Hi gibt es einen history kill script für mozilla fire fox in proxomitron ???
siehe dazu http://www.gurusheaven.de/security/anon ... test.shtml
script für Mozilla Firefox 9.2 ??? ( History kill )
-
-
Fortgeschrittener - Beiträge: 60
- Registriert: Di, 28 Okt 2003 19:14
- Wohnort: NRW
von Michael » Do, 19 Aug 2004 17:14
Hallo,
jetzt habe ich gesehen, was du meinst.
Der Effekt hat mit der History nichts zu tun.
Bei modernen Browsern kann ein Skript nicht nur bestimmen, wie der Browser ein Element darstellen soll, sondern es kann auch im Nachhinein abfragen, wie der Browser ein Element dargestellt hat.
Das Skript auf der Seite prüft einfach nur, welche der vorgegebenen Links vom Browser in einer anderen Farbe dargestellt werden. Da besuchte Webseiten von den meisten Browsern anders eingefärbt werden, ist so ein Rückschluss auf bereits besuchte Webseiten möglich.
Ich muss sagen, dass ich das Skript wirklich sehr clever finde. Dummerweise handelt es sich bei der zugrunde liegenden Funktion um eine beabsichtigte, standardkonforme Verhaltensweise.
Wenn der Trick bekannter wird, dann werden vermutlich viele Sites solche Linklisten skriptgesteuert erzeugen und als eine Art Super-Referrer benutzen.
Das ist schon eine bedenkliche Sache. Man kann damit nicht nur den Erfolg von Partnerprogrammen messen, sondern auch prüfen, ob der Besucher auch schon bei der Konkurrenz geguckt hat, welche News-Seiten er liest, ob er die Meldung über eine bestimmte Sicherheitslücke schon gelesen hat, ob er Warez-Seiten besucht, ob er bestimmte Pornoseiten besucht, usw...
Als Abhilfe fällt mir im Moment nur ein, den Skriptzugriff auf Objekte vom Typ anchor zu blockieren. Mit den Mitteln der Profi-Edition ist das möglich.
Ich habe inzwischen versucht, im Web und im Usenet Meldungen oder Diskussionen zu diesem Thema zu finden. Ich habe absolut nichts gefunden. Seltsam.
Irgendwoher muss Olaf das Skript ja haben. Evtl. hat der Entdecker die Sache tatsächlich nicht veröffentlicht und nur unter der Hand weitergegeben.
Ich denke, ich schreibe jetzt erst einmal einen Bugreport für Opera.
Gruß,
Michael
jetzt habe ich gesehen, was du meinst.
Der Effekt hat mit der History nichts zu tun.
Bei modernen Browsern kann ein Skript nicht nur bestimmen, wie der Browser ein Element darstellen soll, sondern es kann auch im Nachhinein abfragen, wie der Browser ein Element dargestellt hat.
Das Skript auf der Seite prüft einfach nur, welche der vorgegebenen Links vom Browser in einer anderen Farbe dargestellt werden. Da besuchte Webseiten von den meisten Browsern anders eingefärbt werden, ist so ein Rückschluss auf bereits besuchte Webseiten möglich.
Ich muss sagen, dass ich das Skript wirklich sehr clever finde. Dummerweise handelt es sich bei der zugrunde liegenden Funktion um eine beabsichtigte, standardkonforme Verhaltensweise.
Wenn der Trick bekannter wird, dann werden vermutlich viele Sites solche Linklisten skriptgesteuert erzeugen und als eine Art Super-Referrer benutzen.
Das ist schon eine bedenkliche Sache. Man kann damit nicht nur den Erfolg von Partnerprogrammen messen, sondern auch prüfen, ob der Besucher auch schon bei der Konkurrenz geguckt hat, welche News-Seiten er liest, ob er die Meldung über eine bestimmte Sicherheitslücke schon gelesen hat, ob er Warez-Seiten besucht, ob er bestimmte Pornoseiten besucht, usw...
Als Abhilfe fällt mir im Moment nur ein, den Skriptzugriff auf Objekte vom Typ anchor zu blockieren. Mit den Mitteln der Profi-Edition ist das möglich.
Ich habe inzwischen versucht, im Web und im Usenet Meldungen oder Diskussionen zu diesem Thema zu finden. Ich habe absolut nichts gefunden. Seltsam.
Irgendwoher muss Olaf das Skript ja haben. Evtl. hat der Entdecker die Sache tatsächlich nicht veröffentlicht und nur unter der Hand weitergegeben.
Ich denke, ich schreibe jetzt erst einmal einen Bugreport für Opera.
Gruß,
Michael
-
-
Moderator - Beiträge: 5084
- Registriert: Di, 23 Okt 2001 19:40
von Harald » Fr, 20 Aug 2004 1:07
Hallo Ihr,
habe diese Seite mal besucht, bei mir zeigt er überhaupt nichts an, entweder er bekommt keine auswertbaren Informationen, oder die Seite kann sie nicht auslesen. Selbst den Refererrer bekam die Seite nicht hin. Es hätte ja zumindest die eigene URL dort stehen müßen.
Gruß Harald
habe diese Seite mal besucht, bei mir zeigt er überhaupt nichts an, entweder er bekommt keine auswertbaren Informationen, oder die Seite kann sie nicht auslesen. Selbst den Refererrer bekam die Seite nicht hin. Es hätte ja zumindest die eigene URL dort stehen müßen.
Gruß Harald
In keiner Weise dürfen wir uns dazu bewegen lassen,
die Stimme der Menschlichkeit in uns zum Schweigen zu bringen...
Albert Schweitzer
die Stimme der Menschlichkeit in uns zum Schweigen zu bringen...
Albert Schweitzer
-
-
Proxomaximus Omnisapiens - Beiträge: 2135
- Registriert: Di, 02 Sep 2003 13:15
von Michael » Fr, 20 Aug 2004 1:37
Hallo,
wie ich sehe, ist das Problem bei den Mozilla-Entwicklern seit Mai 2002 bekannt und kann wohl nicht gelöst werden.
http://bugzilla.mozilla.org/show_bug.cgi?id=147777
Dann hätte ich mir die Meldung an Opera ja sparen können. Die werden dann sicher auch schon längst Bescheid wissen.
Gruß,
Michael
wie ich sehe, ist das Problem bei den Mozilla-Entwicklern seit Mai 2002 bekannt und kann wohl nicht gelöst werden.
http://bugzilla.mozilla.org/show_bug.cgi?id=147777
Dann hätte ich mir die Meldung an Opera ja sparen können. Die werden dann sicher auch schon längst Bescheid wissen.
Gruß,
Michael
-
-
Moderator
- Beiträge: 5084
- Registriert: Di, 23 Okt 2001 19:40
von HighTower » Fr, 20 Aug 2004 12:34
Ich würd sie dennoch anschreiben vielleicht ist das prob nur vergessen oder verschoben worden es stellt für mich ne große gefahr dar und ich denke für andere auch kann man nichts im proxomitron einschalten damit man dies nicht mehr auslesen kann ? also ich wüsste jetzt nicht was genau zu blocken wär hab ich noch nicht mit den scripts von proxo auseinander gesetzt vielleicht wirds ja jetzt zeit dafür 
Nochmals Großes Lob an die Macher von Proxomitron echt gelungens programm
Nochmals Großes Lob an die Macher von Proxomitron echt gelungens programm
H.T
-
-
Fortgeschrittener
- Beiträge: 60
- Registriert: Di, 28 Okt 2003 19:14
- Wohnort: NRW
von HighTower » Fr, 20 Aug 2004 12:36
Michael hat geschrieben:Hallo,
Als Abhilfe fällt mir im Moment nur ein, den Skriptzugriff auf Objekte vom Typ anchor zu blockieren. Mit den Mitteln der Profi-Edition ist das möglich.
Gruß,
Michael
wo finde ich diese ?
H.T
-
-
Fortgeschrittener
- Beiträge: 60
- Registriert: Di, 28 Okt 2003 19:14
- Wohnort: NRW
idGet filtern ???
von Kx » Fr, 20 Aug 2004 18:06
Habs jetzt noch nicht verifiziert.
ABer wie mir scheint würde ein Ausfiltern dieses Befehls das Problem lösen.
(Wobei allerdings zahlreiche CSS-Features entfallen würden...)
lnk.irgendwas lässt dann den Zugriff auf die Farben und damit auf die History zu.
