Mai 06 2007

Anonym Surfen – Scripte als Datensammler

Möchte man seine Daten im beim surfen im Internet möglichst für sich behalten, sollte man sein Augenmerk nicht nur auf Cookies richten. Eine weitere Möglichkeit um Daten von Nutzern zu sammeln sind Scripte und aktive Inhalte.

Heutzutage bieten immer mehr Webseiten interaktive und schön animierte Funktionen an. Manche Anbieter wie Map24 oder GoogleMaps bestehen eigentlich nur noch aus interaktiven Inhalten. Doch über klassisches HTML sind diese Inhalte nicht mehr abzubilden. Dafür benötigt man Scripte: kleine Programme und Funktionen die auf den PC des Nutzers übertragen und dort ausgeführt werden. Ein klassisches Beispiel wäre hier das weit verbreitete JavaScript von Sun Mircosystems.

Diese kleinen Scripte führen also vorwiegend nützliche WebAnwendungen auf dem PC des Nutzer durch. Doch öffnet man auch Tür und Tor für andere Funktionalitäten. Neben dem ungewollten öffnen von Browserfenstern (POP-UP) oder dem deaktivieren von Kontextmenüs können -und werden- diese Scripts oft zum sammeln von Nutzerdaten genutzt.

Ebenso können auch Scripte Cookies hinterlegen, die über die normale Cookie-Behandlung häufig nicht blockiert werden (siehe Cookie-Artikel). Diese funktionieren aber in gleichem Maße wie ihre HTTP-Verwandten. Ebenso ist es über JavaScript möglich einen großen Teil der BrowserDaten auszulesen. Somit ist dem Anbieter bekannt welches BetriebsSystem ihr nutzt, welche Auflösung ihr fahrt und welchen Browser ihr benutzt. Und zusätzlich lassen sich noch einige Daten mehr auslesen. Ebenso gefährlich ist die Manipulation von nutzereigenen Dateien. Wenn euer PC nicht grundlegend geschützt ist, könnten Scripte ebenfalls Daten auf eurer Festplatte manipulieren. Mit Hilfe von Skripten ist es möglich Programmcode online nachzuladen, zu installieren und zu starten. Das kann, wenn in bösartiger Absicht geschehen, auch schädlicher Programmcode aus irgend einer zweifelhafter Quelle im Internet sein, zum Beispiel einen Wurm oder Trojaner.

Sehr beliebt ist auch das Browser-Hijacking. Hierbei wird mittels Skripten auf einer Webseite -unter Ausnutzung von Sicherheitslücken- ein bösartiges Programm installiert wird. Dabei werden die Einstellungen von FireFox oder des Internet Explorers so verändert, dass beim Start des Browsers Werbeseiten angezeigt werden, oder eingegebene Adressen zunächst auf Werbeseiten landen. Browser Hijacker sind dabei aber mehr als nur ein Ärgernis, weil diese Schädlinge oft im Hintergrund permanent weitere Schädlinge nachladen. Diese starten ihrerseits wieder neue Aktivitäten. Oft setzen sie sich hartnäckig im System fest, indem sie Registrierungsschlüssel ändern oder anlegen.

Aber bei Scripten liegt das Problem leider ähnlich wie bei Cookies gelagert: Verbietet man sie komplett werden viele interaktive Internetseiten nur noch begrenzt oder gar nicht funktionieren. Somit ist auch hier wieder der Verstand und das Augenmaß des Nutzers gefragt.

Um den Einsatz von Scripten kontrollieren zu können gibt es für FireFox ein hervorragendes Plugin: NoScript !
Auch wenn die Hersteller-Seite leider nur in Englisch zu haben ist, gibt es das Plugin in Deutsch. Hierbei wird ein kleines Icon in der unteren Statusleiste des Browsers hinterlegt. NoScript blockt von Hause aus erst einmal alle Scripte. Über einen einfach Linksklick auf das Symbol erscheint ein Menü das alle angeforderten Scripte der WebSite anzeigt. Über dieses KontextMenü kann der Nutzer dann für jedes Script einfach auswählen ob diese nicht, nur temporär oder immer ausgeführt werden soll. NoScript merkt sich die Entscheidung des Anwenders, die natürlich jederzeit geändert werden kann.

Aus meiner Sicht, ein Plugin das in keinem FireFox fehlen darf um der Flut der (DatenSammel- und Schad-)Scripte Herr zu werden. Lasst euch mal überraschen welche WebSites Scripte ausführen wollen, und wie viele ihr davon zuordnen könnt. Ihr werdet euch wunder wie oft Google oder Werbeunternehmen gerne Scripte ausführen möchten -und das lediglich um an Statistiken und Nutzerdaten zu kommen!

3 Kommentare

  • JGG

    Wie war das mit dem Artikel über IP´s usw – darauf warte ich gespannt 🙂

  • Eugen Wirz

    „das weit verbreitete JavaScript von Sun Mircosystems“
    tze, tze, tze… JavaScript ist verdammt nochmal nicht Java!
    Java ist von Sun und JavaScript von Netscape,
    diese Sprachen haben überhaupt nichts gemeinsam!

  • Jein, Java ist nicht JavaScript das stimmt soweit. Es wurde seinerzeit für den Netscape Navigator entwickelt, das stimmt auch. Allerdings ist JavaScript auch ein Trademark der Firma Sun Mircosystems. Ähnlichkeiten gibt es in soweit das JavaScript auch Objektorientiert ist und auch der Syntax viele Ähnlichkeiten aufweist, das wars dann aber auch schon.