|
Session-Replay: Webseiten geben alle Texte weiterGlücklicherweise tun es nicht alle Webseiten, jedoch ist Session-Replay eine übliche und u.U. auch sinnvolle Technik, die Texteingaben auf Webseiten in Echtzeit erfasst (na klar, z.B. für Auto-Vervollständigung) und übermittelt (warum auch immer). D.h. es werden Eingaben bereits vor dem Abschicken eines Formulars über das Netz geschickt und wir alle haben schon die Erfahrung gemacht, dass man eine Eingabe (z.B. aus der Zwischenablage) in ein falscher Feld einträgt. Dadurch können sehr persönliche Daten, wie Passwörter oder Kreditkartennummern ins Netz gelangen. Nun wissen wir alle, dass man grundsätzlich nur Formulare nutzt, die per SSL verschlüsselt sind also mit https beginnen. Leider hilft das im Fall von Session-Replay nicht immer. Denn, wie Heise berichtet, haben Forscher der Universität Princeton in den USA untersucht auf wie vielen Webseiten diese Technik im Einsatz ist und wie sie genutzt oder missbraucht wird. Dazu testeten sie mit den Skripten der beliebtesten Tracking-Firmen, die Session-Replay anbieten. Dabei kam heraus, dass von den meistbesuchten 50.000 Webseiten mindestens 482 ein oder mehr Skripte der Fimen Clicktale, FullStory, Hotjar, UserReplay, SessionCam, Smartlook oder der großen russischen Suchmaschine Yandex einsetzen. Als besonders kritisch sehen die Forscher, dass einige der Anbieter die erhobenen Daten nicht per SSL/TLS verschlüsseln. Neben Klarnamen oder E-Mail-Adressen der Besucher lassen sich in einigen Fällen auch Passwörter oder Kreditkartennummern herausfinden und bei den oben beschriebenen Fehleingaben auch beliebige andere sensible Daten. FazitWieder können wir nur davor warnen Webseiten mit (Java-) Skripten unbedarft aufzurufen. Auch wenn die Anfangsfehler von Java-Skript inzwischen teilweise beseitigt wurden, so zeigt dieses Beispiel wieder einmal, dass dadurch Angiffe auf unsere Daten möglich sind. Ein Plugin wie NoScript sollte also immer im Browser installiert sein. Leider verwenden immer mehr Webseiten Skripte - wir tun dies auf unseren fast 7000 Seiten nicht, auch Formulare lassen sich mit HTML gestalten. Die zweite Erkenntnis ist, dass auch wo SSL drauf steht nicht immer SSL drin ist. Auch wenn dies kein Systemfehler ist, sondern nur der Dummheit, Faulheit oder auch Absicht der Programmierer geschuldet ist, bedeutet es eine Gefahr, deren Aufdeckung und Beseitigung eine Aufgabe des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) sein sollte. Denn der normale Nutzer hat keine Chance so etwas zu bemerken. Mehr dazu bei https://www.heise.de/newsticker/meldung/Session-Replay-Viele-beliebte-Webseiten-zeichnen-jegliche-Texteingabe-auf-3896475.html Kommentar: RE: 20171123 Webseiten können Eingaben unerlaubt weitersagen na klar, JavaSkript gehört abgeschaltet! Merwan, 23.11.2017 12:38 Category[21]: Unsere Themen in der Presse Short-Link to this page: a-fsa.de/e/2Ri Link to this page: https://www.aktion-freiheitstattangst.org/de/articles/6266-20171123-webseiten-koennen-eingaben-unerlaubt-weitersagen.html Link with Tor: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/6266-20171123-webseiten-koennen-eingaben-unerlaubt-weitersagen.html Tags: #Bestandsdaten #Datenbanken #Session-Replay #Java #Skripte #HTML #Formulare #Hacker #Kundendaten #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpanne Created: 2017-11-23 10:10:00 Hits: 1540 Leave a Comment |
CC license European Civil Liberties Network Bundesfreiwilligendienst We don't store your data World Beyond War Use Tor router Use HTTPS No Java For Transparency |