Vielleicht mag sich das ja mal wer anschauen
ABer wie mir scheint würde ein Ausfiltern dieses Befehls das Problem lösen.
(Wobei allerdings zahlreiche CSS-Features entfallen würden...)
- Code: Alles auswählen
var lnk=idGet("s" + i);
lnk.irgendwas lässt dann den Zugriff auf die Farben und damit auf die History zu.
Vielleicht mag sich das ja mal wer anschauen
-
Proxo-Kenner - Beiträge: 107
- Registriert: Do, 12 Aug 2004 15:35
von Sacharja » Fr, 20 Aug 2004 20:57
Hallo,
das Problem schreit förmlich nach Proxomitron. Genau für solche Aufgaben ist Proxomitron meiner Meinung nach gedacht. Opera wird das Problem kaum lösen, da sie damit einige User verkraulen würden, die die Funktionen nutzen wollen. Aber mit Proxomitron hat jeder die Wahl, ob er nur genau dieses Skript oder die ganze Funktion abschalten möchte
Könnte man nicht (per Filter oder CSS) das Styling von besuchten Links deaktivieren? Die meisten User verwenden doch sowieso ihren eigenen Link Style.
Gruß,
Sacharja
das Problem schreit förmlich nach Proxomitron. Genau für solche Aufgaben ist Proxomitron meiner Meinung nach gedacht. Opera wird das Problem kaum lösen, da sie damit einige User verkraulen würden, die die Funktionen nutzen wollen. Aber mit Proxomitron hat jeder die Wahl, ob er nur genau dieses Skript oder die ganze Funktion abschalten möchte
Könnte man nicht (per Filter oder CSS) das Styling von besuchten Links deaktivieren? Die meisten User verwenden doch sowieso ihren eigenen Link Style.
Gruß,
Sacharja
-
-
Proxo-Legende - Beiträge: 1091
- Registriert: Fr, 07 Mär 2003 13:02
von Michael » Fr, 20 Aug 2004 22:52
@Knurx:
Ich habe das Skript schon verstanden. Und ich gehe davon aus, dass auch andere Forumsteilnehmer mit ausreichenden JavaScript-Kenntnissen die Funktionsweise verstanden haben.
Eine Lösung der Problems ist allerdings ziemlich aufwändig.
Es gibt einige verschiedene Wege, um Eigenschaften von Links abzufragen.
@Sacharja
Browserhersteller könnten das Problem auf jeden Fall am besten lösen.
Sie müssten dafür sorgen, dass Eigenschaften, die mit der Pseudoklasse ":visited" verknüpft sind, nicht von Skripten ausgelesen werden können.
Die Hervorhebung besuchter Links kann man auch jetzt schon in Opera und Mozilla deaktivieren.
Als Lösung würde ich aber einen Zustand anstreben, bei dem besuchte Links zwar für den Benutzer noch hervorgehoben werden, aber für Skripten nicht mehr zugänglich sind.
Ich habe verschiedene Ansatzpunkte und Vorgehensweisen durchdacht, habe aber noch keine perfekte Lösung gefunden.
Im Moment erscheint es mir als am viel versprechendsten, die "getElementBy..."-Aufrufe abzufangen und nur Elemente zurückzugeben, die nicht vom Typ anchor sind.
Dabei gibt es aber ein Problem: Dank Microsoft haben wir auch noch das Objekt "document.all", über das sich ebenfalls alle Elementknoten erreichen lassen. Und Objekte kann man nicht einfach umdefinieren.
Eigentlich habe ich auch gar keine Zeit, um mich darum zu kümmern. Ich muss unbedingt die Webseiten fertig bekommen und die Pakete aktualisieren. Es haben sich viele Verbesserungen angesammelt und vermutlich denken auch schon viele Nutzer, dass ich nach Scotts Tod keine Lust mehr hätte, weiterzumachen. Es ist ja nur ein winziger Bruchteil der Nutzer hier im Forum Mitlgied.
Gruß,
Michael
Ich habe das Skript schon verstanden. Und ich gehe davon aus, dass auch andere Forumsteilnehmer mit ausreichenden JavaScript-Kenntnissen die Funktionsweise verstanden haben.
Eine Lösung der Problems ist allerdings ziemlich aufwändig.
