+ Reply to Thread
Results 1 to 9 of 9

Thread: Browser History CSS Leak und wie man es trotz aktiver History verhindert [FF & Opera]

  1. #1
    Moderator
    shoulder's Avatar
    Join Date
    12.04.08
    Location
    I*** D* M*****
    Posts
    4,827
    Activity Longevity
    4/20 19/20
    Today Posts
    0/5 sssss4827

    Browser History CSS Leak und wie man es trotz aktiver History verhindert [FF & Opera]

    Was ist das?

    Vielleicht habt ihr schon davon gehört, sonst hier mal in Kurzform was das ist.

    Wie ihr manchmal sehen könnt unterscheidet der Browser zwischen besuchten und unbesuchten Links, standardmässig werden verschiedene Farben verwendet.
    Eben dieses Unterscheiden macht es anderen Seiten möglich eure History nach dem Hit or Miss Prinzip auszulesen, ohne dass ihr es merkt und ohne Javascript.


    Wie es funktioniert?

    Im Prinzip ganz einfach.
    Es wird eine Linkliste mit sehr vielen Links versteckt geladen (hidden iFrame oder ausserhalb des Sichtbereiches).
    Es wird eine CSS mitgeliefert die dem Browser "befiehlt" falls einer dieser Links als besucht eingestuft wird einen , pro geladenem Link individuellen, Background zu laden. (Background - Image)
    Dieser liegt auf dem selben Server von dem der Angriff ausgeführt wird oder einem anderen Server auf welchen der Angreifer Zugriff hat und ist keine wirkliche Bilddatei sondern ein Script welches die Aufrufe speichert und verarbeitet.

    Beispiel:
    www.a.de (www.myserver.de/a.jpg)
    www.b.de (www.myserver.de/b.jpg)
    Neue Internetprsenz. (www.myserver.de/c.jpg)

    Wird ein Link als besucht eingestuft wird der jeweilige vermeintliche Background (oben in Klammern gezeigt) geladen und das Script schlägt zu.

    Heisst das Script loggt den Aufruf von a.jpg und c.jpg, daraus kann man schliessen der attackierte User war auf www.a.de und Neue Internetprsenz., hat aber www.b.de nie besucht.

    Wie man sieht und wie gesagt bassiert das auf einem Hit or Miss Prinzip, heisst es kann nicht direkt die History ausgelesen aber auf spezielle Links überprüft werden.


    Die Gefahr an der ganzen Sache?

    Tracker könnten dieses System benutzen um User von SB-I, SM, ... zu "erwischen", was sicherlich bei vielen allein schon ein Banngrund ist.


    Kann man das ganze verhindern?

    Firefox

    Ja, für den Firefox zeig ich euch wie.

    Im App Folder eures Firefox gibt es einen Ordner namens chrome, in diesem eine userContent.css, falls nicht, erstellen. (Achtet auf die Endung (Dateityp), nicht userContent.css.txt sondern wirklich userContent.css)
    In diese kommt die folgende Zeile.
    PHP Code:
    a:visited background-imagenone !important; } 
    Diese Zeile deaktiviert das Laden von Backgrounds für besuchte Links global.
    Da sie userdefiniert ist und den !important Parameter aufweißt überschreibt sie jegliche websitedefinierte CSS.


    Funktioniert das?

    Ja, ich habe es getestet.
    Die unten angegebene Seite scannt eure History und gibt die Treffer in dem Fenster auf der Linke Seite aus.
    Wird auch nur eine angezeigt, ist die Attacke bei euch möglich.

    Stealing your history...

    Opera
    [English]


    English



    ------------------------------>>>>>>>>>> <<<<<<<<<<------------------------------

    Reply With QuoteReply With Quote
    Thanks

  2. Who Said Thanks:

    Reichsadler (15.07.09) , Snitlev (15.07.09) , kazuya (11.07.09) , vDD+wR (06.07.09) , Renk (03.07.09)

  3. #2
    Advanced User Renk's Avatar
    Join Date
    17.08.08
    Location
    Elsewhere
    P2P Client
    utorrent
    Posts
    582
    Activity Longevity
    1/20 19/20
    Today Posts
    0/5 ssssss582
    Very interesting, although somewath difficult to understand due to german language. In my opinion, this deserves to be placed in the international section too.
    Last edited by Renk; 03.07.09 at 19:32.
    Reply With QuoteReply With Quote
    Thanks

  4. #3
    Moderator anon's Avatar
    Join Date
    01.02.08
    Posts
    39,804
    Activity Longevity
    11/20 19/20
    Today Posts
    1/5 ssss39804
    There's an english version, look at the end of the tut.
    "I just remembered something that happened a long time ago."
    Reply With QuoteReply With Quote
    Thanks

  5. #4
    Advanced User Renk's Avatar
    Join Date
    17.08.08
    Location
    Elsewhere
    P2P Client
    utorrent
    Posts
    582
    Activity Longevity
    1/20 19/20
    Today Posts
    0/5 ssssss582
    Quote Originally Posted by anon View Post
    There's an english version, look at the end of the tut.

    Ok, I know now I need glasses.
    Reply With QuoteReply With Quote
    Thanks

  6. #5

    Join Date
    11.07.09
    Posts
    6
    Activity Longevity
    0/20 18/20
    Today Posts
    0/5 ssssssss6
    Danke für den Hinweis. Werde das sofort umsetzen.
    Nur eine Anmerkung habe ich. Müsste es statt App Folder nicht Profile Ordner heissen?
    Reply With QuoteReply With Quote
    Thanks

  7. #6

    Join Date
    01.07.08
    Posts
    1,191
    Activity Longevity
    0/20 19/20
    Today Posts
    0/5 sssss1191
    Nice, but it's more simple just to disable browsing history.

    Tools->Options->Privacy->keep my history for at least /40/days = must be unchecked
    Reply With QuoteReply With Quote
    Thanks

  8. #7
    Moderator
    shoulder's Avatar
    Join Date
    12.04.08
    Location
    I*** D* M*****
    Posts
    4,827
    Activity Longevity
    4/20 19/20
    Today Posts
    0/5 sssss4827
    Of course, but this is for users who want to keep the history activated.



    ------------------------------>>>>>>>>>> <<<<<<<<<<------------------------------

    Reply With QuoteReply With Quote
    Thanks

  9. #8

    Join Date
    09.05.09
    Posts
    399
    Activity Longevity
    0/20 18/20
    Today Posts
    0/5 ssssss399
    Quote Originally Posted by shoulder View Post
    Of course, but this is for users who want to keep the history activated.
    Wenn ich meine privaten Daten vor einem Tracker Besuch lösche, ist das nicht nötig oder?
    Wird einem ja eh geraten das zu tun. Finde aus der ganzen Sache wird mehr gemacht, als es eigentlich ist. Private Daten löschen sollte Standard sein. mach ich aus Sicherheitsgründen eh so oder so. Genauso wie man ab und zu mal die ganzen Temp Ordner von verschiedenen Progs und Windowsanwendungen geleert werden sollten. Hat jetzt aber nix mit trackern zu tun.
    Reply With QuoteReply With Quote
    Thanks

  10. #9
    Moderator
    shoulder's Avatar
    Join Date
    12.04.08
    Location
    I*** D* M*****
    Posts
    4,827
    Activity Longevity
    4/20 19/20
    Today Posts
    0/5 sssss4827
    Ja, wenn du jedes mal deine Privaten Daten löscht ist das kein Problem.
    Aber du musst es dann wirklich immer machen und auch nicht SB-I und Tracker mit dem selben Browser parallel besuchen.



    ------------------------------>>>>>>>>>> <<<<<<<<<<------------------------------

    Reply With QuoteReply With Quote
    Thanks

+ Reply to Thread

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •