Spannender Artikel bei Zscaler Research (ja, das sind die mit dem komischen Cloud Scanning). Jeff Forristal liefert einen Überblick, welche Möglichkeiten es inzwischen gibt das Surfverhalten der Nutzer auszuspähen. Da kommen Ideen zum Vorschein, auf die ich bisher gar nicht gekommen bin aber die durchaus nicht völlig aus der Luft gegriffen sind, wenn man die Historie beteiligter Unternehmen wie Verisign berücksichtigt:
- Toolbars (Alexa, Google, Yahoo und Co), aber das ist Opt-In, die installiert sich jeder selbst
- Phorm und andere Sachen die beim Provider laufen, lassen wir aber auch außer acht
- Interne Firmenproxys die alles auswerten sind anscheinend bei Post und Bahn und den meisten anderen Großkonzernen sowieso üblich
Nun aber zu den spannenden Sachen:
Startseite: Die meisten Startseiten werden nur beim Starten des Browsers oder öffnen eines Fensters aufgerufen weil kaum jemand auf „Home“ klickt. Zusammen mit den dort vergebenen Cookies lässt sich recht genau tracken, wann eine Person üblicherweise beginnt, im Internet zu surfen. Zusammen mit der IP-Adresse (Geolocation und Firmenzuordnung) kann man recht zuverlässig sagen, ob die Person von Zuhause oder aus der Firma surft. Apple leitet auch noch zu einer Omniture-Seite weiter (gehört zu Google), die Privatspäre geht damit komplett flöten.
HTTPS: Die meisten Browser unterstützen irgendeine Art von Zertifikatsverifizierung, entweder mit CRLs oder OCSP. Insbesondere bei OCSP wird die Seriennummer des Zertifikats einer Webseite (z.B. der Commerzbank) an die Zertifizierungsstelle (z.B. Verisign) geschickt (ja, die Commerzbank hat ein TC Trustcenter-Zertifikat, mir geht’s aber um das Prinzip und Verisign ist böse!). Folglich weiß Verisign, wann auf bestimmte Webseiten mit HTTPS zugegriffen wurde. Und Verisign und ihre Tochterfirmen habe etwa 57% aller Zertifikate ausgestellt.
Anti-Phishing: Praktisch jeder Browser bietet die Möglichkeit, eine Webseite vor dem Zugriff darauf prüfen zu lassen, ob es sich um eine Phishing-Seite handelt. Einige Implementierungen verwenden eine lokal heruntergeladene Datenbank, vergleichbar Antivirus-Signaturen, andere schicken einen Hash der Seite an eine zentrale Datenbank. Opera mit SiteCheck lässt sich jeden kompletten Rechnernamen schicken, der angesurft wird. Ganz toll!
Eigentlich kann man nur noch zwischen zwei unerwünschten Situationen wählen. Verzichtet man auf Privatspäre und bekommt mehr Sicherheit oder will man mehr Privacy auf kosten der Sicherheit.
Hier der komplette Artikel: Those who know where and when you surf