmelten URLs. Eine mehr oder minder eindeutige Zuordnung soll auch deshalb möglich sein, da es in einem sozialem Netz auch eindeutige URLs gibt, etwa das persönliche Profil.

Anhand der freiwilligen Angaben möchten die Forscher herausfinden, will zuverlässig ihr Test arbeitet.

Zur Ermittlung des "Group Fingerprints" muss der Test laut Bericht nur rund 92.000 URLs durchprobieren, was in weniger als einer Minute erledigt ist. Durch eine Korrelation der Daten lässt sich der Kreis noch weiter einschränken, sodass häufig nur ein einziger Nutzer übrig bleiben soll. Erste Tests der Isec-Labs lieferten nach eigenen Angaben in der Praxis bisher gute Resultate. Allerdings habe man bislang nur 30 Tests durchführen könne. In einem kurzen Test der heise-Security-Redaktion lieferte das Experiment in zwei Fällen keine Resultate zurück – diejenigen Nutzer waren zwar Mitglieder in Xing-Gruppen, jedoch nicht in Foren aktiv oder hatte ihre Browser-Historie kürzlich gelöscht. In einem Fall lieferte der Test immerhin zwei Namen zurück, von denen einer der richtige war.

Laut Holz ließen sich auch andere, größere soziale Netze wie LinkedIn und Facebook für derartige Tests nutzbar machen, allerdings sei die schiere Größe der Netze und die resultierende Datenflut ein Problem. Man habe aber auf Facebook mit zwei Rechnern schon mehr als 40 Millionen Profile gefunden – mit besserer Ausstattung könne man vermutlich auch Facebook komplett crawlen.

Die Grundlagen des Tests haben die Autoren Gilbert Wondracek, Thorsten Holz, Engin Kirda, Sophia Antipolis und Christopher Kruegel im Dokument "A Practical Attack to De-Anonymize Social Network Users " (PDF-Datei) vollständig beschrieben. Darin schlagen sie auch Abhilfemaßnahmen zum Schutz vor solchen Deanonymisierungsangriffen vor. Alle Maßnahmen sehen vor, das History Stealing zu erschweren. Auf Server-Seite könnten die Betreiber zufällige Tokens in die URLs einfügen, die das spätere Durchprobieren von URLs erheblich erschweren. Auf Client-Seite hilft es, den Zugriff auf die Browser-History zu verwehren, beispielsweise indem man bestimmte Seiten nur im Inkognito-Mode aktueller Browser ansurft, zusätzliche Schutz-Plug-Ins wie NoScript für den Firefox verwendet oder regelmäßig die Historie löscht.

Die Autoren stellen den Test auch öffentlich zur Verfügung. Die Nutzer sollen dort vor dem Start des Tests einige Infos angeben, inwiefern sie Xing und Gruppen nutzen. Nach Abschluss des Tests gibt es ein zweites Formular, in dem man angeben kann, ob man (eindeutig) gefunden wurden. Laut Holz werden keine Daten gespeichert und weiterverwendet. Man sei nur am freiwilligen Feedback der Leser/Tester interessiert.

Siehe dazu auch:

    * EFF demonstriert den "Fingerabdruck" des Browsers

Quelle : www.heise.de

[SiLæncer]

Die Electronic Frontier Foundation warnt vor der Möglichkeit, anhand von Browser-Eigenschaften einen Benutzer eindeutig zu identifizieren, und stellt Gegenmaßnahmen vor.

Die Electronic Frontier Foundation (EFF) ist eine gemeinnützige Stiftung, die sich für die Verteidigung der Freiheit in der digitalen Welt einsetzt. Ihr neuestes Projekt Panopticlick beschäftigt sich mit der Wahrung der Privatsphäre von WWW-Nutzern.

Es ist für Webseitenbetreiber einfach, einen Benutzer mit Hilfe von Cookies zu identifizieren, was für viele Anwendungen nützlich oder notwendig ist. Vielen Seiten will man aber keinen Zugang zu diesen Informationen geben. Mit dem Abschalten von Cookies von Hand oder im »privaten« Browser-Modus denken viele Nutzer, das Problem erledigt zu haben. Doch laut EFF gibt es noch eine andere Möglichkeit, Benutzer zu identifizieren: Das Browser Fingerprinting.

Bei dieser Methode wird versucht, den benutzten Browser eindeutig zu identifizieren. Jeder Browser sendet Informationen über seine Version, die auch Betriebssystem-Informationen, Plugin-Informationen und einige Informationen über die Konfiguration enthält. Die EFF will mit dem Experiment »Panopticlick« herausfinden, ob das in der Praxis funktioniert.

Der Hintergrund des Verfahrens ist mathematisch begründet. Bei einer Weltbevölkerung von ca. 7 Milliarden Menschen genügen laut einem einfachen Grundsatz der Informationstheorie knapp 33 Bit, um jeden eindeutig zu identifizieren. Die Frage ist nun, wieviel Bit Information ein Browser liefert, selbst wenn Cookies abgeschaltet sind. Allein der User-Agent-String des Browsers enthält im Durchschnitt bereits etwa 10,5 Bit Information, was bedeutet, dass nur einer von etwa 1400 Browsern exakt den gleichen String liefert.

Die EFF bietet eine Webseite an, auf der man den eigenen Browser analysieren lassen kann. Diese gibt eine genaue Aufstellung der ermittelten Daten. Ohne Cookies und JavaScript bleibt die preisgegebene Information in der Regel unter 20 Bit, was aber genügt, um den Browser unter tausenden oder gar hunderttausenden mit großer Wahrscheinlichkeit zu identifizieren. Wenn JavaScript aktiviert ist, kommen dazu zahlreiche Informationen über die installierten Plugins, die Zeitzone, die Bildschirmgröße, die System-Schriftarten und die »Super Cookies«, sofern man den DOM-Speicher nicht separat ausgeschaltet hat. Zwar lassen sich die so gewonnenen Informations-Bits nicht einfach addieren, da sie teilweise redundant sind. Dennoch ist zu erwarten, dass die gesamte Informationsmenge 30 Bit erreicht oder gar überschreitet.

Die EFF schlägt einige Gegenmaßnahmen vor, um sich vor Ausspähung zu schützen. Als erstes sollte man einen weitverbreiteten Browser einsetzen, damit wird die Identifikation über den User-Agent-String erschwert. Erstaunlicherweise geben die Browser in Smartphones am wenigsten Informationen preis, weil sie ziemlich einheitlich konfiguriert sind und es nur wenige Varianten gibt.

JavaScript zu deaktivieren wäre eine sehr effektive Methode gegen die Preisgabe von Informationen. Leider wird es auf vielen Seiten benötigt. Zwei Plugins für Firefox können laut EFF das Problem mildern: NoScript und AdBlock Plus. Ersteres ist laut EFF oft zu restriktiv und die Benutzer benötigen eine gewisse Erfahrung und haben einige Arbeit damit, um eventuelle Probleme mit Webseiten, die nicht richtig funktionieren, zu beheben. AdBlock Plus auf der anderen Seite schützt laut EFF nur zum Teil, ist aber einfacher anzuwenden. Eine Alternative stellt TorButton dar, doch das anonyme Browsen mit Tor ist leider noch recht langsam.

Eine noch bessere Lösung wäre es laut EFF, wenn die Browser weniger Informationen herausgeben würden. Beispielsweise könnten die vollständigen Informationen auf einen Debugging-Modus beschränkt werden, während im Normalmodus einiges ausgelassen wird oder Versionsnummern gerundet werden. Eine andere Option wäre, die Information zumindest im »privaten« Modus zu reduzieren.

Quelle : www.pro-linux.de

[SiLæncer]

Nach den Erkenntnissen der Electronic Frontier Foundation (EFF) können sich Webdesigner Cookies sparen: Die überwiegende Mehrzahl der Browser ist eindeutig identifizierbar. Die Internet-Bürgerrechtsorganisation stellte stellte im Januar eine Testseite unter https://panopticlick.eff.org  ins Netz, die anhand der unterschiedlichsten Kriterien versucht, einen möglichst eindeutigen "Fingerabdruck" des Browsers zu nehmen.

Die Auswertung von 470.000 Datensätzen, die seit der Verfügbarkeit von Panopticlick anfielen, zeigt nun, dass das Erstellen eines Browser-Fingerabdrucks in der Regel auch gelingt: Fast 287.000 Browser ließen sich unterscheiden. 83,6 Prozent der Anfragenden waren eindeutig identifizierbar, nur bei 11,1 Prozent der Testfälle gab es identische Datenprofile von drei oder mehr unterschiedlichen Rechnern. Mit aktivem Flash oder JavaScript sinkt dieser Wert sogar auf ein Prozent. Da alleine mindestens 95 Prozent aller Internetnutzer das Flash-Plug-in installiert haben, dürfte die Identifizierbarkeit bei einem repräsentativen Datenbestand noch weit höher sein als auf der EFF-Testseite.

Die wichtigsten Informationsquellen für die Testseite war die Liste von Schriftarten, die Flash wie auch Java auf Anfrage unsortiert ausgeben, sowie die Liste der Plug-ins, die sich im JavaScript-Objekt navigator.plugins verbirgt – außer beim Internet Explorer, den das EFF dafür lobend erwähnt. Selbst kleine Änderungen des Browser-Fingerprints – Plug-in-Upgrades, Cookie-Einstellungen, Bildschirm-Auflösung, Fonts und dergleichen – ließen sich mit einem simplen Algorithmus recht zuverlässig in 99 Prozent aller Fälle erkennen.

Maßnahmen zum Datenschutz wie die Fälschung der Browserkennung oder eine Flash-Blocker-Erweiterung sind teilweise eher kontraproduktiv, um in der Masse unterzutauchen. Als nützlicher in dieser Hinsicht haben sich die Erweiterungen Torbutton, das den schnellen Wechsel in das Anonymitätsnetzwerk TOR erlaubt, und NoScript zum Abschalten von Skripten erwiesen.

Auch Smartphone-Browser ließen sich schwer identifizieren: Unter den Browsern mit aktivem JavaScript boten sie die größten Chancen auf Anonymität; allerdings hapert es hier laut EFF an einer brauchbaren Cookie-Verwaltung. Am schwersten fiel der EFF die Identifizierung von aktuellen Firefox-Installationen unter Windows XP oder Windows 7 mit abgeschaltetem JavaScript und aktvierten Cookies.

Quelle : www.heise.de

[Jürgen]

Zugegeben, meine Kombination von Browsern (FF 3.0x und Opera 10) und (Default-)Betriebssystem ist - unter den Teilnehmern - jeweils schon allein einzigartig.
Aber nur, wenn ich wie jetzt gerade unter '98 SE bin. Unter 2k oder XP sieht's völlig anders aus, geradezu verdächtig unscheinbar.
Mit der Knoppix-CD / -DVD habe ich's noch nicht getestet...
Könnte auch so (fehl)interpretiert werden, als ob hier eine ganze Rechnerfarm arbeitete  

Frage mich gerade, wie sich das mit internetfähigen STBs, BlueRays usw. verhielte.
Die Netzwerkkabel sollte man davon wohl besser fernhalten...

[SiLæncer]

Zwei Entwickler haben die Technik zum Durchstöbern der Browser-History so weit verfeinert, dass Webseiten sogar zuletzt gelesene Artikel auf Newsseiten, die genaue Postleitzahl eines Besuchers und auf Suchmaschinen eingegebene Begriffe rausfinden können. Dabei haben die Entwickler Artur Janc und Lukasz Olejnik den benutzten JavaScript-Code so optimiert, sodass das als "History Stealing" bekannte Verfahren nun sechsmal schneller als bei bisherigen Methoden funktioniert.

Beim History Stealing macht man sich die Art zunutze, wie Browser speichern, ob ein Anwender schon einmal einem Link gefolgt ist (einen einfachen Test gibt es online). Bereits angeklickte Links werden farblich anders dargestellt, als Links, denen man noch nicht gefolgt ist. Die andere Farbe wird durch eine Änderung im Stylesheet (CSS) des HTML-Dokuments bewirkt, die der Browser als Attribute in der History speichert. Mit JavaScript lässt sich nun eine Liste möglicher Webseiten und das Farbschema des Stylesheets testen, womit ein Rückschluss auf die besuchten Seiten möglich ist. Je größer die Liste, desto wahrscheinlicher ist es, einen Treffer zu landen. Mit dem optimierten JavaScript soll es möglich sein, 30.000 Links pro Sekunde durchzuprobieren.

Leider gibt es auch eine Möglichkeit, ohne JavaScript an die Browser-History zu kommen. Dabei nutzt ein Angreifer die Eigenschaft von Stylesheets, unterschiedliche Hintergrundbilder nachladen zu können, je nachdem ob die Seite bereits besucht wurde oder nicht. Mit präparierten HTML-Seiten kann ein Angreifer dann ohne JavaScript die History abfragen, indem er beobachtet, ob die Seite Bilder nachlädt. Janc und Olejnik haben auch diese Methode in ihren Test integriert, die nach ihren Angaben auch bei abgeschaltetem JavaScript und installierten Plug-ins wie NoScript funktioniert.

In Versuchen mit rund 270.000 Internet-Nutzern sollen 76 Prozent für History Stealing verwundbar gewesen sein. Im Schnitt soll es dabei gelungen sein, 62 besuchte Seiten auf den populärsten Sites herauszufinden. Bei der Erstellung ihrer Liste gaben sich die beiden Autoren besondere Mühe: Zunächst flossen mehr als 6.000 Adressen populärer Webseiten, News-Portale, Erwachsenen-Seiten, sozialer Netze und die von Wikileaks ein. Anhand dieser Links crawlten sie die Seiten nach Unterseiten, Formularen und Bildern durch. Bei News-Seiten zogen sie zudem aktuelle RSS-Feeds hinzu, um die Links zu prüfen.

Darüber hinaus fügten sie Links zu Seiten ein, auf denen Anwender üblicherweise ihre Postleitzahl (ZIP-Code) eingeben, beispielsweise auf Wetterseiten. Mittels Durchprobieren verschiedener Lokalitäten gelang es so bei 9 Prozent der Tests, eine Postleitzahl herauszufinden – was aber auch die eines anstehenden Kurzurlaubs gewesen sein könnte. Auf ähnliche Weise gelang es mit einer Liste von 10.000 Wörtern und Phrasen, auf Google und Bing eingegebene Suchbegriffe zu verifizieren.

Ein bemerkenswertes Ergebnis der Studie ist laut Janc und Olejnik, dass bei bestimmten Tests die Erkennungsquote bei abgeschaltetem JavaScript höher ist als mit angeschaltetem. Firmen sollten dies ihrer Meinung nach bei Überlegungen zur Browser-Sicherheit berücksichtigen. Ein wirksamer Schutz ist aber weiterhin, die Browser-History in kürzeren Abständen regelmäßig zu löschen.

Das vollständige Dokument ist online verfügbar (PDF-Datei): "Feasibility and Real-World Implications of Web Browser History Detection"

Quelle : www.heise.de

[SiLæncer]

Wer seinen Browser gestattet, häufig wiederkehrende Angaben in Formularen, etwa Namen oder Mailadresse, automatisch auszufüllen, ist unter Umständen ein leichtes Ziel für Datendiebe. Dies betont Jeremiah Grossman von White Hat Security im Vorfeld seines Black-Hat-Vortrags gegenüber The Register. So könne man bei Safari 4 und 5 die Autocomplete-Daten automatisiert über JavaScript abfragen.

Die Vervollständigung springt erst nach der Eingabe eines Zeichens an. Das Script probiert daher sämtliche Anfangsbuchstaben in typisch benannten Formularfeldern wie Name, Mailadresse oder Kreditkartennummer auf einer präparierten Webseite durch. Vervollständigt der Browser den Buchstaben zu einem ganzen Wort, wertet das Script den eingesetzten Wert aus. Das kann mit versteckten Formularfelder sogar unsichtbar erfolgen.

