DE | EN
Sitemap | Impressum
web2.0 Diaspora Vimeo taz We at Mastodon A-FsA Song RSS Twitter Youtube Tumblr Flickr Wikipedia Donation Facebook Bitmessage Betterplace Tor-Netzwerk https-everywhere
23.11.2017 Webseiten können Eingaben unerlaubt weitersagen
Sorry, most articles are not available in English yet

Session-Replay: Webseiten geben alle Texte weiter

Glücklicherweise tun es nicht alle Webseiten, jedoch ist Session-Replay eine übliche und u.U. auch sinnvolle Technik, die Texteingaben auf Webseiten in Echtzeit erfasst (na klar, z.B. für Auto-Vervollständigung) und übermittelt (warum auch immer). D.h. es werden Eingaben bereits vor dem Abschicken eines Formulars über das Netz geschickt und wir alle haben schon die Erfahrung gemacht, dass man eine Eingabe (z.B. aus der Zwischenablage) in ein falscher Feld einträgt.

Dadurch können sehr persönliche Daten, wie Passwörter oder Kreditkartennummern ins Netz gelangen. Nun wissen wir alle, dass man grundsätzlich nur Formulare nutzt, die per SSL verschlüsselt sind also mit https beginnen. Leider hilft das im Fall von Session-Replay nicht immer.

Denn, wie Heise berichtet, haben Forscher der Universität Princeton in den USA untersucht auf wie vielen Webseiten diese Technik im Einsatz ist und wie sie genutzt oder missbraucht wird. Dazu testeten sie mit den Skripten der beliebtesten Tracking-Firmen, die Session-Replay anbieten. Dabei kam heraus, dass von den meistbesuchten 50.000 Webseiten mindestens 482 ein oder mehr Skripte der Fimen Clicktale, FullStory, Hotjar, UserReplay, SessionCam, Smartlook oder der großen russischen Suchmaschine Yandex einsetzen. Als besonders kritisch sehen die Forscher, dass einige der Anbieter die erhobenen Daten nicht per SSL/TLS verschlüsseln. Neben Klarnamen oder E-Mail-Adressen der Besucher lassen sich in einigen Fällen auch Passwörter oder Kreditkartennummern herausfinden und bei den oben beschriebenen Fehleingaben auch beliebige andere sensible Daten.

Fazit

Wieder können wir nur davor warnen Webseiten mit (Java-) Skripten unbedarft aufzurufen. Auch wenn die Anfangsfehler von Java-Skript inzwischen teilweise beseitigt wurden, so zeigt dieses Beispiel wieder einmal, dass dadurch Angiffe auf unsere Daten möglich sind. Ein Plugin wie NoScript sollte also immer im Browser installiert sein.

Leider verwenden immer mehr Webseiten Skripte - wir tun dies auf unseren fast 7000 Seiten nicht, auch Formulare lassen sich mit HTML gestalten.

Die zweite Erkenntnis ist, dass auch wo SSL drauf steht nicht immer SSL drin ist. Auch wenn dies kein Systemfehler ist, sondern nur der Dummheit, Faulheit oder auch Absicht der Programmierer geschuldet ist, bedeutet es eine Gefahr, deren Aufdeckung und Beseitigung eine Aufgabe des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) sein sollte. Denn der normale Nutzer hat keine Chance so etwas zu bemerken.

Mehr dazu bei https://www.heise.de/newsticker/meldung/Session-Replay-Viele-beliebte-Webseiten-zeichnen-jegliche-Texteingabe-auf-3896475.html


Kommentar: RE: 20171123 Webseiten können Eingaben unerlaubt weitersagen

na klar, JavaSkript gehört abgeschaltet!
NoScript ist Pflicht - auch wenn es nervt, weil man auf manchen Seiten ohne nicht weiterkommt

Merwan, 23.11.2017 12:38


Category[21]: Unsere Themen in der Presse Short-Link to this page: a-fsa.de/e/2Ri
Link to this page: https://www.aktion-freiheitstattangst.org/de/articles/6266-20171123-webseiten-koennen-eingaben-unerlaubt-weitersagen.html
Link with Tor: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/6266-20171123-webseiten-koennen-eingaben-unerlaubt-weitersagen.html
Tags: #Bestandsdaten #Datenbanken #Session-Replay #Java #Skripte #HTML #Formulare #Hacker #Kundendaten #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpanne
Created: 2017-11-23 10:10:00
Hits: 1518

Leave a Comment

If you like a crypted answer you may copy your
public key into this field. (Optional)
To prevent the use of this form by spam robots, please enter the portrayed character set in the left picture below into the right field.

CC license   European Civil Liberties Network   Bundesfreiwilligendienst   We don't store your data   World Beyond War   Use Tor router   Use HTTPS   No Java   For Transparency

logos Mitglied im European Civil Liberties Network Creative Commons Bundesfreiwilligendienst We don't store user data World Beyond War Tor - The onion router HTTPS - use encrypted connections We don't use JavaScript For transparency in the civil society