Browser 'Privacy Modes' nicht so privat nach allen

Alle großen Web-Browser haben einen Datenschutzmodus, der die Spuren eines Benutzers abdecken soll, nachdem er eine Internetsitzung beendet hat, aber ein Trio von Forschern hat herausgefunden, dass diese Modi nicht alle Aktivitäten eines Internet-Surfers löschen.

Zum Beispiel hat Mozilla Firefox ein so genanntes "benutzerdefiniertes Handler-Protokoll", das URLs erzeugt, die auch nach dem Verlassen des Privatsphären-Modus hängen bleiben.

Artwork: Peter und Maria HoeySecure-Zertifikate können auch dazu verwendet werden, den Zweck zu vereiteln von Datenschutzmodi. Firefox, Internet Explorer und Safari unterstützen alle die Verwendung von SSL-Client-Zertifikaten. Eine Website kann durch JavaScript einen Browser anweisen, ein öffentliches / privates Schlüsselpaar eines SSL-Clients zu generieren. Dieses Schlüsselpaar wird vom Browser auch nach dem Ende der Datenschutzsitzung beibehalten. Wenn eine Site ein selbstsigniertes Zertifikat verwendet, speichern IE und Safari darüber hinaus das Zertifikat lokal in einer Microsoft-Zertifikatsverwaltung und bleiben dort, wenn die Datenschutzsitzung beendet wird. So kann jeder, der weiß, wo er danach suchen muss, einen Überblick über die Internet-Reisen eines Benutzers erhalten.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Der Internet Explorer bläst auch die Privatsphäre eines Benutzers Modus, wenn es SMB-Anfragen mit einem Web-Server initiiert. "Selbst wenn der Benutzer hinter einem Proxy ist, den Browserstatus löscht und InPrivate verwendet, identifizieren SMB-Verbindungen den Benutzer mit der Gegenstelle", so die Forscher - Gaurav Aggarwal und Dan Boneh von der Stanford University und Colin Jackson von Carnegie Mellon University - schrieb in einem Papier, das nächste Woche auf dem Usenix Security Symposium in Washington vorgestellt werden soll.

Allerdings stellte das Trio fest, dass der SMB-Fehler vernachlässigbar ist, da viele ISPs den SMB-Port 445 filtern.

Sie hat auch eine rote Fahne über das Potenzial für Browser-Add-Ons, Privatsphäre-Modi zu untergraben. "Browser-Add-Ons (Erweiterungen und Plug-Ins) stellen ein Datenschutzrisiko für das private Browsen dar, da sie den Status auf dem Datenträger über das Verhalten eines Benutzers im privaten Modus beibehalten können", schrieben die Forscher.

"Die Entwickler dieser Add-Ons Bei der Entwicklung ihrer Software mag der private Browsing-Modus nicht in Betracht gezogen worden sein, und ihr Quellcode unterliegt nicht der strengen Prüfung der Browser ", fügten sie hinzu.

Die Forscher fanden auch einen Weg für Webmaster, festzustellen, ob ein Benutzer war Zugriff auf ihre Website im Datenschutzmodus. Sie räumten jedoch ein, dass die von ihnen verwendete Technik einen Angriff ausnutzte, der bereits in Safari behoben worden war, bald in Firefox heruntergefahren werden sollte und bald in IE und Chrome geschlossen werden sollte.

Die Quintessenz von die Forschung des Trios: Mach im Privacy-Modus nichts, was du nicht tun würdest, wenn dein Boss dir über die Schulter schaut.