DE | EN
Sitemap | Impressum
web2.0 Diaspora RSS Vimeo A-FsA Song MeetUp Twitter Youtube Flickr Spenden über Betterplace Bitmessage Facebook Wikipedia Zugriff im Tor-Netzwerk https-everywhere
23.11.2017 Webseiten können Eingaben unerlaubt weitersagen

Session-Replay: Webseiten geben alle Texte weiter

Glücklicherweise tun es nicht alle Webseiten, jedoch ist Session-Replay eine übliche und u.U. auch sinnvolle Technik, die Texteingaben auf Webseiten in Echtzeit erfasst (na klar, z.B. für Auto-Vervollständigung) und übermittelt (warum auch immer). D.h. es werden Eingaben bereits vor dem Abschicken eines Formulars über das Netz geschickt und wir alle haben schon die Erfahrung gemacht, dass man eine Eingabe (z.B. aus der Zwischenablage) in ein falscher Feld einträgt.

Dadurch können sehr persönliche Daten, wie Passwörter oder Kreditkartennummern ins Netz gelangen. Nun wissen wir alle, dass man grundsätzlich nur Formulare nutzt, die per SSL verschlüsselt sind also mit https beginnen. Leider hilft das im Fall von Session-Replay nicht immer.

Denn, wie Heise berichtet, haben Forscher der Universität Princeton in den USA untersucht auf wie vielen Webseiten diese Technik im Einsatz ist und wie sie genutzt oder missbraucht wird. Dazu testeten sie mit den Skripten der beliebtesten Tracking-Firmen, die Session-Replay anbieten. Dabei kam heraus, dass von den meistbesuchten 50.000 Webseiten mindestens 482 ein oder mehr Skripte der Fimen Clicktale, FullStory, Hotjar, UserReplay, SessionCam, Smartlook oder der großen russischen Suchmaschine Yandex einsetzen. Als besonders kritisch sehen die Forscher, dass einige der Anbieter die erhobenen Daten nicht per SSL/TLS verschlüsseln. Neben Klarnamen oder E-Mail-Adressen der Besucher lassen sich in einigen Fällen auch Passwörter oder Kreditkartennummern herausfinden und bei den oben beschriebenen Fehleingaben auch beliebige andere sensible Daten.

Fazit

Wieder können wir nur davor warnen Webseiten mit (Java-) Skripten unbedarft aufzurufen. Auch wenn die Anfangsfehler von Java-Skript inzwischen teilweise beseitigt wurden, so zeigt dieses Beispiel wieder einmal, dass dadurch Angiffe auf unsere Daten möglich sind. Ein Plugin wie NoScript sollte also immer im Browser installiert sein.

Leider verwenden immer mehr Webseiten Skripte - wir tun dies auf unseren fast 7000 Seiten nicht, auch Formulare lassen sich mit HTML gestalten.

Die zweite Erkenntnis ist, dass auch wo SSL drauf steht nicht immer SSL drin ist. Auch wenn dies kein Systemfehler ist, sondern nur der Dummheit, Faulheit oder auch Absicht der Programmierer geschuldet ist, bedeutet es eine Gefahr, deren Aufdeckung und Beseitigung eine Aufgabe des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) sein sollte. Denn der normale Nutzer hat keine Chance so etwas zu bemerken.

Mehr dazu bei https://www.heise.de/newsticker/meldung/Session-Replay-Viele-beliebte-Webseiten-zeichnen-jegliche-Texteingabe-auf-3896475.html


Kommentar: RE: 20171123 Webseiten können Eingaben unerlaubt weitersagen

na klar, JavaSkript gehört abgeschaltet!
NoScript ist Pflicht - auch wenn es nervt, weil man auf manchen Seiten ohne nicht weiterkommt

Merwan, 23.11.2017 12:38


Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/2Ri
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/6266-20171123-webseiten-koennen-eingaben-unerlaubt-weitersagen.htm
Link im Tor-Netzwerk: nnksciarbrfsg3ud.onion/de/articles/6266-20171123-webseiten-koennen-eingaben-unerlaubt-weitersagen.htm
Tags: #Bestandsdaten #Datenbanken #Session-Replay #Java #Skripte #HTML #Formulare #Hacker #Kundendaten #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpanne
Erstellt: 2017-11-23 10:10:00
Aufrufe: 98

Kommentar abgeben

Wer hat, der kann! Für eine verschlüsselte Rückantwort hier den eigenen Public Key reinkopieren.
(Natürlich optional)
Geben Sie bitte noch die im linken Bild dargestellte Zeichenfolge in das rechte Feld ein, um die Verwendung dieses Formulars durch Spam-Robots auszuschließen.
logos Mitglied bei European Civil Liberties Network Creative Commons Mitglied bei WorldBeyondWar Wir unterstützen den CCC Beim freiwilligen Engagement stets dabei Mitglied bei Schule ohne Militär Wir speichern nicht Wir verwenden kein JavaScript Mitglied bei Fundamental Right Platform Für Transparenz in der Zivilgesellschaft Nominiert für Deutschen Engagementpreis