So werden immer mehr Informationen wie Parameter, Sessions, Persönliche Einstellungen an die Webadresse gehängt und damit in der Historie potentiell verfügbar gemacht. Bei der Browsersicherheit wurde dieser Bereich eher vernachlässigt und so verwundert es nicht, dass diese Sicherheitslücke nun in den Fokus von Datendieben geraten ist. Das Auslesen der Informationen ist dabei kein Hexenwerk und kann ganz leicht mit einem Javascript durchgeführt werden. Der Angreifer übergibt dem Browser eine vorgefertigte Liste an Webadressen und der Browser meldet nun in wenigen Sekunden die Browserhistorie mit den besuchten Seiten zurück – natürlich mit den angehängten Parametern.

Was können die Angreifer damit tun?
Im einfachsten Fall werden die Daten verwendet um Ihnen maßgeschneiderte Werbung zu unterbreiten. Man kann aber auch Ihre Gewohnheiten, Kontakte und Diskussionen in Sozialen Netzen auslesen. Im schlimmsten Fall wäre es möglich Sessions zu übernehmen, sich in Ihrem Namen einzuloggen oder gezielte Phishing-Angriffe durchzuführen.

Was kann man dagegen tun?
Da dies Browserhistorie nur einen relativ begrenzten Wert für den Nutzer hat kann man recht gut auf sie verzichten. Im Firefox lässt sich die History ganz einfach unter „Extras > Einstellungen > Datenschutz“ abstellen oder auf kurze Zeiträume begrenzen.

Eine weitere Möglichkeit ist die Nutzung von Browser-Addons oder Desktop-Security Software. Diese anonymisiert die wichtigsten Eintragungen in Ihrem Browser.

Aber auch einfach wie simpel: nutzen Sie unterschiedliche Browser für unterschiedliche Dinge. Z.B. den Internet Explorer für Facebook und Firefox ausschließlich für das Homebanking. Dann sind Sie auch auf der sicheren Seite bis diese Sicherheitslücke geschlossen ist.

Interessante Links:

Web Tuts: CSS History Hacks – Auslesen von besuchten Webseiten

Jörg Schieb: Machen Social Networks gläsern?

Eine Kostprobe gefällig?