Eine Javascript-Funktion erlaubt es indirekt, die Ladezeiten einer Webseite zu messen. Damit l�sst sich herausfinden, ob ein Besucher bestimmte Links schon einmal aufgerufen hat.
Verschiedene Browser-Hersteller arbeiten daran, zu verhindern, dass Webseiten �ber eine Javascript-Funktion herausfinden k�nnen, ob ein Nutzer bestimmte Webseiten schon einmal besucht hat. Abhilfe schafft im Moment nur der sogenannte Incognito- beziehungsweise Privatsph�ren-Modus des jeweiligen Browsers. Der Nutzer kann nat�rlich auch Javascript ganz deaktivieren oder nur auf vertrauensw�rdigen Seiten erlauben.
Der Timing-Angriff macht sich zunutze, dass Browser wie Microsofts Internet Explorer und Mozillas Firefox in einer Datenbank nachschauen, ob eine Domain schon besucht wurde. Dies ist n�tig, um den entsprechenden Link anders einzuf�rben. Das dauert unterschiedlich lange, je nachdem, ob der Eintrag vorhanden ist oder nicht. Der Angreifer kann requestAnimationFrame dazu verwenden, die Ladezeit der Webseite zu messen und so durch eingebettete Links aus dem Browser andere Ladezeiten herauskitzeln, falls die Links schon mal besucht wurden.
Eigentlich soll es die Javascript-Funktion erlauben, dass Code zwischen dem Rendern zweier Animations-Frames bestimmte Aufgaben erledigen kann. Dass Angreifer damit die Ladezeit der Seite messen k�nnen, ist schwer zu verhindern. Ebenso ist es nicht trivial, die Datenbank-Abfragen der Browser gegen einen solchen Timing-Angriff abzuh�rten. Gegen�ber Ars Technica best�tigte Mozilla [1], derzeit an einer L�sung des Problems zu arbeiten. Der Entdecker der zugrundeliegenden Timing-L�cke sagte der Webseite, dass Microsoft ebenfalls seit vorigem Jahr Bescheid wisse. Er denke, dass Webseiten bald anfangen k�nnten, diese L�cke auszunutzen, um Daten �ber ihre Besucher zu sammeln.
Das Problem ist nicht das erste seiner Art. Schon 2007 hatten Angreifer die M�glichkeit, die History von Browsern indirekt auszulesen [2], seitdem gibt es immer wieder Berichte �ber �hnliche L�cken. Der Timing-Hack, welcher der neuen L�cke zugrunde liegt, ist im folgenden PDF aus dem letzten Jahr eingehend erkl�rt:
- Pixel Perfect Timing Attacks with HTML5 [3]
Keine Kommentare:
Kommentar veröffentlichen