Dank ETags und Caching auch ohne Cookies User ausspionieren
Kommentare

Der niederländische Entwickler mit dem Nickname „Lucb1e“ hat eine sehr heimliche Variante vorgestellt, das Nutzerverhalten von Website-Gästen zu beobachten. Bei dieser nutzt man das Browser-Caching aus.

Der niederländische Entwickler mit dem Nickname „Lucb1e“ hat eine sehr heimliche Variante vorgestellt, das Nutzerverhalten von Website-Gästen zu beobachten. Bei dieser nutzt man das Browser-Caching aus. Dazu braucht man lediglich ein Bild zu übertragen, das mit einer Entitätmarke (ETag) versehen wurde. Über ETags gleichen Browser und Server Website-Assets ab; ist das ETag auf beiden Seiten gleich, muss ein Bild kein zweites Mal übertragen werden und kann aus dem Browser Cache genommen werden.

Freilich kann der gewitzte Webentwickler nun dahergehen, und anstatt der Prüfsumme des Bildes auch einen individuellen Code an jeden User ausgeben. Gleichzeitig erstellt er eine Tabelle mit sämtlichen Tags und Informationen, die er sammeln will. Kommt der User an einem anderen Wochentag wieder, fragt dessen Browser beim Server nach, ob das ETag des gecacheten Bildes noch aktuell ist, und die Falle schnappt zu.

Lucb1e stieß bei seiner Implementierung auf einige kleine Fehler und Hacks, die das Projekt noch interessanter machen. Nämlich setzte er sich zum Ziel, auch die vorsichtigsten Nutzer noch verfolgen zu können. So zeigt er ihnen, wie wirkungslos das Abschalten von JavaScript und Cookies sein kann. Dennoch zeigt er auch ein paar Tricks, wie man sich als User halbwegs vor solchen Spielchen schützen kann. Doch schaut Euch den WTFPL-lizenzierten Code am besten selbst auf GitHub an. Eine Live-Demo hat er auf seiner Homepage gehostet.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -