proudly presents:
Beginnen wir mit Deinen Surf-Gewohnheiten:
(Mozilla und Opera liefern korrekte Ergebnisse, IE zeigt teilweise zu geringe Werte an.)
(Zugegeben, diese Anzeige hätte sich besser irgendwo weit unten gemacht. Dann jedoch kommt die Routine aufgrund der anderen Javascripts etwas durcheinander ... :-( )
Indem Du die genaue Version Deines Browsers und Betriebsystems preis gibst, kann ein Angreifer automatisiert Sicherheitslücken von genau dieser Browserversion ausnutzen. Das faken (Verfälschen) des verwendeten Browsers durch Tools wie Proxomiton (vgl. Guru Guide) kann jedoch im Einzelfall auch zu falsch aufgebauten Seiten führen, falls der Webmaster "gut gemeinte" Unterscheidungen eingebaut hat.
Bevor man auf einen Link klickt, sollte man sich durch einen Blick auf die Statuszeile ganz unten links im Browser vergewissern, dass dieser Link auch wirklich zu einer Seite führt, die durch den Klick aufgerufen werden soll!
Bevor Du nacheinander auf die folgenden beiden Links klickst, vergewissere Dich mit Hilfe der Statuszeile, dass sie auch wirklich zu www.disney.de führen ... müssten! ;-)
Dieser Link verhält sich normal: Besuche doch einmal Disneyland !
Dieser Link hier wurde gefaked:
Besuche doch einmal Disneyland !
Opera lässt sich hier nicht täuschen. Netscape und Mozilla zeigen in der Statuszeile gar keine Änderung bei 'onMouseOver', was dem Benutzer jedoch auch nicht hilft :-> Beim Internet Explorer sollte der Fake perfekt gelingen. Zum Schutz gegen solche Tricks gibt es mehrere Möglichkeiten, die sich alle mit Hilfe dieser Seite testen lassen:
![]() |
Bei einem einzelnen verdächtigen Link auf diesen klicken, ohne loszulassen! Statuszeile ablesen. Bei unerwünschtem Ziel Maus seitlich aus dem Link ziehen, erst dann loslassen. |
![]() |
Manche Browser bieten von
Haus aus Unterstützung gegen Manipulationen der Statuszeile. Bei
Netscape 7.x / Mozilla 1.x ist es z.B. unter: Bearbeiten-->Einstellungen-->Erweitert-->Scripte & PlugIns-->JavaScript folgende Aktionen erlauben: Statuszeilentext ändern |
![]() |
Proxomitron benützen! Dies ist die empfohlene Alternative, da bei Verwendung des betreffenden Filters alle Manipulationen der Statuszeile verhindert werden. |
Der Netscape 6 Browser hatte die Eigenart, zuerst JavaScript Routinen auszuführen und dann die URL in der Statuszeile anzuzeigen, so dass der Trick nicht funktioniert. Mit etwas Aufwand lassen sich aber auch Netscape 6 Browser täuschen <eg>. Das folgene Beispiel überlistet selbst den Proxomitron Filter in sofern, als dass für diesen Link gar keine Anzeige der Ziel-URL in der Statuszeile erscheint.
Etwas aufwändiger gefaked : Besuche doch einmal Disneyland !
![]() |
|
![]() |
Du findest Deine aktuelle IP-Adresse zusätzlich unten in der Statusanzeige. |
![]() |
Solltest Du jetzt über einen Proxy-Server surfen, so sollte an dieser Stelle die IP-Adresse des Proxies angezeigt werden (z.B. 141.76.1.121 für proxy2.anon-online.org)! Damit läßt sich überprüfen, ob die Proxy-Settings im Browser korrekt eingestellt sind. |
Falls Du Java eingeschaltet hast und den Internet Explorer oder Opera verwendest (andere Browser: siehe Hinweise zur Fehlersuche), siehst Du zwischen dieser ...
... und dieser Zeile Deine echte, physikalisch am PC konfigurierte IP-Adresse (bei vorhandener Netzwerkkarte) !
Was soll daran
besonders sein und warum ist sie anders als die öffentliche?
Falls Du Dich in einem Netzwerk mit "privatem" IP-Adressbereich (vgl. RFC1918)
befindest, bist Du in der Regel durch eine Firewall oder zuminest einen
Router vom Internet getrennt, der Deine "echte"
IP-Adresse (z.B. 192.168.0.1) in
eine öffentliche, routbare (z.B. 217.88.240.252)
IP-Adresse mittels NAT (network
address translation) umwaldelt.
Diese routbare Adresse (im Beispiel 217.88.240.252) ist Deine
"Fahrkarte durch's Internet" und Du hast aus Gründen der
Sicherheit keinerlei Interesse daran, dass zusätzlich Deine echte,
private IP-Adresse (z.B. 192.168.0.1
oder 10.0.0.1) im Internet bekannt
ist, da sie u.a. Rückschlüsse auf die Netzwerkstruktur hinter
der Firewall zulässt.
Falls Du nichts oder etwas Fehlerhaftes siehst, beachte folgende Hinweise zur Fehlersuche:
![]() |
Opera 7.x und Internet Explorer 6 funktionieren, Netscape 7.x / Mozilla 1.x funktionieren nicht mit dem mitgelieferten Java. Verwendet man Netscape/Mozilla nämlich erneut, nachdem Opera/Java installiert wurde, funktioniert die Anzeige auch mit Netscape/Mozilla! Opera wird mit einer Java Version von Sun ausgeliefert, die Du notfalls hier bekommst ... |
![]() |
An dieser Stelle auf dieser Seite
wurde Dir angezeigt, ob Java aktiviert ist. Solltest Du sicher sein, Java im Internet Explorer eingeschaltet zu haben, so muss dies für diejenige Zone geschehen
sein, die Du in der Statuszeile jetzt rechts unten siehst (i. d. R. die Zone "Internet"). Um zu vermeiden, dass Java nach dem Test versehentlich für alle Seiten aktiv bleibt, kann gurusheaven.de unter Extras --> Optionen --> Sicherheit zu den "vertrauenswürdigen Sites" hinzugefügt und für diese dann Java zugelassen werden. |
![]() |
Das Java Applett macht sich nicht die Mühe, die Proxy-Einstellungen des Browsers auszulesen und benötigt eine direkte Verbindung auf Port 80 in's Internet. Werden direkte http-Verbindungen ins Internet blockiert, weil z.B. zwingend ein Firmen-Proxy verwendet werden muss oder weil eine PFW direkte ausgehende Verbindungen des IE verhindert (weil sie Proxomitron umgehen), so erscheint: "Deine '_echte_' IP Adresse ist: ERROR". |
Du kommst von folgender Seite hier her:
Für die Auswertung des angezeigten Referers gibt es vier Möglichkeiten und es ist wichtig, die Unterschiede zu verstehen!
![]() |
Es wird die Seite angezeigt, von der Du tatsächlich kommst, z.B. nav_01.htm oder javascript.htm Ergebnis: Vorsicht! Dein Referer ist per JavaScript auslesbar! Proxomitron wurde nicht verwendet oder ist falsch konfiguriert |
![]() |
Es wird der Name dieser Anonymitäts-Test-Seite angezeigt (anonymitaets_test.shtml) Ergebnis: Hurra, so soll es sein! Proxomitron hat die JavaScript-Abfrage in Echtzeit so geändert, dass als verweisende URL die Zielseite erkannt wird. Dies hat den Vorteil, dass man damit auch Seiten besuchen kann, die zwingend das Vorhandensein eines Referers voraussetzen. |
![]() |
Text: "Der Referrer kann nicht ausgelesen werden." Ergebnis: Die URL wurde in der Browserzeile eingetippt oder ein Bookmark verwendet. |
![]() |
(Die Anzeige bleibt leer) Ergebnis: JavaScript ist nicht eingeschaltet. Auch dies verhindert das Auslesen des Referers! :-) |
Wichtig:
Der Referer wird stets zusätzlich als HTTP header übertragen. Die richtigen Gegenmaßnahmen werden im Javascript-Artikel beschrieben.
Jetzt kommt es noch dicker! Die folgende Tabelle verrät, auf welchen weiteren Seiten Du vor Kurzem warst bzw. welche Artikel Du gelesen hast!
Webseite | Besucht? |
---|
Klicke auf einen Link, bei dem steht: "Nein (oder nicht erkennbar)" und danach auf Aktualisieren / Reload!
Diesen CSS Exploit (Ausnutzen einer Sicherheitslücke) kannst Du derzeit nur vermeiden, in dem Du Deine Browser History häufig löschst:
Internet Explorer 6: Extras --> Internet Optionen --> Allgemein --> "Verlauf leeren"
Netscape / Mozilla: Bearbeiten --> Einstellungen --> Navigator --> History --> History löschen
Das Problem dabei ist, dass man das gar nicht möchte! Schliesslich ist es beim Surfen sehr hilfreich, bereits besuchte Links in einer anderen Farbe dargestellt zu bekommen.
Der Exploit beruht darauf, dass mittels Cascading Style Sheets für besuchte Links zunächst eine bestimmte Style Farbe gesetzt wird, die anschliessend durch JavaScript ausgelesen werden kann.
Nach einem Klick auf diesen Link öffnet sich ein weiteres Fenster, in dem alle auf Deinem Computer registrierten MIME-Types einschließlich der zugehörigen Dateiendungen aufgelistet werden.
Je nach installierter Software wird die Liste bis zu mehrere 100 Einträge (!) lang, daher wurde die Ausgabe auf eine eigene Seite gelegt.
Anhand der erkannten MIME Types (MIME=Multi-purpose Internet Mail Extensions) kann man eine ziemlich vollständige Liste der von Dir verwendeten Software konstruieren, da viele Dateiendungen nur für spezielle Applikationen verwendet werden (.ppt steht z.B. für M$ Powerpoint, .org steht für Lotus Organizer, usw.)! Entscheide selbst, ob es andere etwas angeht, welche Software Du installiert hast.
(Funktioniert mit Netscape, Mozilla und Opera, jedoch nicht mit Internet Explorer)
Es ist möglich, eine Webseite so zu konstruieren, dass der Browser versucht, mit Hilfe des Mail Clients fast vollautomatisch eine eMail an eine vorgegebene Adresse zu senden. Alle üblichen Parameter wie der Betreff und der Body werden an den Mail Client automatisch im Hintergrund übergeben! Was das im Zeitalter von SPAM bedeutet, muss man wohl nicht extra erklären ... ;-)
Doch nun zu den guten Nachrichten :-)
Alle bekannten Browserhersteller haben in neueren Versionen eine Sicheheitsabfrage eingebaut, die man mit OK bestätigen oder Abbrechen muss, bevor es weiter geht oder/und der Benutzer muss das Versenden im eMail Client bestätigen (wie bei Mozilla). Die Sicherheitswarnung könnte man allerdings zwischen mehreren Pop-Ups tarnen, um Surfer zu veranlassen, mehrmals ENTER zu drücken.
Ob Dein Browser Dich im Falle von automatisch versendeten eMails warnt und in welcher Form das geschieht, kannst Du auf dieser spzeziellen
Testseite für Automatische mails
herausfinden, die sich in einem neuen Browserfenster öffnen wird.
