{"id":32159,"date":"2025-05-19T12:56:16","date_gmt":"2025-05-19T10:56:16","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32159"},"modified":"2025-05-19T12:56:16","modified_gmt":"2025-05-19T10:56:16","slug":"visited-links-privacy-protection","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/visited-links-privacy-protection\/32159\/","title":{"rendered":"Violette Links bedrohen deine Privatsph\u00e4re"},"content":{"rendered":"

Im April ist Version 136 von Google Chrome erschienen. Dabei wurde endlich ein Datenschutzproblem des Browsers behoben, das schon seit 2002 bekannt ist (und \u00fcbrigens auch in allen anderen g\u00e4ngigen Browsern besteht). Das Update war eine ziemlich schlechte Nachricht f\u00fcr skrupellose Werbetreibende, die diese Schwachstelle schon seit 15 Jahren im gro\u00dfen Stil ausgenutzt hatten. Die Geschichte klingt beunruhigend und ist f\u00fcr viele \u00fcberraschend. Eigentlich geht es um eine bekannte und scheinbar harmlose Funktion: Links, die du schon besucht hast, werden vom Browser in einer bestimmten Farbe hervorgehoben.<\/p>\n

Versteckte Gefahren durch die Farbe besuchter Links<\/h2>\n

Links zu besuchten Websites wurden vor 32 Jahren zum ersten Mal im NCSA Mosaic-Browser farblich unterschieden und standardm\u00e4\u00dfig von Blau in Violett gef\u00e4rbt. In den 90er Jahren \u00fcbernahmen fast alle Browser diese benutzerfreundliche Methode. Sp\u00e4ter wurde sie zu einem Standard f\u00fcr Cascading Style Sheets (CSS)\u00a0\u2013 eine Sprache, die Gestaltungsanweisungen f\u00fcr Webseiten verwaltet. Heutzutage wird diese farbliche Unterscheidung standardm\u00e4\u00dfig in allen g\u00e4ngigen Browsern verwendet.<\/p>\n

Doch bereits 2002<\/a> stellten Forscher fest, dass die Funktion missbraucht werden kann. Dazu werden Hunderte oder Tausende von unsichtbaren Links auf einer Seite platziert und mithilfe von JavaScript wird festgestellt, welche Links im Browser als bereits besucht gelten. Auf diese Weise kann sich eine betr\u00fcgerische Website Einblick in den Browserverlauf eines Nutzers verschaffen.<\/p>\n

2010 entdeckten Forscher, dass diese Technik tats\u00e4chlich von einigen gro\u00dfen Websites eingesetzt wurde, um Besucher auszuspionieren \u2013 darunter YouPorn, TwinCities und 480 andere popul\u00e4re Websites<\/a>. Gleichzeitig wurde bekannt, dass Plattformen wie Tealium und Beencounter<\/a> Dienste zur Ausforschung von Browsern anboten. Und das Werbeunternehmen Interclick f\u00fchrte diese Technologie f\u00fcr Analysezwecke ein und bekam deshalb sogar rechtliche Probleme. Obwohl das Unternehmen den Rechtsstreit gewann, haben die gro\u00dfen Browser inzwischen ihren Code f\u00fcr die Linkverarbeitung ge\u00e4ndert<\/a> und es ist nicht mehr m\u00f6glich, besuchte und unbesuchte Links auf diese Weise zu unterscheiden.<\/p>\n

Gemeinsam mit modernen Web-Technologien tauchen jedoch auch neue Tricks auf, um den Browserverlauf auszusp\u00e4hen. Eine Studie aus dem Jahr 2018<\/a> beschrieb vier neue M\u00f6glichkeiten, mit denen der Status von Links ermittelt werden kann. Zwei davon betrafen alle getesteten Browser. Nur der Tor-Browser erwies sich als immun. Durch eine dieser Schwachstellen (CVE-2018-6137) konnte f\u00fcr bis zu 3.000 Links pro Sekunde \u00fcberpr\u00fcft werden, ob diese bereits besucht worden waren. In der Zwischenzeit gibt es immer wieder neue und raffiniertere Angriffe, mit denen der Browserverlauf extrahiert werden kann<\/a>.<\/p>\n

Warum der Diebstahl des Verlaufs gef\u00e4hrlich ist<\/h2>\n

Die Offenlegung des Browserverlaufs bringt mehrere Gefahren mit sich, selbst wenn der Verlauf nur teilweise erkannt wird.<\/p>\n

