Welche Skripte kann ein schad Website ausführen (ohne Download)?
Guten Tag,
Ich Frage mich das, weil Ich vorhin versehentlich auf so eine Seite gelandet bin mit weiter Verlinkungen (die davor normal aussah). Ich habe keinerlei Daten angegeben o.ä und bin direkt wieder rausgegangen (zumindest versucht, weil ich immer danach auf eine andere Website kam / weitergeleitet wurde)
Abgesehen von der OP Adresse meines Internets, was ist da machbar? Können diese Websites email Konten, Private Daten o.ä auslesen?
Ich habe zum Glück eine Funktion aktiviert, dass sich Cache Cookies etc. Direkt löschen, nach der Nutzung des Browsers am Handy.
Danke für die Antworten :)
1 Antwort
Aufgerufene Webseiten können auf deinem Gerät Javascript ausführen, wenn dies nicht durch eine Browsereinstellung oder Erweiterung (z.B. NoScript) blockiert wird.
Moderne Browser führen den Javascript Code jeder Seite in einer sogenannten Sandbox aus, um eine Isolation zwischen verschiedenen Seiten sowie einer Seite und dem Betriebssystem zu erzielen. Eine Seite kann also nicht über Javascript auf deine Daten (z.B. Cookies) von anderen Seiten oder auf Dateien auf deiner Festplatte zugreifen.
Diese Sandboxen funktionieren ziemlich gut, und Google bietet hohe Summen als Bug Bounty, wenn man eine Lücke in einer Chrome Sandbox findet und ihnen meldet.
Allerdings kann mit Javascript auf Daten zugegriffen werden, die der Browser bereitstellt. Zum Beispiel kann der Ladestand des Akkus oder die Werte der Beschleunigungssensoren auf Mobilgeräten ohne Berechtigungsabfrage ausgelesen werden.
Ebenso die Zeitzone, Sprachen, installierte Schriftarten und vieles mehr. Durch die Kombination solcher Eigenschaften ist eine eindeutige Identifizierung deines Browsers möglich. Das heißt "Browser fingerprinting" und wird vor allem von Werbefirmen verwendet, um die Aktivitäten von Nutzern zu verfolgen.
Trotz Sandboxing können Seitenkanalangriffe nie vollständig verhindert werden. Cache Angriffe wie Meltdown und Spectre sind grundsätzlich auch über Javascript möglich.
Rechnungen und Spam Emails sind sehr unwahrscheinlich, aber nicht völlig auszuschließen.
Wobei man statt Rechnung eher betrügerische Abmahnung sagen sollte.
Und an die Emailadresse kommt man wohl recht einfach, wenn man Browser Fingerprinting mit Daten aus anderen Quellen kombiniert.
Wie gesagt, beides nicht sehr wahrscheinlich.
Ach krass ist das so ein Ding, auch wenn man aus dem Browserverlauf (der komplett leer ist) das trotzdem einsehen kann welche Email Adresse in Nutzung ist?
Wie gesagt im Browser wird nix gespeichert genau um solche Fälle zu vermeiden mal
Nicht direkt. Sie können erstmal nur ein Profil deines Browsers erstellen. Wenn dann der selbe Anbieter auf verschiedenen Seiten z.b. Anzeigen geschaltet hat, erkennen sie deinen Browser wieder und können so ein Profil deiner Aktivitäten erstellen. Wenn du dann auf einer Seite deine Mailadresse eingibst, verknüpfen sie deinen Browser mit deiner Mailadresse.
wenn du dann z.b. auf eine Pornoseite gehst, erkennen sie deinen Browser wieder und wissen, dass dich das interessiert und schicken dann entsprechend Spam.
ist etwas vereinfacht ausgedrückt, aber vom Prinzip her funktioniert das so.
Ja gut danke dir ^^ da ich sowieso nie meine echte Email Adresse geschweige überhaupt nichts in den Feldern eingebe sollte ich keine bedenken haben
Vielen Dank für die Auskunft und Erklärung, ich sollte also Safe sein mit meinen Privaten Daten, richtig?
Sollen sie im Browser auslesen was die wollen für ihre Marketing Abteilungen, hauptsache Ich bekomme keine Rechnungen oder mehr Spam E Mails.
Wie schon erwähnt, hab ich Cache und Cookies gelöscht direkt