Start Panicking! CSS verrät Browser-History

Das Problem ist bereits seit einigen Jahren bekannt und dennoch gibt es keine adäquate Lösung: Per CSS kann über die berechnete Farbe eines Links herausgefunden werden, ob die Webseite bereits besucht wurde. Unter startpanic.com offenbart dieser Hack nun eindrucksvoll einen Großteil der Browser-History.

Im Prinzip funktioniert der Hack so: Eine Liste von Links wird über Javascript als (unsichtbare) DOM-Objekte erstellt. Danach können die Objekte nach ihrer berechneten Farbe abgefragt werden und verraten demnach, ob die Webseite besucht wurde. Anhand dieser Information wird nach Lust und Laune eine zum Glück nicht chronologisch sortierte Browser-History zusammengestellt.



Halb so schlimm, oder? Falsch! Kombiniert mit aktuellen Phishing-Techniken, denen selbst technisch versierteren Usern auf den Leim gehen können, wird der CSS-Hack erst wirklich gefährlich. Denn dieser erlaubt eine deutlich bessere Erkennung der Zielgruppe und kann somit ausfindig machen, welche Online-Banking-Seite genau simuliert werden muss.

Unseren Tests nach betrifft das Problem noch immer alle aktuellen Browser, ausgenommen Chromium in der Version 6. Chrome 4.1, Firefox, IE und Opera fallen dem Hack auch in ihren neusten Versionen zum Opfer. Abhilfe schaffen hier entweder die privaten Browser-Modi, um spurlos zu surfen, oder das Deaktivieren der History. Wer mit Firefox surft, kann auch "firefox layout.css.visited_links_enabled" auf false setzen, oder auf Firefox 4 warten.

Links: startpanic.com | Petition | CSS-Hack | Firefox - Bugtracking

» Beitrag diskutieren (25 Kommentare)