Grossman hat Apple am 17. Juni über das Datenleck informiert, außer einer automatischen Empfangsbestätigung habe er jedoch bislang keine Antwort erhalten. In ähnlicher Form war dieses Angriffsszenario schon bei Microsofts Internet Explorer in Version 6 und 7 bekannt. In Verbindung mit Cross Site Scripting seien zudem Chrome und Firefox angreifbar: Auf diesem Wege gelangt man auch an Daten, welche die Auto-Completion des Browsers nur in die dazugehörige Webseite einträgt -- etwa Login-Informationen. Das demonstriert bereits der Artikel Passwortklau für Dummies auf heise Security.

Außerdem zeigt Grossman auf der Black-Hat-Konferenz, dass beliebige Webseiten sämtliche im Browser gespeicherten Cookies vernichten können. Hierzu sendet man eine große Anzahl Cookies an den Browser, der ab einer gewissen Anzahl die ältesten kurzerhand überschreibt - unabhängig von ihrer Herkunft. So soll bei Firefox nach 2,5 Sekunden und 3000 Cookies nichts mehr von den ursprünglichen Keksen übrig sein.

Quelle : www.heise.de

[SiLæncer]

Einer jüngst veröffentlichten Studie zufolge hinterlässt man mit dem Private-Browsing-Modus mehr Spuren auf dem Rechner und im Netz, als man denkt. Die Verfasser haben in den vier verbreitetsten Browsern (Chrome, Firefox, Internet Explorer und Safari) Datenlecks entdeckt, die das Surfverhalten sowohl neugierigen Mitnutzern des PC als auch Webseitenbetreibern offenlegen können. Jeder koche beim Private Browsing sein eigenes Süppchen, heißt es in der Studie. Safari beschränkt sich etwa auf das Verwischen lokaler Spuren; der Anwender ist auch im privaten Modus mit seiner gesamten Cookie-Sammlung im Internet unterwegs.

Bei den getesteten Browsern hinterlassen Webseiten, die ein SSL-Schlüsselpaar generieren oder ein selbst signiertes Zertifikat zur Installation anbieten, Spuren auf dem Rechner, über die man nach dem Verlassen des Private Browsing auf die besuchten Seiten schließen kann – sofern man Zugriff auf den Rechner hat. Auch der umgekehrte Weg ist möglich: Da selbstsignierte Zertifikate, die man im normalen Browser-Modus installiert, auch im Tarnkappenmodus verfügbar sind, könnten Webseitenbetreiber ihre Schäfchen auf diesem Weg eindeutig wiedererkennen.

Besonderes Augenmerk haben die Verfasser der Studie auf den Open-Source-Browser Firefox gelegt. Sie analysierten sogar den Quelltext, um die Stellen zu entdecken, an denen eine Speicherfunktion nicht den Status des Private Browsing abfragt. Unter anderem merkt sich Firefox einige seitenspezifische Einstellungen wie die Ausnahmeregeln des Popup-Blockers dauerhaft, sodass man besuchte Seiten der Liste der Ausnahmen lokal nachvollziehen kann.

Aber auch viele Browser-Erweiterungen gehen offenbar sorglos mit den Daten ihrer Anwender um: Die Hälfte der untersuchten Firefox-Add-ons auf JavaScript-Basis hinterlässt im privaten Modus Daten wie etwa URL-Blacklists auf der Festplatte, über die man auf das Surfverhalten schließen kann. Bei Chrome schreiben 71 der 100 populärsten Erweiterungen über die localStorage-Api auf die Platte. Allerdings überlässt es Chrome dem Anwender, welche Add-ons im Inkognitomodus ausgeführt werden dürfen.

Die Forscher entwickelten im Rahmen ihrer Studie präparierte Werbeanzeigen, über die sie feststellen konnten, ob der Besucher einer Webseite den Tarnkappenmodus seines Browsers aktiviert hat. Die Werbung schalteten sie auf drei Webseitenkategorien: Geschenke, News und Erotik. Auf den Erotikwebseiten zählten die Verfasser der Studie die meisten Besucher mit aktiviertem Private Browsing – die Funktion scheint ihren Beinamen "Porn Mode" also zu Recht zu tragen.

