CSS Exploit: Ich weiß, welche Seiten Du aufgerufen hast!

Azarask beschreibt auf seinem Blog eine Möglichkeit, via CSS und JS herauszufinden ob ein User auf einer bestimmten Webseite war. Die Technik funktioniert bei mir im Opera ohne Probleme, im aktuellsten Firefox scheint es nicht mehr zu klappen, dabei ist es eigentlich eine völlig harmlose Masche.

Wichtig ist bei dem Trick, man kann nicht die History eines Browsers abfragen, jedoch kann man Fragen: War der User auf Seite xzy.de?

Man kann also bestimmte Seiten abfragen, positiv: man könnte so speziefischen Content anbieten, zum Beispiel YiggMe Buttons wenn derjenige Yigg Nutzer ist. Negativ, man kann einfach 100 Seiten abfragen und so herausfinden auf welchen Seiten sich der Besucher noch so rumtreibt.

Der Trick ist dabei so einfach wie genial. Dank CSS werden Links die man einmal besucht hat oft farblich anders markiert. Oft zum Beispiel von blau nach lila. Jeder kennt das. Und viele Seiten, sagen wir 80%, nutzen das auch, welche Farbe dabei genutzt wird ist egal. Denn ohne CSS ist die Standardeinstellung immer blau/lila. Erzeugt man nun bei einem Seitenaufruf einen unsichtbaren iFrame, listet dort einfach alle Links auf die einen interessieren und nutzt dabei kein CSS, dann werden einige Links blau sein, andere lila. Je nach dem wo der Nutzer bereits alles war. Leuchtet ein. Die Farbe kann man nun aber leicht mit JavaScript auslesen. Das heißt, kombiniere ich das, kann ich mit einem iFrame, CSS und JS herausfinden, ob der gerade surfende Nutzer zum Beispiel auf Amazon war, oder auf Twitter etc.

Einerseits wirklich nichts besonderes und keine Lücke im Browser, sondern eher eine Möglichkeit an die bisher keiner gedacht hat, krass.

Wer es testen möchte -> (keine Sorge, nichts gefährliches, Screenshot siehe unten)

Btw: Die oben verlinkte Seite browserspy.dk ist jedem zu empfehlen, der wissen möchte was der Browser alles so verrät, eine sehr umfangreiche Sammlung!

css exploit live

2 Gedanken zu „CSS Exploit: Ich weiß, welche Seiten Du aufgerufen hast!

  • 30. November 2009 um 15:30
    Permalink

    Ist ja auch der Wahnsinn, was man mit einem simplen css schon alles rausfinden kann.

    Antworten
  • 1. Dezember 2009 um 19:56
    Permalink

    Interessant, interessant was es nicht alles für Möglichkeiten gibt :)

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.