Mit dem Artikel „IT-Forscher enttarnen Internetsurfer“ scheint der SPIEGEL bzw. die forschenden Datenschützer ein ganz großes Fass aufzumachen: es ist leicht möglich, die sogenannte „Browser-Chronik“ bzw. „History“, in der die Adressen beim Surfen besuchter Webseiten gespeichert werden, unbemerkt auszulesen. Das ist nun allerdings keine „Sicherheitslücke“, sondern ein uraltes Feature, das es z.B. ermöglicht, auf Webseiten besuchte Links farblich anders darzustellen.
Missbrauch des Features: Ausspähen der Nutzer sozialer Netze
Findige Interessenten können mit dieser Möglichkeit allerdings weit mehr anstellen als nur Links einfärben: Im Artikel wird ausgeführt, wie es mittels Abgleich der Chronik mit der Mitgliederdatenbank eines sozialen Netzwerks möglich ist, anhand der besuchten „Gruppen-Seiten“ ein Mitglied namentlich zu erkennen – also auch, wenn man gar nicht eingeloggt ist. (Gruppen sind bei Xing, Facebook u.a. das, was man früher schon als „Foren“ kannte: fast jeder, der in einem sozialen Netz verkehrt, ist bald auch Mitglied irgendwelcher Themen-Gruppen).
Im zweiten Teil des Artikels („Was Kriminelle mit den Daten machen könnten“) werden dann gewaltige Missbrauchs- möglichkeiten aufgezeigt, die sich aus der Kenntnis des Klarnamens ergeben könnten – über die Zusendung getürkter „Mails von Freunden“ zur Abfrage brisanterer Daten bis hin zur Erpressung, wenn jemand auf illegalen Pornoseiten surft.
Mein Test: Ich werde erkannt!
Obwohl ich meine drei Gruppen auf Xing quasi nie besuche, konnte mich die Test-Webseite „de-anonymisieren“. Erstaunlich, aber nicht erschreckend, denn was ich bei Xing (und anderswo) an Infos über mich preis gebe, darf die Welt ruhig wissen. Trotzdem beschloss ich, meinem Firefox-Browser jetzt einfach mal das Aufzeichnen der History zu verbieten.
Achtung: auf die DETAILS kommt es beim Löschen an!
Im Firefox kann man die Chronik unter „Extras -> Einstellungen -> Datenschutz“ löschen und auch gleich anordnen, dass nie wieder eine angelegt wird. Auf diese radikale Lösung hatte ich grade gute Lust:
Mittels des angebotenen Links „gesamte bisherige Chronik löschen“ meinte ich nun, sämtliche Surfspuren beseitigt zu haben – immerhin lässt auch die Warnung vor dem Klick das vermuten:
Sicherheitshalber testete ich nach dem Löschen, ob das auch stimmt („Ansicht -> Sidebar -> Chronik“) Und siehe da: noch immer wurden alle Seiten angezeigt, die ich in den letzten Monaten besucht hatte. Die Browserhersteller machen es den Usern nicht grade EINFACH, sich der „bequemen Datensammlung“ zu entziehen!
Ich wiederholte den Vorgang und schaute dabei genauer hin: Aha, es gibt ein Kästchen mit DETAILS, dessen Anklicken erst verschiedene Optionen zur Ansicht bringt, was alles beim Löschen wegfallen soll:
Ich entschied mich dafür, die „besuchten Seiten“ und die „Download-Chronik“ sowie den „Cache“ zu löschen, aber die Suchbegriffe und Formulardaten, aktive Logins, Website-Einstellungen und Cockies zu behalten (letztere manage ich ja noch extra an anderer Stelle).
Jetzt befriedigte mich das Test-Ergebnis: Die Chronik zeigte keine besuchten Seiten mehr an.
Radikal ist selten bequem!
Als ich dann diesen Artikel verfasste, merkte ich schnell, dass ich so bei jedem Bild-Upload und auch anderen Aktivitäten jedesmal neu einloggen muss – klar, ich hatte ja nur die Vergangenheit der Passwörter und Logins erhalten, aber mit „niemals anlegen“ verhindert, dass sie in der aktuellen Session gespeichert werden.
Also nochmal rein in die „Extras – Einstellungen“, weg von „niemals anlegen“ zu „benutzerdefinierten Einstellungen“:
„Besuchte Seiten“ und „Downloadchronik“ werden nun gar nicht erst angelegt, Formulardaten werden behalten. Cockies behalte ich und miste gelegentlich händisch aus (ich gönne den Webseitenbetreibern ihre Folge-Provisionen, wenn ich z.B. über einen Partnerlink ein Buch kaufe und später im selben Shop nochmal was kaufe). Wer das nicht will, muss hier „behalten bis Firefox geschlossen wird“ angeben.
Nicht vergessen sollte man die Einstellungen für das Löschen der Chronik, die im Wortverständnis von Firefox eben eine Menge MEHR bedeutet als nur die Daten der besuchten Seiten. Hat man also beim „Chronik löschen, wenn Firefox beendet wird“ sein Kreuzchen gemacht, muss man noch im Detail angeben, was genau gelöscht werden soll – und was nicht:
Beim Beenden lasse ich mit diesen Angaben nun auch den Cache, die aktiven Logins und die Offline-Webseitendaten löschen. Die Kreuzchen bei „besuchte Seiten“ und „Download-Chronik“ sind im Grunde überflüssig, da die ja nun gar nicht erst angelegt werden – aber sicher ist sicher und schaden wirds wohl nicht.
Und der MS-Internet-Explorer?
Für den Browser von Microsoft möchte ich das jetzt nicht auch noch erläutern, da ich ihn nicht nutze und von der Nutzung dringend abrate. Die immer wieder auftauchenden Sicherheitslecks sind so gravierend, dass kürzlich auch das Bundesamt für Sicherheit in der Informationstechnik vor der Nutzung warnte. Mag sein, dass diese Fehler bei Updates immer mal wieder behoben werden, doch ist der MS-Internet-Explorer einfach zu sehr verstrickt mit dem Windows-Betriebssystem – und damit STRUKTURELL unsicherer als es andere Browser jemals sein könnten.
Diskussion
Kommentare abonnieren (RSS)
3 Kommentare zu „Sicherer Surfen: Chronik im Browser abschalten“.