Quelle : www.heise.de

[SiLæncer]

Cookies sind heute Standard, wenn es darum geht, Browser eindeutig zu identifizieren – etwa für Marketing-Zwecke. Doch es geht auch ohne sie: Der Berliner Informatiker Henning Tillmann hat für seine Diplomarbeit den sogenannten Fingerprint von mehr als 20.000 Browsern untersucht. Im November und Dezember rief er dazu auf, eine speziell eingerichtete Website aufzurufen. Die sammelte dabei bei allen Besuchern die verwendeten Browser, die genutzten Betriebssysteme, Systemfarben, installierte Schriftarten, Plug-ins und mehr. Knapp 93 Prozent der digitalen Fingerabdrücke konnte er anschließend genau einem Browser zuordnen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Eine ganze Schar von Webbrowser-Erweiterungen schleicht sich über verschiedene Software-Bundles ein und nervt mit geschickt platzierten Werbeeinblendungen. Dabei verfolgen sie auch die Fährte von Nutzern im Internet und sammeln Daten.

Um Geld in ihre Kassen zu spülen, verstecken Abzocker Adware-Add-ons in vermeintlich seriösen Software-Bundles, die die Erweiterungen heimlich im Webbrowser installieren. Anschließend jubeln diese dem Nutzer auf geschickte Art und Weise Werbung unter die zu Malware führt und greifen Nutzerdaten ab. Das hat das Telekommunikations-Unternehmen Cisco im Zuge einer einjährigen Untersuchung dokumentiert.

Add-ons installieren sich heimlich

Bei den heimtückischen Erweiterungen handele es sich um eine ganze Schar von Add-ons mit ähnlichem Verhalten, die sich den Cisco-Forschern zufolge mit über 4.000 verschiedenen Namen tarnen. Den Weg in den Webbrowser finden die Add-ons indes über die Installation verschiedener Software-Bundles. Cisco begegnete etwa die MediaBuzz-Erweiterung in einem Anwendungs-Paket von NullSoft.

Im MediaBuzz-Add-on fanden sie eine DLL-Bibliothek, die vor der Installation diverse Checks durchführt. Unter anderem prüfe dabei eine Routine, ob eine Virtualisierung oder Emulation auf dem Zielrechner zum Einsatz kommt. Passt alles, finde die Integration in den jeweiligen Webbrowser im schlechtesten Fall vom Anwender unbemerkt statt. Nutzer von Googles Chrome profitieren in diesem Fall von einer Whitelist-Warnung, denn Google lässt die Installation von Dritt-Anbieter-Plug-ins nicht ohne weiteres zu. Firefox geht an dieser Stelle weniger rigoros vor und gestattet eine Integration ohne Nachfrage beim Anwender.

Nutzerdaten abgreifen

Im Zuge der Nachforschungen hat Cisco unzählige URLs analysiert und herausgefunden, dass die Add-ons verschiedene Nutzer-Informationen übertragen. Diese finden sich dann etwa Base64-codiert wieder. Dort wird unter anderem die letzte vom Nutzer besuchte Internetseite abgelegt. Cisco weist darauf hin, dass in dieser URL auch firmeninterne Ressourcen oder sogar Benutzernamen und E-Mail-Adressen auftauchen könnten.

Gehört die Werbung da nicht hin?

Um Werbung in besuchte Internetseiten einzubetten, injizieren die Add-ons ein Code-Geflecht, das mehrere URLs enthält, von denen die Werbung letztlich geladen wird. Bei diesen Internetadressen handelt es sich Cisco zufolge um Adressen, die über einen Domain-Erzeugungs-Algorithmus basierend auf Begriffen aus einem Wörterbuch erzeugt wurden. Dabei haben sie im Zeitraum von Januar 2014 bis November 2014 570 derartige Domains gezählt. Die eigentliche Einblendung der Werbung geschehe indessen auf eine sehr unauffällige Art und Weise und es habe den Anschein, als wäre die Anzeige passgenau in der jeweiligen Internetseite verankert. Zudem seien die Werbeanzeigen auf das jeweilige Betriebssystem zugeschnitten.

Quelle : www.heise.de