DE | EN
Sitemap | Impressum
web2.0 Diaspora Vimeo Wir in der taz Wir bei Mastodon A-FsA Song RSS Twitter Youtube Unsere Artikel bei Tumblr Unsere Bilder bei Flickr Aktion FsA bei Wikipedia Spenden Facebook Bitmessage Spenden über Betterplace Zugriff im Tor-Netzwerk https-everywhere
23.11.2017 Webseiten können Eingaben unerlaubt weitersagen

Session-Replay: Webseiten geben alle Texte weiter

Glücklicherweise tun es nicht alle Webseiten, jedoch ist Session-Replay eine übliche und u.U. auch sinnvolle Technik, die Texteingaben auf Webseiten in Echtzeit erfasst (na klar, z.B. für Auto-Vervollständigung) und übermittelt (warum auch immer). D.h. es werden Eingaben bereits vor dem Abschicken eines Formulars über das Netz geschickt und wir alle haben schon die Erfahrung gemacht, dass man eine Eingabe (z.B. aus der Zwischenablage) in ein falscher Feld einträgt.

Dadurch können sehr persönliche Daten, wie Passwörter oder Kreditkartennummern ins Netz gelangen. Nun wissen wir alle, dass man grundsätzlich nur Formulare nutzt, die per SSL verschlüsselt sind also mit https beginnen. Leider hilft das im Fall von Session-Replay nicht immer.

Denn, wie Heise berichtet, haben Forscher der Universität Princeton in den USA untersucht auf wie vielen Webseiten diese Technik im Einsatz ist und wie sie genutzt oder missbraucht wird. Dazu testeten sie mit den Skripten der beliebtesten Tracking-Firmen, die Session-Replay anbieten. Dabei kam heraus, dass von den meistbesuchten 50.000 Webseiten mindestens 482 ein oder mehr Skripte der Fimen Clicktale, FullStory, Hotjar, UserReplay, SessionCam, Smartlook oder der großen russischen Suchmaschine Yandex einsetzen. Als besonders kritisch sehen die Forscher, dass einige der Anbieter die erhobenen Daten nicht per SSL/TLS verschlüsseln. Neben Klarnamen oder E-Mail-Adressen der Besucher lassen sich in einigen Fällen auch Passwörter oder Kreditkartennummern herausfinden und bei den oben beschriebenen Fehleingaben auch beliebige andere sensible Daten.

Fazit

Wieder können wir nur davor warnen Webseiten mit (Java-) Skripten unbedarft aufzurufen. Auch wenn die Anfangsfehler von Java-Skript inzwischen teilweise beseitigt wurden, so zeigt dieses Beispiel wieder einmal, dass dadurch Angiffe auf unsere Daten möglich sind. Ein Plugin wie NoScript sollte also immer im Browser installiert sein.

Leider verwenden immer mehr Webseiten Skripte - wir tun dies auf unseren fast 7000 Seiten nicht, auch Formulare lassen sich mit HTML gestalten.

Die zweite Erkenntnis ist, dass auch wo SSL drauf steht nicht immer SSL drin ist. Auch wenn dies kein Systemfehler ist, sondern nur der Dummheit, Faulheit oder auch Absicht der Programmierer geschuldet ist, bedeutet es eine Gefahr, deren Aufdeckung und Beseitigung eine Aufgabe des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) sein sollte. Denn der normale Nutzer hat keine Chance so etwas zu bemerken.

Mehr dazu bei https://www.heise.de/newsticker/meldung/Session-Replay-Viele-beliebte-Webseiten-zeichnen-jegliche-Texteingabe-auf-3896475.html


Kommentar: RE: 20171123 Webseiten können Eingaben unerlaubt weitersagen

na klar, JavaSkript gehört abgeschaltet!
NoScript ist Pflicht - auch wenn es nervt, weil man auf manchen Seiten ohne nicht weiterkommt

Merwan, 23.11.2017 12:38


Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/2Ri
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/6266-20171123-webseiten-koennen-eingaben-unerlaubt-weitersagen.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/6266-20171123-webseiten-koennen-eingaben-unerlaubt-weitersagen.html
Tags: #Bestandsdaten #Datenbanken #Session-Replay #Java #Skripte #HTML #Formulare #Hacker #Kundendaten #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpanne
Erstellt: 2017-11-23 10:10:00
Aufrufe: 1461

Kommentar abgeben

Für eine weitere vertrauliche Kommunikation empfehlen wir, unter dem Kommentartext einen Verweis auf einen sicheren Messenger, wie Session, Bitmessage, o.ä. anzugeben.

Geben Sie bitte noch die im linken Bild dargestellte Zeichenfolge in das rechte Feld ein, um die Verwendung dieses Formulars durch Spam-Robots zu verhindern.

CC Lizenz   Mitglied im European Civil Liberties Network   Bundesfreiwilligendienst   Wir speichern nicht   World Beyond War   Tor nutzen   HTTPS nutzen   Kein Java   Transparenz in der Zivilgesellschaft

logos Mitglied im European Civil Liberties Network Creative Commons Bundesfreiwilligendienst Wir speichern nicht World Beyond War Tor - The onion router HTTPS - verschlüsselte Verbindungen nutzen Wir verwenden kein JavaScript Für Transparenz in der Zivilgesellschaft