roth-digital.de

Viele Webseiten verfolgen Ihre Besucher um heraus zu finden wie sich Besucher auf der Webseite verhalten. Damit kann die Webseite optimiert werden und ein Shop so mehr Umsatz erzielen. Google Analytics ist ein Beispiel für so einen Webtracking-Dienst. Da dieser bei vielen Internetseiten eingesetzt wird, kann damit fast lückenlos verfolgt werden welche Seiten Sie im Internet ansehen.

Im heute veröffentlichtem Firefox 4 ist zum Schutz vor Webtracking eine neue Funktion eingebaut.  Beim Aufruf einer Seite wird dem Server mitgeteilt, dass der Besucher nicht verfolgt werden will. Zur Zeit werden in den USA Webtracking-Anbieter unter Druck gesetzt, da eine lückenlose Überwachung aller Internetseiten befürchtet wird. Daher wird der Wunsch der Besucher nicht verfolgt zu werden bald von den größten Webtracking-Anbietern unterstützt werden.

Um die „Do not Track“ genannte Option zu aktivieren muss bei den Einstellungen nur der Hacken bei der Option „Webseiten mitteilen, dass ich nicht verfolgt werden möchte“ gesetzt werden. Diese Einstellung befindet sich bei den Einstellungen unter „Erweitert“ >> „Allgemein“.

Mit Hilfe von Erweiterung lässt sich der Webbrowser vielseitig einsetzen. Mit Acrobat Reader können PDF Dateien direkt im Browser betrachtet werden und Flash erlaubt das Betrachten von YouTube Videos. Aber durch diese Erweiterbarkeit ist jeder Browser anders und kann eindeutig identifiziert werden.

Beim Aufrufen einer Internetseite sendet der Browser eine Identifikationsstring mit. Dieser enthält den Namen des Browser mit der Versionsnummer und dem Betriebssystem. Mit Hilfe von JavaScript lassen sich die Bildschirmbreite, -höhe und -auflösung auslesen.

Unter https://panopticlick.eff.org ist ein Test, der ein paar Informationen über den Besucher sammelt und die gewonnen Informationen mit mehrere hunderttausend gespeicherten Daten vergleicht. Somit kann festgestellt werden, wie einzigartig der eigene Browser ist.

Erweiterungen wie NoScript für Firefox deaktivieren JavaScript und verhindert dadurch das auslesen der Bildschirmwerte und der installierten Browsererweiterungen.

Ab heute müssen die Schufa und andere Auskunfteien einmal jährlich eine kostenlose Selbstauskunft von Verbrauchern beantworten. Grund ist der §§ 34 I, IV  Bundesdatenschutzgesetzes (BDSG),der ab dem 1. April 2010 in Kraft tritt.

Die Verbraucherzentrale Bundesverband (vzbv) stellt auf ihrer Internetseite auch einen Musterbrief und eine Liste der Auskunfteien zur Verfügung. Da auch viele dieser Scoring-Werte falsch sind, empfiehlt die vzbv jedem Verbraucher von seinem neuen Auskunftsrecht Gebrauch zu machen.

SSL wird benutzt um die Kommunikation im Internet sicher zu machen. Sobald man eine Seite mit https:// statt http:// besucht, wird die Verbindung verschlüsselt und kann nicht mehr abgehört werden.

Das einzige Problem, das weiterhin besteht ist ein sogenannter Man-in-the-Middle-Angriff. Wenn Sie versuchen mit ihrer Bank unter https://www.bank.de eine Überweisung einzureichen, so kann der Angreifer ihre Verbindung abfangen und sich als https://www.bank.de ausgeben und die Daten mit einem ihm bekannten Schlüssel verschlüsseln. Wenn er die Daten dann an die echte Bank weiterleitet, so sehen sie keinen Unterschied und der Angreifer kann alle Passwörter mitlesen und im entscheidenden Moment die Zielkontonummer und den Betrag ändern.

Um das zu verhindert, muss jede verschlüsselte Verbindung ein Zertifikat haben. Dieses kann man mit einem Ausweis gleichsetzten, der bestätigt, dass der für die Verschlüsselung verwendete Schlüssel auch tatsächlich zu der Adresse www.bank.de gehört. Dieser Ausweis ist auch nur eine bestimmte Zeit gültig, falls also der Name des Besitzers nicht mit der im Browser eingegeben Adresse übereinstimmt oder das Zertifikat schon abgelaufen ist, so wird eine Warnung angezeigt.

In einer Forschungsarbeit bezweifeln die Wissenschaftler Christopher Soghoian and Sid Stamm nun, das diese Methode sicher ist. Da in einigen Ländern die Regierungsbehörden vermutlich die Macht haben Zertifizierungsstellen, die solche Ausweise für Domains ausstellen, zu zwingen ihnen beliebige Zertifikate zu geben. Auch einige staatliche Zertifizierungsstellen werden von den gängigen Browsern ohne Nachfrage akzeptiert. Anscheinend wird diese Methode schon eingesetzt, da den Forschern beim Hersteller Packet Forensics eine Produkt aufgefallen ist, das genau für diesen Einsatz gebaut wurde. Damit können beliebige Verbindungen abgehört werden, wenn ein gültiges Zertifikat für die Domain vorhanden ist.

Abhilfe soll eine Erweiterung für Firefox schaffe, die zur Zeit entwickelt wird. Mit der Certloc genannten Erweiterung, soll der Anwender gewarnt werden, falls sich ein Zertifikat ändert und der Verdacht eine Manipulation besteht. Bis diese Erweiterung fertig ist, bleibt nur bei wichtigen Verbindungen das Zertifikat selbst anzuschauen und falls die lokale Bank auf einmal ein Zertifikat aus China oder USA vorweist die Verbindung abzubrechen.

http://www.heise.de/newsticker/meldung/EFF-zweifelt-an-Abhoersicherheit-von-SSL-963857.html