Schwere Sicherheitslücke in Firefox - Verlauf "auslesbar"

B

Brummelchen

Gast
Durch spezielle Scripte ist es möglich, den Verlauf aus Firefox
"auszulesen". Dabei wird durch eine Kombination von Textdatenbank
und CSS ein Abgleich ermöglicht, der dann anderweitig ausnutzbar ist.
Betroffen ist hier Firefox 2.0.0.20 bis 3.0.9, vermutlich sind alle Firefox-
Browser bis jetzt betroffen. Die aktuellen Betas ab 3.1 sind nicht betroffen,
leider ist der alles andere als fertig und einsetzbar.


Quellen:
Startpanic.com zeigt meine Browser History! Sicherheitslücke in Browser? - Security Forum
startpanic.com and :visited links privacy issue Sharovatov’s Weblog

Demo: Start Panicking! --> "Lets start"

Mal abwarten, welche Tips und Workarounds die Spezialisten über haben.

#Nachtrag - ich war eben mit der 3.1 beta 3 deutsch und jetzt mit der 3.5 beta 4 deutsch unterwegs.
Beide sind ebenfalls betroffen - von wegen, wie hinter dem wordpress-Link zu lesen ist. (n)
 
Zuletzt bearbeitet:
Ich will nicht den Teufel an die Wand malen, aber anscheinend ist das Sch*** Script auch in der Lage, Opera auszulesen. Ich habe Opera 9.64 und einiges konnte wirklich erschnüffelt werden :eek:

panic.JPG

ot:
PS: Die Cheats habe ich für jemand anderen rausgesucht! :angel
 
Gibt es dazu schon wirklich detaillierte Hintergrundinformationen?
Vielleicht entpuppt es sich ja als ähnliche Schwachstelle wie "Webseite zeigt den Inhalt meiner Festplatte an".
 
Habe ja ebenfalls den Opera 9.64, und auch hier liesst das Teil den Verlauf aus.
Wenn der Verlauf deaktiviert ist natürlich nicht, aber die offnen Tabs
zeigt er an.
Schon eine schöne Sch...e.
 
Aber warum hat Opera ebenso wie Mozilla das nicht abgeändert bzw behoben?
 
Mein Ergebnis war Opera 2 und Firefox 4, obwohl ich eigentlich eine lange Liste haben müsste.

P.S. Mit Opera surfe ich meist ohne Java, Java Script ;)
 
Brummelchen schrieb:
Aber warum hat Opera ebenso wie Mozilla das nicht abgeändert bzw behoben?
Zum Vergrößern anklicken....

Ganz einfach, man würde damit die W3C-Spec aushebeln müssen und visited:-Links auf die lokale Domain beschränken.
verborgener Text:
From the W3C CSS specs (about :visited):

Note. It is possible for style sheet authors to abuse the :link and :visited
pseudo-classes to determine which sites a user has visited without the user's
consent.

Macht keinen Sinn, dann kann man ja auch History ganz ausmachen.

Lösung für FF: Private Browsing ("To enter the private browsing mode, please use the Tools > Start Private Browsing menu item.")

Ansonsten, wenn es stört, kann man unter Opera einfach die History auschalten bzw. beim Beenden diese Daten löschen lassen.

Ist in meinen Augen kein grosses issue...

J.
 
>> und visited:-Links auf die lokale Domain beschränken.

Welcher Depp hat das bloss festgelegt?
Adobe bringt ständig neue Updates, damit genau dieser Mist unterbunden werden kann
und das W3C-Konsortium öffnet sämtliche Hintertürchen.
Es geht verdammt nochmal keine andere Seite an, wo ich vorher war (Referer ausgenommen).

Sollte das keinen Fix geben, muss ich irgendeinen Filter dagegen schrauben (n)
 
Ich will da nichts verharmlosen, aber haben die Leute eigentlich keine anderen Sorgen? Da surfen die User lustig im Internet herum, fangen sich massenweise Tracking Cookis ein, jammern andererseits über die Datensammlerei bestimmter Firmen (auch dieses Forum ist mit Google Analytics, Google Adsense und Vibrant Ads gesegnet) und kriegen einen Herzkasper, weil böswilllige Seiten den Verlauf auslesen können. Seit Jahren, wohlgemerkt. Wem das nicht passt, der kann ja aktive Inhalte im Browser ausschalten und persönliche Daten nach Beendigung der Session löschen. Oder im Porno-Modus surfen.

Vielleicht sollte sich mal herumsprechen, dass das Internet kein integrativer Kindergarten ist.
 
Darum geht's nicht - fast alle modernen Browser bieten das Löschen von
Gebrauchsspuren an - Browser zu, Daten futsch. Aber hier geht es um das gezielte
ausspionieren - das ist so, als wenn du am Auto jedesmal nen Sticker bekommst, in
welcher Stadt du zuletzt gehalten hast oder wo man zuletzt getankt hat.
Und ich hatte IMO oben erwähnt (ansonsten sei es hier nachgeholt), dass man
andere Lücken dazu nutzen kann, diverse Daten zu kombinieren oder auszulesen.
Glaub nicht, dass sämtliche Sicherheitslücken bekannt oder gestopft sind.
Bsp Ebay - testen, jop, Cookie auslesen, Login abgreifen.
 
Das verstehe ich jetzt nicht wirklich.

fast alle modernen Browser bieten das Löschen von
Gebrauchsspuren an - Browser zu, Daten futsch
Zum Vergrößern anklicken....
Eben das habe ich, wenn auch etwas launig, empfohlen.

Aber hier geht es um das gezielte ausspionieren
Zum Vergrößern anklicken....
So ist es. Das gilt aber auch bei den bei mir genannten Beispielen. Wer das nicht will, kann sich entsprechend verhalten. Wenn ich mal in die schlecht beleuchteten Nebenstraßen des Internet muss, gibt es nichts auszuspionieren. Wer nicht weiß, wie das geht, sollte auf den gut beleuchteten Hauptstraßen bleiben. Oder ist selbst schuld.

dass man
andere Lücken dazu nutzen kann, diverse Daten zu kombinieren oder auszulesen
Zum Vergrößern anklicken....
.
Jo klar. Ich kann damit leben, dass Google Analytics zusammenfügt, dass vor dem Besuch dieses Forums 80.130.xx.xxx nen Wetterbericht beguckt hat. Wenn ich das nicht will, sorge ich eben dafür.

Lange Rede, kurzer Sinn: Das ist ein Sturm im Wasserglas. Die meisten Surfer geben ohnehin mehr preis als sie zu träumen wagen. Das ist natürlich keine Entschuldigung für diese völlig überflüssige Lücke, aber die Relationen sollten gewahrt bleiben.
 
Trolli schrieb:
Mein Ergebnis war Opera 2 und Firefox 4, obwohl ich eigentlich eine lange Liste haben müsste.
Zum Vergrößern anklicken....

ganz vergessen :angel

Ich habe unter Firefox ''Tabs> Neue Seiten sollten geöffnet werden in:> einem neuen Fenster'' eingestellt. ;) :D

Dadurch konnte das spezielle Script nur Opera 2 und Firefox 4 sehen. ;) :D :)

Klicke ich auf dem Link im ersten Beitrag, dann öffnet sich ein neues Fenster und das Script zeigt nur startpanic.com und Google an.


Ergänzung:
Hab grad nochmal mit 'neuen Tab öffnen ' probiert und auch hier zeigt er nur zwei Einträge an.

So richtig habe ich es noch nicht verstanden, wann der ganze Verlauf angezeigt wird.:unsure:
 
Zuletzt bearbeitet:
Was willst du?
Schade, heut is Montag, da is Schontag :p

Ich kenn nur 2 rechts 2 links 1 fallen lassen.
 
Seit heute Abend ist die Version Mozilla Firefox 3.0.10 Verfügbar.
Firefox 3.0.10 schließt mehrere Sicherheitslücken und behebt auch einige Fehler. Alle wichtigen Informationen zu Firefox 3.0.10 sowie eine Liste aller Änderungen finden Sie in den

http://en-us.www.mozilla.com/en-US/firefox/3.0.10/releasenotes/




Zitat:mad: Brummelchen

Nimm den Link bitte raus.
1. ist das noch nicht offiziell
2. ist deine Beurteilung falsch
3. hat es bereits ein Thema zu Updates


Wehr warten möchte, morgen ist dann per update Verfügbar.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben