1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Tracking: Facebook wechselt zu First…

Im Klartext: Facebook versucht Session Hijacking

  1. Thema

Neues Thema Ansicht wechseln


  1. Im Klartext: Facebook versucht Session Hijacking

    Autor: delphi 08.10.18 - 19:15

    Facebook scheint es also für normal zu halten, dass sie jetzt die Session-IDs von anderen Seiten stehlen, um die Leute darüber tracken zu können:

    https://de.wikipedia.org/wiki/Session_Hijacking#Entf%C3%BChrung_von_Web-Sitzungen

    Dann wird der nächste Schritt wohl sein, dass Cookies standardmäßig das HttpOnly-Flag kriegen, oder dass jemand zumindest ne Browser-Extension schreibt, die das tut.

  2. Re: Im Klartext: Facebook versucht Session Hijacking

    Autor: maverick1977 08.10.18 - 19:42

    delphi schrieb:
    --------------------------------------------------------------------------------
    > Facebook scheint es also für normal zu halten, dass sie jetzt die
    > Session-IDs von anderen Seiten stehlen, um die Leute darüber tracken zu
    > können:
    >
    > de.wikipedia.org#Entf%C3%BChrung_von_Web-Sitzungen
    >
    > Dann wird der nächste Schritt wohl sein, dass Cookies standardmäßig das
    > HttpOnly-Flag kriegen, oder dass jemand zumindest ne Browser-Extension
    > schreibt, die das tut.

    Da wäre ich für. Absolut. So langsam geht mir die Werbeindustrie und ihre Handlanger echt auf den Zeiger! Wenn ich nur etwas fitter im Programmieren wäre, würden Cookies nur noch als Session-Cookies akzeptiert. Alles andere würde raus fliegen. Auch der ganze Schrott im Header, welche Schriftarten installiert sind, welche Bildschirmgröße usw. usf... Alles Infos, auf die der Seitenbetreiber nicht unbedingt Zugriff haben muss.

    Wenn die Infos nicht zur Verfügung stehen, einfach ne Abfrage, welche Variante der Website man sehen möchte und gut ist.

  3. Re: Im Klartext: Facebook versucht Session Hijacking

    Autor: ikhaya 08.10.18 - 19:54

    TorBrowser nutzen, der vereinheitlicht das ganze Informationsbild soweit möglich.

  4. Re: Im Klartext: Facebook versucht Session Hijacking

    Autor: jude 08.10.18 - 21:01

    TOR-Dienste auf den RasPI direkt am heimischen Router betreiben.
    Dann wird das etwas mit der Geschwindigkeit.
    Und wenn die Dienste von Tim Berners-Lee soweit sind, auch auf den RasPI.

    Dann klappt es auch mit dem kill von facebook, amazon, Google und Co.

  5. Re: Im Klartext: Facebook versucht Session Hijacking

    Autor: delphi 08.10.18 - 21:50

    maverick1977 schrieb:
    --------------------------------------------------------------------------------
    > Da wäre ich für. Absolut. So langsam geht mir die Werbeindustrie und ihre
    > Handlanger echt auf den Zeiger! Wenn ich nur etwas fitter im Programmieren
    > wäre, würden Cookies nur noch als Session-Cookies akzeptiert.

    Dafür gibt es schon diverse Browser-Extensions, z.B. "Self-Destructing Cookies" oder "Cookie Autodelete".


    > Alles andere
    > würde raus fliegen. Auch der ganze Schrott im Header, welche Schriftarten
    > installiert sind, welche Bildschirmgröße usw. usf... Alles Infos, auf die
    > der Seitenbetreiber nicht unbedingt Zugriff haben muss.

    Diese Sachen werden nicht per HTTP-Header übertragen, lassen sich aber per JS oder CSS auslesen. Per HTTP-Header werden dagegen Informationen wie der "User Agent", d.h. "Name, Version und CPU-Architektur von Browser und Betriebssystem" (bei manchen Android-Smartphones wird sogar noch das genaue Smartphone-Modell) oder der Referrer übertragen. Beides hätte IMHO niemals in den HTTP-Standard aufgenommen werden dürfen, heutzutage kann man sich da leider nur noch mit "gefakte Allerweltsdaten senden" behelfen. Unfassbar viele Seiten liefern einem obskure Fehlerseiten oder ne komplett leere Seite, wenn der User-Agent-Header fehlt, und funktionieren urplötzlich auf magische Art und weise, wenn man *irgend einen* String schickt. Ein Teil der Seiten funktioniert unsinnigerweise leider nur, wenn man sich als Chrome, Firefox, Internet Explorer oder Safari ausgibt.


    > Wenn die Infos nicht zur Verfügung stehen, einfach ne Abfrage, welche
    > Variante der Website man sehen möchte und gut ist.

    Das geht nur, wenn du Cookies erlaubst, sonst wirst du nach jedem Klick erneut gefragt.

  6. Re: Im Klartext: Facebook versucht Session Hijacking

    Autor: delphi 08.10.18 - 21:53

    jude schrieb:
    --------------------------------------------------------------------------------
    > TOR-Dienste auf den RasPI direkt am heimischen Router betreiben.
    > Dann wird das etwas mit der Geschwindigkeit.
    > Und wenn die Dienste von Tim Berners-Lee soweit sind, auch auf den RasPI.

    TOR macht leider für den Durchschnittsuser die ganze Angelegenheit "im Netz surfen" eher unsicherer als sicherer, weil leider viele Seiten noch immer nicht über HTTPS erreichbar sind, und man den Exit Nodes prinzipbedingt nicht wirklich trauen kann.

    Ob du TOR lokal auf deinem Laptop oder auf nem schwachbrüstigen Raspberry Pi laufen lässt, dürfte geschwindigkeitstechnisch keinen nennenswerten Unterschied machen - lahmarschig ist TOR ohnehin so gut wie immer.

  7. Re: Im Klartext: Facebook versucht Session Hijacking

    Autor: ikhaya 08.10.18 - 22:07

    ich konnte damit schon entspannt youtube schauen, also so schlecht ist die Bandbreite im TOR Netzwerk gar nicht mal.
    Natürlich könnt es mehr sein, aber es kommen ja auch neue Knoten hinzu.
    Mozilla glaub ich hat auch ein paar gestiftet.

  8. Re: Im Klartext: Facebook versucht Session Hijacking

    Autor: delphi 08.10.18 - 22:10

    Hmmm, du schaust vermutlich auch gerne mal Youtube-Videos über das WLAN im ICE, oder?

  9. Re: Im Klartext: Facebook versucht Session Hijacking

    Autor: karazon 08.10.18 - 23:57

    Also Session Hijacking ist das nicht (abgesehen davon sollten natürlich Cookies mit einer Session ID immer mit HttpOnly gesetzt werden). Die setzen halt mit dem Werbe-Script selbst ein First-Party-Cookie und dessen Wert telefonieren sie munter nach Hause. Muss man selbstverständlich trotzdem nicht gut finden...

  10. Re: Im Klartext: Facebook versucht Session Hijacking

    Autor: ikhaya 09.10.18 - 09:06

    Fahre so selten ICE und wenn trau ich öffentlichen WLANs nicht übern weg und nutz lieber meinen eigenen Mobilfunktarif dafür.

  11. Re: Im Klartext: Facebook versucht Session Hijacking

    Autor: Antigonos3 09.10.18 - 12:58

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > ich konnte damit schon entspannt youtube schauen, also so schlecht ist die
    > Bandbreite im TOR Netzwerk gar nicht mal.
    > Natürlich könnt es mehr sein, aber es kommen ja auch neue Knoten hinzu.
    > Mozilla glaub ich hat auch ein paar gestiftet.
    Hä? Es kommt doch zuallererst auf die Bandbreite an die man selbst hat. Versuch mal Tor mit DSL Light zu nutzen...

  12. Re: Im Klartext: Facebook versucht Session Hijacking

    Autor: ikhaya 09.10.18 - 15:15

    die Aussage war

    >lahmarschig ist TOR ohnehin so gut wie immer.

    Was wohl Kritik an den Knoten selbst darstellt.
    Wenn die nicht genug Bandbreite haben wird halt der Traffic pro Zeit abnehmen und es lahmt.
    Ich denke aber wenn die Geschwindigkeit OHNE Tor gut genug ist für Youtube & Co, macht Tor das nicht gravierend schlechter.

  13. Re: Im Klartext: Facebook versucht Session Hijacking

    Autor: TurbinenBewunderer 09.10.18 - 15:48

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > ich konnte damit schon entspannt youtube schauen, also so schlecht ist die
    > Bandbreite im TOR Netzwerk gar nicht mal.
    > Natürlich könnt es mehr sein, aber es kommen ja auch neue Knoten hinzu.
    > Mozilla glaub ich hat auch ein paar gestiftet.


    in flüssigen 144p? :D



    1 mal bearbeitet, zuletzt am 09.10.18 15:48 durch TurbinenBewunderer.

  14. Re: Im Klartext: Facebook versucht Session Hijacking

    Autor: Komischer_Phreak 10.10.18 - 21:03

    Auch über eine Gigabit-Anbindung ist Tor lahm und hat vor allem miese Antwortzeiten. Wenn ich Tor nutze, braucht es immer eine handvoll Reconnects, bevor ich eine Knoten finde, über den man Seiten laden kann. Oft genug landet die Seite oder Komponenten der selben im Time Out. Das ist ein typisches und bekanntes Problem im Tor-Netz.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. SIZ GmbH, Bonn
  2. Arconic Fastening Systems / Fairchild Fasteners Europe - Camloc GmbH, Kelkheim (Taunus)
  3. über duerenhoff GmbH, Raum Ravensburg
  4. Fachhochschule Aachen, Aachen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 129,99€ (mit Vorbesteller-Preisgarantie)
  2. 129,99€ (mit Vorbesteller-Preisgarantie)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Schräges von der CES 2020: Die Connected-Kartoffel
Schräges von der CES 2020
Die Connected-Kartoffel

CES 2020 Wer geglaubt hat, er hätte schon alles gesehen, musste sich auch dieses Jahr auf der CES eines Besseren belehren lassen. Wir haben uns die Zukunft der Kartoffel angesehen: Sie ist smart.
Ein Bericht von Martin Wolf

  1. Smart Lock Netatmo und Yale zeigen smarte Türschlösser
  2. Eracing Simulator im Hands on Razers Renn-Simulator bringt uns zum Schwitzen
  3. Zu lange Ladezeiten Ford setzt auf Hybridantrieb bei autonomen Taxis

Holo-Monitor angeschaut: Looking Glass' 8K-Monitor erzeugt Holo-Bild
Holo-Monitor angeschaut
Looking Glass' 8K-Monitor erzeugt Holo-Bild

CES 2020 Mit seinem neuen 8K-Monitor hat Looking Glass Factory eine Möglichkeit geschaffen, ohne zusätzliche Hardware 3D-Material zu betrachten. Die holographische Projektion wird in einem Glaskubus erzeugt und sieht beeindruckend realistisch aus.
Von Tobias Költzsch und Martin Wolf

  1. UHD Alliance Fernseher mit Filmmaker-Modus kommen noch 2020
  2. Alienware Concept Ufo im Hands on Die Switch für Erwachsene
  3. Galaxy Home Mini Samsung schraubt Erwartungen an Bixby herunter

Kailh-Box-Switches im Test: Besser und lauter geht ein klickender Switch kaum
Kailh-Box-Switches im Test
Besser und lauter geht ein klickender Switch kaum

Wer klickende Tastatur-Switches mag, wird die dunkelblauen Kailh-Box-Schalter lieben: Eine eingebaute Stahlfeder sorgt für zwei satte Klicks pro Anschlag. Im Test merken unsere Finger aber schnell den hohen taktilen Widerstand.
Ein Test von Tobias Költzsch

  1. Charachorder Schneller tippen als die Tastatur erlaubt
  2. Brydge+ iPad-Tastatur mit Multi-Touch-Trackpad
  3. Apex Pro im Test Tastatur für glückliche Gamer und Vielschreiber

  1. Beschlagnahmt: Webseite bot 12 Milliarden Zugangsdaten zum Verkauf an
    Beschlagnahmt
    Webseite bot 12 Milliarden Zugangsdaten zum Verkauf an

    Betreiber verhaftet, Domain und Server beschlagnahmt: Die Webseite Weleakinfo.com hatte im großen Stil mit Zugangsdaten gehandelt, die aus über 10.000 Datenlecks stammen sollen.

  2. Bürogebäude Karl: Apple baut Standort in München deutlich aus
    Bürogebäude Karl
    Apple baut Standort in München deutlich aus

    Apple wird seine Aktivitäten in München offenbar deutlich ausbauen und auch ein neues Bürogebäude beziehen, das Platz für 1.500 Beschäftigte bietet. In München betreibt Apple bereits das Bavarian Design Center mit 300 Mitarbeitern.

  3. Seehofer: 5G-Netz ohne Huawei kurzfristig nicht machbar
    Seehofer
    5G-Netz ohne Huawei kurzfristig nicht machbar

    Bundesinnenminister Horst Seehofer spricht sich "gegen globale und pauschale Handelsbeschränkungen" aus. In Bezug auf Huawei wurde er noch deutlicher.


  1. 15:08

  2. 13:26

  3. 13:16

  4. 19:02

  5. 18:14

  6. 17:49

  7. 17:29

  8. 17:10