23.11.2017 Webseiten können Eingaben unerlaubt weitersagen
Sorry, most articles are not available in English yet

Session-Replay: Webseiten geben alle Texte weiter

Glücklicherweise tun es nicht alle Webseiten, jedoch ist Session-Replay eine übliche und u.U. auch sinnvolle Technik, die Texteingaben auf Webseiten in Echtzeit erfasst (na klar, z.B. für Auto-Vervollständigung) und übermittelt (warum auch immer). D.h. es werden Eingaben bereits vor dem Abschicken eines Formulars über das Netz geschickt und wir alle haben schon die Erfahrung gemacht, dass man eine Eingabe (z.B. aus der Zwischenablage) in ein falscher Feld einträgt.

Dadurch können sehr persönliche Daten, wie Passwörter oder Kreditkartennummern ins Netz gelangen. Nun wissen wir alle, dass man grundsätzlich nur Formulare nutzt, die per SSL verschlüsselt sind also mit https beginnen. Leider hilft das im Fall von Session-Replay nicht immer.

Denn, wie Heise berichtet, haben Forscher der Universität Princeton in den USA untersucht auf wie vielen Webseiten diese Technik im Einsatz ist und wie sie genutzt oder missbraucht wird. Dazu testeten sie mit den Skripten der beliebtesten Tracking-Firmen, die Session-Replay anbieten. Dabei kam heraus, dass von den meistbesuchten 50.000 Webseiten mindestens 482 ein oder mehr Skripte der Fimen Clicktale, FullStory, Hotjar, UserReplay, SessionCam, Smartlook oder der großen russischen Suchmaschine Yandex einsetzen. Als besonders kritisch sehen die Forscher, dass einige der Anbieter die erhobenen Daten nicht per SSL/TLS verschlüsseln. Neben Klarnamen oder E-Mail-Adressen der Besucher lassen sich in einigen Fällen auch Passwörter oder Kreditkartennummern herausfinden und bei den oben beschriebenen Fehleingaben auch beliebige andere sensible Daten.

Fazit

Wieder können wir nur davor warnen Webseiten mit (Java-) Skripten unbedarft aufzurufen. Auch wenn die Anfangsfehler von Java-Skript inzwischen teilweise beseitigt wurden, so zeigt dieses Beispiel wieder einmal, dass dadurch Angiffe auf unsere Daten möglich sind. Ein Plugin wie NoScript sollte also immer im Browser installiert sein.

Leider verwenden immer mehr Webseiten Skripte - wir tun dies auf unseren fast 7000 Seiten nicht, auch Formulare lassen sich mit HTML gestalten.

Die zweite Erkenntnis ist, dass auch wo SSL drauf steht nicht immer SSL drin ist. Auch wenn dies kein Systemfehler ist, sondern nur der Dummheit, Faulheit oder auch Absicht der Programmierer geschuldet ist, bedeutet es eine Gefahr, deren Aufdeckung und Beseitigung eine Aufgabe des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) sein sollte. Denn der normale Nutzer hat keine Chance so etwas zu bemerken.

Mehr dazu bei https://www.heise.de/newsticker/meldung/Session-Replay-Viele-beliebte-Webseiten-zeichnen-jegliche-Texteingabe-auf-3896475.html


Kommentar: RE: 20171123 Webseiten können Eingaben unerlaubt weitersagen

na klar, JavaSkript gehört abgeschaltet!
NoScript ist Pflicht - auch wenn es nervt, weil man auf manchen Seiten ohne nicht weiterkommt

Merwan, 23.11.2017 12:38


Category[21]: Unsere Themen in der Presse Short-Link to this page: a-fsa.de/e/2Ri
Link to this page: https://www.aktion-freiheitstattangst.org/de/articles/6266-20171123-webseiten-koennen-eingaben-unerlaubt-weitersagen.htm
Link with Tor: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/6266-20171123-webseiten-koennen-eingaben-unerlaubt-weitersagen.htm
Tags: #Bestandsdaten #Datenbanken #Session-Replay #Java #Skripte #HTML #Formulare #Hacker #Kundendaten #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpanne
Created: 2017-11-23 10:10:00


Kommentar abgeben

For further confidential communication, we recommend that you include a reference to a secure messenger, such as Session, Bitmessage, or similar, below the comment text.
To prevent the use of this form by spam robots, please enter the portrayed character set in the left picture below into the right field.

We in the Web2.0


Diaspora Mastodon Twitter Youtube Tumblr Flickr FsA Wikipedia Facebook Bitmessage FsA Song


Impressum  Privacy  Sitemap