News-Meldung vom 31.03.2010 17:50
Im Mozilla-Security-Blog beschreiben die Entwickler des Firefox-Browsers, wie sie eine uralte Datenschutzlücke stopfen wollen. Der "CSS History Hack" hatte vor kurzem Aufregung ausgelöst, weil er das Ausspähen von Nutzern sozialer Netze ermöglicht. Erstmals wurde das Problem im Jahr 2000 in einem Bugzilla-Eintrag beschrieben.
Es beruht darauf, dass Browser traditionell besuchte und unbesuchte Links unterschiedlich darstellen. Dadurch können Webanwendungen herausfinden, welche Seiten ein Anwender besucht hat. Das W3C hat deshalb bereits in der Spezifikation von CSS 2.1 festgelegt, dass Browser "alle Links als unbesucht darstellen oder andere Maßnahmen ergreifen können, um die Privatsphäre des Benutzers zu gewährleisten".
Für die zweite Variante wollen sich die Mozilla-Entwickler entscheiden, indem sie nur noch bestimmte Attribute für die Pseudoklasse :visited zulassen. Attribute, die entfernte Ressourcen laden (etwa background-image, wird der Browser ignorieren. Außerdem soll die Layout-Engine alle Links in derselben Geschwindigkeit positionieren, sodass Anwendungen kein unterschiedliches Zeitverhalten ausnutzen können. Schließlich wird die JavaScript-Methode getComputedStyle in Zukunft auch für besuchte Links die CSS-Attribute der unbesuchten liefern.
Die angekündigten Änderungen sollen demnächst in den Entwicklungszweig des Browsers einfließen. Am Aussehen der meisten Webseiten werde sich dadurch nichts ändern, so die Firefox-Entwickler.
Siehe dazu auch:
English Version: Firefox developers block old CSS leak
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-968556
Kein Themen-Forum
Mehr zum Thema Browser Datenschutz Mozilla Firefox
Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. 
Wer veraltete Programmversionen von Firefox, Thunderbird und SeaMonkey nutzt, kann sein System leicht mit Schadcode infizieren. 