Gefahr f\u00fcr die Privatsph\u00e4re.<\/strong> Wenn Angreifer wissen, welche Websites du besuchst, k\u00f6nnen die Informationen gegen dich eingesetzt werden. Besonders problematisch kann dies sein, wenn es sich um medizinische Behandlung, politische Parteien, Websites f\u00fcr Dating, Gl\u00fccksspiel oder Pornografie und \u00e4hnliche sensible Themen handelt. Angreifer k\u00f6nnen dann einen ma\u00dfgeschneiderten Betrugsversuch oder K\u00f6der entwerfen. Dabei kann es um Erpressung, eine vorget\u00e4uschte Wohlt\u00e4tigkeitsorganisation, neue Medikamente oder etwas anderes gehen.<\/p>\n

Zielgerichtete \u00dcberwachung.<\/strong> Eine wissensdurstige Website k\u00f6nnte beispielsweise alle Websites von Gro\u00dfbanken ausprobieren, um festzustellen, welche Bank du verwendest. N\u00fctzlich sind solche Informationen sowohl f\u00fcr Cyberkriminelle (z.\u00a0B. um ein gef\u00e4lschtes Zahlungsformular zu erstellen und dich zu t\u00e4uschen) als auch f\u00fcr legitime Unternehmen (z. B. um zu sehen, welche Konkurrenten du dir angesehen hast).<\/p>\n

Profilerstellung und Deanonymisierung.<\/strong> Wir haben schon oft dar\u00fcber berichtet, dass sich Werbe- und Analyseunternehmen f\u00fcr Cookies und Fingerabdr\u00fccke interessieren. Anhand solcher Daten verfolgen sie, wie sich Benutzer im Internet bewegen und worauf sie klicken<\/a>. Dein Browserverlauf ist ein effektiver Fingerabdruck, insbesondere in Kombination mit anderen Tracking-Technologien. Wenn die Website eines Analyseunternehmens sehen kann, welche anderen Websites du wann besucht hast, funktioniert der Verlauf sozusagen als Super-Cookie.<\/p>\n

Schutz vor Diebstahl des Browserverlaufs<\/h2>\n

Ein elementarer Schutz tauchte 2010 fast gleichzeitig in den Browser-Engines Gecko (Firefox<\/a>) und WebKit (Chrome und Safari) auf. Er verhinderte, dass der Status von Links mithilfe von einfachem Code ausgelesen wurde.<\/p>\n

Ungef\u00e4hr gleichzeitig f\u00fchrte Firefox 3.5 eine Option ein, mit der die Umf\u00e4rbung von besuchten Links vollst\u00e4ndig deaktiviert werden konnte. Im Firefox-basierten Tor-Browser ist diese Option standardm\u00e4\u00dfig aktiviert, zudem ist die Option zum Speichern des Browserverlaufs deaktiviert. Dies bietet zwar einen robusten Schutz gegen diese Art von Angriffen, kann aber unpraktisch ein.<\/p>\n

Wenn du jedoch nicht auf diesen Komfort verzichten willst, k\u00f6nnen ausgekl\u00fcgelte Angriffe<\/a> deinen Browserverlauf aussp\u00e4hen.<\/p>\n

Google versucht derzeit, die Situation grundlegend zu \u00e4ndern: Ab Version 136 ist in Chrome die Partitionierung besuchter Links<\/a> (visited link partitioning) standardm\u00e4\u00dfig aktiviert. Das funktioniert in etwa so: Links bekommen nur dann eine andere Farbe, wenn sie von der aktuellen Website aus<\/em> angeklickt wurden. Und wenn eine Website versucht, Links zu \u00fcberpr\u00fcfen, \u201esieht\u201c sie nur die Klicks, die von ihr selbst stammen.<\/p>\n

Eine Datenbank der Website-Besuche (und der angeklickten Links) wird f\u00fcr jede Dom\u00e4ne separat verwaltet. Ein Beispiel: Die Seite bank.com<\/em> enth\u00e4lt ein Widget, das Informationen von banksupport.com<\/em> anzeigt, und dieses Widget enth\u00e4lt einen Link zu centralbank.com<\/em>. Wenn du auf den Link centralbank.com<\/em> klickst, wird er als besucht markiert \u2013 jedoch nur innerhalb des banksupport.com<\/em>-Widgets, das auf bank.com<\/em> angezeigt wird. Wenn dieses banksupport.com<\/em>-Widget auf einer anderen Website erscheint, wird der Link centralbank.com<\/em> nicht als besucht markiert. Die Chrome-Entwickler sind zuversichtlich, dass die Partitionierung das lang ersehnte Wundermittel ist, und denken bereits daran, die Sicherheitsma\u00dfnahmen von 2010 zu deaktivieren<\/a>.<\/p>\n

Was k\u00f6nnen Nutzer tun?<\/h2>\n

Wenn du nicht den Chrome-Browser verwendest (in dem es \u00fcbrigens gen\u00fcgend andere Datenschutzprobleme<\/a> gibt), kannst du ein paar einfache Vorkehrungen treffen, um die \u201eviolette Bedrohung\u201c abzuwehren.<\/p>\n