Guru's Heaven bietet diesen Service seit etwa Januar 2001 an. Service bedeutet, die Auto-eMails werden auf Wunsch wirklich an den Tester weiter geleitet. Mit zunehmender Spam-Problematik 2003 nahm die Zahl der eintreffenden automatischen eMails stark ab, vermutlich, weil den meisten Besuchern die Erfahrung genügt, dass die eMail wirklich abgebrochen werden konnte. Wir haben Verständnis! :-)
Möchtest Du wissen, was genau versendet wurde? Benütze bitte nur diesen Link, (nospam durch de ersetzen!) ich forwarde sie Dir gerne, falls Du die folgenden Punkte beachtest:
![]() |
Die eMail kann nur versendet worden sein, falls - JavaScript eingeschaltet war und - die Warnung im Browser mit OK bestätigt wurde oder gar keine Warnung kam In Fällen, wo bei der Sicherheitswarnung Abbruch gewählt wurde, ist keine eMail versendet worden und eine Nachfrage ist nicht sinnvoll. |
![]() |
Anfragen (mit dem Link 5 Zeilen höher) bitte zeitnah (innerhalb 2 Studen) stellen, um die Zuordnung zu erleichtern. |
![]() |
Bitte wenigstens ein paar sinnvolle Worte in den body (Textteil) der Mail schreiben, das unterscheidet die Mail sehr positiv von einem Wurm! :-) |
![]() |
Anfragen nach der Auto-eMail bitte möglichst von der selben eMail Adresse aus stellen, mit der die Tests in Guru's Heaven gemacht wurden. Abweichungen sind bei Nennung der betreffenden eMail Adresse möglich. |
Diese Demonstration versetzt einigen Usern erfahrungsgemäß einen regelrechten Schock. Sie wurde aus Gründen der Aufklärung hier aufgenommen, da sie auf manchen dubiosen Seiten als Argument verwendet wird, warum man unbedingt die angebotene Sicherheits-Software kaufen sollte ... :-(
Die Anzeige sollte zumindest bei Internet Explorer und Opera funktionieren. Doch nun einige Infos dazu, damit der Puls sich wieder beruhigt :-)
![]() |
Nein, man kann Deine Festplatte von hier aus nicht sehen. Es wurde lediglich in einer lokalen Darstellung das gezeigt, was angeklickt wurde. Wichtig: Die Aussage mit der Festplatte bezieht sich nur auf die drei Buttons! Falls Du keine (personal) Firewall verwendest und die Bindings Deiner Netzwerkkarte nicht geändert hast, kann man Deine Verzeichnis-Freigaben (Shares) durchaus im Internet sehen ! |
![]() |
Ist Dir eigentlich aufgefallen, dass diese verflixte Anzeige auch ohne Javascript funktioniert? Das führt uns gleich zum nächsten Punkt: |
![]() |
Wozu ist diese Funktion gut? Nun, ohne die Möglichkeit Deines Browsers, auf die Struktur Deiner Festplatte zuzugreifen, könntest Du nicht ein einziges File up- oder downloaden! |
![]() |
Es gibt unzählige Attacken auf Browser, die alle den nicht legitimen Zugriff auf files zum Ziel haben. Beliebtestes Angriffsziel ist aufgrund seiner Verbreitung der Internet Explorer. Achte auf stets aktuelle Sicherheitspatches, wie im Guru Guide beschrieben, damit Deine lokalen Files auch lokal bleiben! :-P |
Es gilt der vom Hauptmenu aus erreichbare Disclaimer von Guru's Heaven.
Ich distanziere ich mich ausdrücklich von jeglichen Seiten und deren Inhalten, auf die direkt oder indirekt verwiesen wird. Alle Inhalte geben die persönliche Meinung des Autors wieder. Der Autor hält die Inhalte für richtig und ist bestrebt, mit deren Nennung anderen zu helfen, kann Irrtümer jedoch nicht ausschliessen. Jegliche Haftung des Autors, die in direktem oder indirektem Zusammenhang mit den genannten Inhalten steht, ist ausgeschlossen.
Verwertung der Inhalte:
Jegliche Wiedergabe der Inhalte, egal in welcher Form, ist auch
auszugsweise nur mit schriftlicher Genehmigung von mir erlaubt. Links
zu Guru's Heaven sind sehr willkommen, es wird jedoch gebeten, auf die Hauptseite von
Guru’s Heaven zu verlinken.
Siehst Du keine
Frames oder nicht die von Guru's Heaven
? Hier, gelangst Du zur Hauptseite von Guru's Heaven! |
Free JavaScripts provided by The JavaScript Source |
![]() Zurück |