Firefox-Entwickler stopfen altes CSS-Leck

Verfasst am 31. März 2010, abends.

Das Aus für mein History-Schnüffel-Skript ist besiegelt. :-(

… zumindest für Firefox-Benutzer. Wie heise berichtet, haben sich die Entwickler um das Datenleck gekümmert, das durch CSS besteht und jedem Webseitenbetreiber theoretisch Rückschlüsse auf zuvor vom Nutzer besuchte Seiten erlaubt.

Wie der Trick funktioniert(e), erklärte ich bereits in der Beschreibung für die oben genannte Schnüffelseite. Ich fasse dennoch kurz zusammen:
Der neugierige Webseitenbetreiber präpariert eine Internetseite mit Links auf verschiedene Internetseiten. Browser sind dabei in der Lage, bereits besuchte Links anders zu formatieren; häufig werden nicht geklickte Links blau und besuchte Links violett dargestellt – Gestalter können diese aber ganz nach Belieben formatieren. So ist es auch möglich, eigene Hintergrundbilder nur für besuchte Links einzubinden und genau da liegt das Problem: Man muss als Hintergrundbild nicht zwingend ein .png, .jpg oder .gif angeben, es tut auch bspw. eine präparierte PHP-Datei, die beim Laden etwa einen Eintrag in die Datenbank des „Datendiebs“ schreibt.

Die Firefox-Entwickler schieben dieser gestalterischen Freiheit jetzt jedoch einen Riegel vor. Auszug aus dem Mozilla Security Blog:

Visited links can only be different in color: foreground, background, outline, border, SVG stroke and fill colors. All other style changes either leak the visitedness of the link by loading a resource or changing position or size of the styled content in the document, which can be detected and used to identify visited links.

Es beruhigt mich durchaus ein wenig, dass man sich um diese Problematik kümmert. Heise berichtete bereits 2007 darüber und im Bug-Tracker von Mozilla wurde schon im Jahr 2000 erstmals auf das Problem hingewiesen.

Ich werde die Sache mal weiterhin beobachten und wieder testen, wenn der angepasste Firefox in Repositories von Arch Linux aufgetaucht ist. Außerdem bin ich gespannt, wie vielen Internetseiten man diese neue gestalterische Einschränkung ansehen wird und ob andere Browser nachziehen.

Schlagwörter: css, datenschutz, firefox, projekte

Außerdem: kommentieren | weitersagen

Neues Projekt online

Verfasst am 30. Januar 2010, zur Kaffeezeit.

„Ich weiß, was du letzten Sommer getan hast!“ – oder zumindest, wo du dich im Internet herumgetrieben hast.

In den letzten Tagen habe ich kein kleines PHP-Skript geschrieben, das anhand der Seitenbesuche eines Benutzers ihm dazu passende Eigenschaften verpasst:

Besuche auf „Social Networks“ werden genauso erkannt, wie Zugriffe auf Schmuddelseiten. Wie das Ganze genau funktioniert, kann man in der Projekt-Beschreibung nachlesen. Ausprobieren kann man’s hier:

http://stalker.andwil.de

Keine Sorge, mir liegt Datenschutz sehr am Herzen – deshalb wird auch nichts dauerhaft protokolliert.

Mit einer frisch geleerten Browser-Chronik ist die Ausgabe des Skripts recht übersichtlich, bitte nicht wundern. Außerdem macht die Firefox-Erweiterung NoScript in ihrer aktuellen Version etwas Probleme: Der Button, um das Skript aufzurufen, ist ausgegraut und lässt sich daher nicht klicken. Warum das so ist, ist mir noch nicht ganz klar – vermutlich sehe ich nur wieder den Wald vor lauter Bäumen nicht. ;-)

Vorsichtige NoScript-Nutzer können sich das Projekt allerdings mit einem anderen Browser und deaktiviertem JavaScript problemlos ansehen. Alternativ kann man sich natürlich mit einem Blick in den übersichtlichen Quelltext davon überzeugen, dass kein schadhafter JS-Code ausgeführt wird.

Die grundsätzliche Funktion des Skripts wird ohnehin allein durch PHP und CSS realisiert. Wie das genau funktioniert, findet sich wie gesagt in der Projekt-Beschreibung.

Für Anmerkungen und verbesserungsvorschläge bin ich wie immer offen!

Schlagwörter: browser, css, datenschutz, php, projekte

Außerdem: kommentieren | weitersagen

Ein Wiki für unterwegs

Verfasst am 8. Januar 2010, vormittags.

Kürzlich unterhielt ich mich mit Frau Havoc – ihres Zeichens PTA – darüber, wie sie ihre alten Ausbildungsunterlagen sinnvoll per Computer archivieren, verwalten und editieren kann. Ein kleines LaTeX-Büchlein wäre sicher eine wirklich hübsche Sache gewesen, aber im Vorfeld zu viel Arbeit und letztlich vielleicht doch nicht was, was sie eigentlich wollte.

Nächste Option: Ein Wiki. Nicht weiter nachgedacht, XAMPP runtergeladen und installiert. Doch noch am selben Abend stellten wir fest, dass eine portable Lösung auf einem USB-Stick noch viel eleganter wäre. Den kann man auch mal mit zu Kollegen nehmen und er funktioniert auch, wenn der heimische PC gerade mal nicht will. ;-)

Was brauchen wir dafür? Einen portablen Webserver und natürlich eine geeignete Wiki-Software! Wir entschieden uns für DokuWiki (es benötigt kein MySQL und ist nicht so ein großes Ungetüm wie MediaWiki).

Als Webserver wird MoWeS Portable eingesetzt. Mit dem “Mixer” kann man sich eine eigene Software-Kompilation zusammenstellen und verschiedene CMS gleich mit einbinden. Mit rund 66MB ist das Grundgerüst unseres Wiki-Sticks übrigens nur halb so groß wie mit XAMPP!

Dazugelegt hab ich noch Firefox Portable, damit man auch auf Rechnern ohne Firefox den besten Browser der Welt benutzen kann. Für mehr Komfort sorgt die hinzugefügte Wiki-Suche in der Suchleiste und für mehr übersicht die ausgeblendete Menü-Leiste.

Das wär’s wohl, das (hoffentlich) rund-um-sorglos-Paket. USB-Stick anschließen und Server starten. Firefox öffnet automatisch das Wiki – keinerlei lokale Installation notwendig und alles freie Open-Source-Software.

Ich bin gespannt, wie Havoc damit zurechtkommt und ob wir noch weitere Veränderungen oder Ergänzungen vornehmen. Ich bin jedenfalls schon ein kleines bisschen begeistert. ;-) So sieht es übrigens (auf meiner Virtual Machine) aus:

Ach ja: Bei unseren Recherchen stießen wir auch auf „Dokuwiki on a Stick“, das eigentlich alles beinhaltete, was wir brauchten: Einen schlanken Webserver und vorinstalliertes DokuWiki. Leider waren sowohl Server als auch Wiki veraltet und die neuen Versionen wollten nicht so richtig. Trotzdem ein hübsches Projekt, da es noch weniger Speicher frisst als meine Lösung und ohne überflüssige MySQL-Datenbank auskommt (die wird von MoWeS Portable offenbar unbedingt benötigt).

Nachtrag vom 4. Mai 2010: Heute habe ich mit TiddlyWiki eine schlanke Alternative vorgestellt, die für kleine Projekte evt. praktikabler ist.

Schlagwörter: foss, projekte, windows

Außerdem: Kommentare [1] | weitersagen