Spannender Artikel bei Zscaler Research (ja, das sind die mit dem komischen Cloud Scanning). Jeff Forristal liefert einen \u00dcberblick, welche M\u00f6glichkeiten es inzwischen gibt das Surfverhalten der Nutzer auszusp\u00e4hen. Da kommen Ideen zum Vorschein, auf die ich bisher gar nicht gekommen bin aber die durchaus nicht v\u00f6llig aus der Luft gegriffen sind, wenn man die Historie beteiligter Unternehmen wie Verisign ber\u00fccksichtigt:<\/p>\n
Nun aber zu den spannenden Sachen:<\/p>\n
Startseite<\/em>: Die meisten Startseiten werden nur beim Starten des Browsers oder \u00f6ffnen eines Fensters aufgerufen weil kaum jemand auf „Home“ klickt. Zusammen mit den dort vergebenen Cookies l\u00e4sst sich recht genau tracken, wann eine Person \u00fcblicherweise beginnt, im Internet zu surfen. Zusammen mit der IP-Adresse (Geolocation und Firmenzuordnung) kann man recht zuverl\u00e4ssig sagen, ob die Person von Zuhause oder aus der Firma surft. Apple leitet auch noch zu einer Omniture-Seite weiter (geh\u00f6rt zu Google), die Privatsp\u00e4re geht damit komplett fl\u00f6ten.<\/p>\n HTTPS<\/em>: Die meisten Browser unterst\u00fctzen irgendeine Art von Zertifikatsverifizierung, entweder mit CRLs oder OCSP. Insbesondere bei OCSP wird die Seriennummer des Zertifikats einer Webseite (z.B. der Commerzbank) an die Zertifizierungsstelle (z.B. Verisign) geschickt (ja, die Commerzbank hat ein TC Trustcenter-Zertifikat, mir geht’s aber um das Prinzip und Verisign ist b\u00f6se!). Folglich wei\u00df Verisign, wann auf bestimmte Webseiten mit HTTPS zugegriffen wurde. Und Verisign und ihre Tochterfirmen habe etwa 57% aller Zertifikate ausgestellt.<\/p>\n Anti-Phishing<\/em>: Praktisch jeder Browser bietet die M\u00f6glichkeit, eine Webseite vor dem Zugriff darauf pr\u00fcfen zu lassen, ob es sich um eine Phishing-Seite handelt. Einige Implementierungen verwenden eine lokal heruntergeladene Datenbank, vergleichbar Antivirus-Signaturen, andere schicken einen Hash der Seite an eine zentrale Datenbank. Opera mit SiteCheck l\u00e4sst sich jeden kompletten Rechnernamen schicken, der angesurft wird. Ganz toll!<\/p>\n Eigentlich kann man nur noch zwischen zwei unerw\u00fcnschten Situationen w\u00e4hlen. Verzichtet man auf Privatsp\u00e4re\u00c2\u00a0 und bekommt mehr Sicherheit oder will man mehr Privacy auf kosten der Sicherheit.<\/p>\n