{"id":12019,"date":"2017-12-07T14:41:38","date_gmt":"2017-12-07T13:41:38","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=12019"},"modified":"2017-12-06T10:44:21","modified_gmt":"2017-12-06T09:44:21","slug":"ein-gigantisches-auge-schaut-uns-beim-websurfen-ueber-die-schulter","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=12019","title":{"rendered":"Ein gigantisches Auge schaut uns beim Websurfen \u00fcber die Schulter"},"content":{"rendered":"

 <\/p>\n

\"\"<\/a><\/p>\n

Das n\u00e4chste Mal, wenn man eine Webseite \u00f6ffnet, stelle man sich vor, dass gleichzeitig eine Filmcrew eintrifft. Ein Kameramann platziert seine Kameralinse direkt \u00fcber der eigenen Schulter und zwar so blitzartig schnell, dass die Webseite, die man gerade aufruft, noch nicht einmal vollst\u00e4ndig geladen ist. Da hat die mitschauende Kameralinse bereits alles auf dem Bildschirm gierig erfasst. Jeder Mausklick, Scroll und Tastenschlag wird registriert. Unrealistisch? Mit Nichten, denn man vergisst allzu gerne, dass die virtuelle Linse existiert, alles sieht und speichert. So bewegt man sich beispielsweise durch den Checkout-Prozess und wird nach Namen, Adresse und Bezahlmodalit\u00e4ten gefragt. Solange die Daten noch unversendet auf dem Bildschirm stehen, klebt der Kameramann die Kreditkartennummer mit einem Klebesteifen ab und filmt dann alles. Clever, denkt man noch, dass er die Kreditkartennummer abgedeckt hat, doch Name, Adresse, Email, Kartenf\u00e4lligkeit wurde vom Tape nicht verdeckt. Prompt f\u00e4llt einem ein, dass der Kameramann beim Log-in das Passwort ebenfalls nicht abgedeckt hat \u2013 Ungemach macht sich breit. Nat\u00fcrlich ist diese Geschichte nicht wahr. Das alles passiert n\u00e4mlich ohne Kameramann.<\/p>\n

<\/p>\n

Das allwissende, gierige Auge Saurons<\/strong><\/p>\n

JavaScript ist f\u00fcr dieses Szenario verantwortlich. Eine Programmiersprache, die in Webseiten eingebettet wird und die \u2013 mehr als jede andere Technologie \u2013 das WWW von einer Sammlung an Dokumenten zu einer Kollektion von interaktiven Apps verwandelt. Die betagte, funktionsreiche und etablierte Werkzeugtasche beult sich mit so n\u00fctzlichen Sachen, wie: clientX- und clientY-Tools, die die exakte Lokalisierung des Cursors erfassen. Das onkeypress-Ereignis, das jeden Tastendruck verfolgt. Die value-Eigenschaft, die den Inhalt von Formularfeldern festh\u00e4lt. Und dar\u00fcber hinaus unz\u00e4hlige Objekte, Eigenschaften und Ereignisse, die Webseiten Zugang zu allem m\u00f6glichen geben, vom aktuellen Aufenthaltsort bis zum Akkustatus des Laptops.<\/p>\n

JacaScript Funktionen lassen sich verbinden, so dass sich jede winzige Aktion, die man auf der Webseite macht, aufgenommen wird. Das Skript, dass die Session wiedergibt, operiert wie ein stiller Kameramann. Diese Skripte sind nicht sinnfrei. Sie existieren, um den Webseiten-Betreibern bei der Verbesserung ihrer Seite zu helfen, indem sie das User-Verhalten beobachten. Aber: wie viele Webseiten-Nutzer realisieren, dass da gerade gigantische Mengen an Daten gesammelt werden und dass ihre Entscheidung, die Ware im virtuellen Einkaufskorb nun zur Kasse zu bringen oder die Seite zu verlassen, v\u00f6llig egal ist, und s\u00e4mtliche geernteten Daten unter den Fittichen von ausgelagerten Tracking-Firmen sind?<\/p>\n

Abhilfe schaffen<\/strong><\/p>\n

Eine aktuelle Studie von Wissenschaftlern der Princeton Universit\u00e4t zur Exfiltration von pers\u00f6nlichen Daten durch Session-Replay Skripte zeigte, in welchem Ausma\u00df dieser Code auf ganz normalen Webseiten eingesetzt wird, darunter bei hp.com, intel.com, costco.com und gap.com. Zwar sollte jeder Webseitenbetreiber darauf achten, dass die pers\u00f6nlichen Daten der Besucher nicht vom alles verschluckenden Auge Saurons gesehen werden. Bislang kann man sich darauf jedoch nicht verlassen. Aber Nutzer des Internets haben M\u00f6glichkeiten, sich vor solchen Machenschaften zu sch\u00fctzen und es kommt vielleicht sogar Hilfe von offizieller Seite:<\/p>\n