Es gibt einige verschiedene Wege, um Eigenschaften von Links abzufragen.
@Sacharja
Browserhersteller könnten das Problem auf jeden Fall am besten lösen.
Sie müssten dafür sorgen, dass Eigenschaften, die mit der Pseudoklasse ":visited" verknüpft sind, nicht von Skripten ausgelesen werden können.
Die Hervorhebung besuchter Links kann man auch jetzt schon in Opera und Mozilla deaktivieren.
Als Lösung würde ich aber einen Zustand anstreben, bei dem besuchte Links zwar für den Benutzer noch hervorgehoben werden, aber für Skripten nicht mehr zugänglich sind.
Ich habe verschiedene Ansatzpunkte und Vorgehensweisen durchdacht, habe aber noch keine perfekte Lösung gefunden.
Im Moment erscheint es mir als am viel versprechendsten, die "getElementBy..."-Aufrufe abzufangen und nur Elemente zurückzugeben, die nicht vom Typ anchor sind.
Dabei gibt es aber ein Problem: Dank Microsoft haben wir auch noch das Objekt "document.all", über das sich ebenfalls alle Elementknoten erreichen lassen. Und Objekte kann man nicht einfach umdefinieren.
Eigentlich habe ich auch gar keine Zeit, um mich darum zu kümmern. Ich muss unbedingt die Webseiten fertig bekommen und die Pakete aktualisieren. Es haben sich viele Verbesserungen angesammelt und vermutlich denken auch schon viele Nutzer, dass ich nach Scotts Tod keine Lust mehr hätte, weiterzumachen. Es ist ja nur ein winziger Bruchteil der Nutzer hier im Forum Mitlgied.
Gruß,
Michael
-
-
Moderator
- Beiträge: 5084
- Registriert: Di, 23 Okt 2001 19:40
von Sacharja » Sa, 21 Aug 2004 3:59
Browserhersteller könnten das Problem auf jeden Fall am besten lösen.
Sicher, die Browserhersteller könnten alle Probleme lösen, die auch mit Proxomitron gelöst werden können.
Sie müssten dafür sorgen, dass Eigenschaften, die mit der Pseudoklasse ":visited" verknüpft sind, nicht von Skripten ausgelesen werden können.
Das war meine Idee mit Proxomitron zu lösen. Die Frage ist nur ob man das am zuverlässigsten mit CSS oder einem Filter macht.
Im Moment erscheint es mir als am viel versprechendsten, die "getElementBy..."-Aufrufe abzufangen und nur Elemente zurückzugeben, die nicht vom Typ anchor sind.
Das dürfte aber ziemlich viele Probleme geben auf Webseiten, die z.B. komplexe MouseOver Menüs verwenden.
Eigentlich habe ich auch gar keine Zeit, um mich darum zu kümmern. Ich muss unbedingt die Webseiten fertig bekommen und die Pakete aktualisieren.
Was hast du denn vor? Gefällt dir das Design der HP nicht mehr? Ich finde es ziemlich passend zum Forum.
Gruß,
Sacharja
-
-
Proxo-Legende
- Beiträge: 1091
- Registriert: Fr, 07 Mär 2003 13:02
von Michael » Sa, 21 Aug 2004 8:50
sacharja hat geschrieben:Was hast du denn vor? Gefällt dir das Design der HP nicht mehr? Ich finde es ziemlich passend zum Forum.
Es geht momentan nur um Inhalte. Am Design gäbe es evtl. auch noch etwas zu ändern, aber das ist jetzt noch nicht wichtig.
Ich will die neuen Texte zusammen mit den neuen Filterpaketen veröffentlichen, damit ich die Filterdokumentation nicht direkt wieder ändern muss.
Das heißt aber, dass alles fertig werden muss. Für die Beschreibungen der Steuerfilter brauche ich vermutlich einige Stunden reine Arbeitszeit. Ob ich auch die anderen fehlenden Seiten fertig machen kann, weiß ich noch nicht. Langsam drängt die Zeit wegen der Filter.
Gruß,
Michael
-
-
Moderator
- Beiträge: 5084
- Registriert: Di, 23 Okt 2001 19:40
13 Beiträge
• Seite 1 von 1
Zurück zu Fragen zur Benutzung, Hilfe bei Problemen
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste