Browserdaten kaschieren

unix_samurai

Danke für die vielen hilfreichen Informationen.

Zum Thema Identifizierung über UA + weitere Daten wie Zugriffszeit. Zwar kann man einen rechtlich nicht direkt finanzieren, aber gesetzt den Fall ein Angreifer, der einen direkten Bezug zu seinem Opfer hat, zum Beispiel weil sie im selben Chatroom sitzen, postet einen Link zu seiner eigenen Website, die den UA ausließt, der dann eindeutig dem Opfer zugeordnet werden kann, sofern er der einzige noch im Chatroom ist. Aber wenn man es geschick macht, dann kann man es auch konkret rausfinden. Die Masse wird man natürlich nicht mit diesem Aufwand attackieren können, aber wenn man es auf einzelne Personen abgesehen hat und eben die genaue Zugriffszeit hat, dann hat man bereits einen Erfolg. Oder sehe ich das falsch?

Es wurde gesagt, dass man über Java oder JavaScript (?) auch die IP rausbekommen kann, ebenso über Flash und dass man daher drauf achten sollte, dass die UAs nicht widersprüchlich sind, was eine fast eindeutige Identifizierung bewirken würde. Aber wenn man Java, JS und Flash ausstellt, dann müsste man das verhindern oder?

Bislang dachte ich, dass man seinen UA eindeutig kaschieren könnte. Aber es wurde ja gesagt, dass man sich nie hunderprozentig sicher sein kann, dass es sich um einen Fake handelt. Kann dazu jemand noch etwas sagen?

boardraider

Zitat

aber gesetzt den Fall ein Angreifer, der einen direkten Bezug zu seinem Opfer hat, zum Beispiel weil sie im selben Chatroom sitzen, postet einen Link zu seiner eigenen Website, die den UA ausließt, der dann eindeutig dem Opfer zugeordnet werden kann, sofern er der einzige noch im Chatroom ist.

Genau da greift doch das Argument von oben. Wenn auf der präparierten Seite Flash eingebunden ist, kann er damit dein OS bestimmen, der Browser-UA ist dabei gar nicht nötig.

Zitat

Es wurde gesagt, dass man über Java oder JavaScript (?) auch die IP rausbekommen kann, ebenso über Flash

Die externe IP sieht der Server sowieso. Wenn du über den Browser einen Proxy ansteuerst wie Privoxy+Tor, dann laufen die Plugins wie Flash nicht darüber, also sieht man damit auch die reale IP. Beziehst du dich auf die lokale IP hinter dem Router? Ja auch die kann man bspw. mit Java bestimmen. Mit JavaScript könnt man hingegen eine Art Portscanner realisieren.

Zitat

Aber wenn man Java, JS und Flash ausstellt, dann müsste man das verhindern oder?

Man verhindert damit das eben genannte.

Zitat

Bislang dachte ich, dass man seinen UA eindeutig kaschieren könnte. Aber es wurde ja gesagt, dass man sich nie hunderprozentig sicher sein kann, dass es sich um einen Fake handelt. Kann dazu jemand noch etwas sagen?

Was genau willst du denn noch wissen?

Oliver222

unix_samurai fragte:

Zitat

[...]aber gesetzt den Fall, ein Angreifer der einen direkten Bezug zu seinem Opfer hat,[...]

Das TCP, UDP, wie auch das Multicast-Protokoll ändert nichts an der Tatsache, dass solche direkten Verbindungen über die Einwahl-Provider (z.B Telekom) geführt (und gespeichert) werden müssen. Solche Einwahl-Provider könnten Dich somit als natürliche Person - bezüglich Deiner anonymen IP-Adresse - rechtlich offenbaren - sofern eine schwere Anlass-Straftat vorläge. Solche richterlichen Auskunfstersuchen werden jedoch Seitens der einzelnen Provider - nach meinen bisherigen Informationen - (i.B. auf Lizenz-Verlust (Fernmeldegeheimniss) solcher Provider) sehr genau juristisch gegengeprüft. Platt ausgedrückt: Du müsstest schon "Mist" gebaut haben, damit ein staatliches Auskunfstersuchen gegenüber Deinen Zugangs-Provider in Kraft träte.

Im Zuge solcher schweren Straftaten (Anträge der Rechteinhaber) unterlägen solche strafrechtlichen Entschlüsselungen von IP-Adressen in dahinterstehende natürliche Personen (also Deine pers. Adresse) dem Prinzip der Verhältnismässigkeiten. Dies gälte dann sowohl seitens der Antragsteller (der Kläger), wie auch für die ermittelnden strafrechtlichen Behörden. (immaterielle Kostenfrage). Solche strafrechtliche Ermittlungen dürfen darüberhinaus nicht in ein separates, ziviles Verfahren einfliessen.

Zitat

Es wurde gesagt, dass man über Java oder JavaScript (?) auch die IP rausbekommen kann...[...]

Boardraider hatte es bereits richtig dargestellt. IP-Logging könnte darüberhinaus u.U. i.B auf Content auch notwendig sein.
Sofern Du jedoch über Deine IP (Maschinen-Adresse) nicht erkannt werden möchtest, verbleibt Dir nur noch der Einsatz von externen und anonymisierenden Proxies, welche:

a.Intern die kritischen Daten vor deren Weiterleitung zum Kommunikationspartner aus den Headern entfernen, bzw. diese durch Standardwerte ersetzen können (u.A. i.B. CGI-Scripte).

b.Nachrichten aufgeteilt in mehrfach verschlüsselten Paketen gleicher Größe über eine Kette mehrerer Proxies - idealerweise zeitlich verzögert und versetzt - zum eigentlichen Kommunikationspartner weiterleiten.

Diesbezüglich gibt es hier (und anderweitig) mehr als genug Threads. Lerne daher dazu:

Oliver

Broswer-Integriert: (teilw. sicher)
http://www.torproject.org/
https://addons.mozilla.org/de/firefox/addon/5833
http://anon.inf.tu-dresden.de/win/download.html
http://anonymsurfen.net/proxy-server/15-anonyme-proxies/

HTTP-integriert: (unsicher)
http://www.obome.de/
http://www.megaproxy.com/freesurf/
http://www.the-cloak.com/login.html

DasIch

Zitat von unix_samurai

Die Masse wird man natürlich nicht mit diesem Aufwand attackieren können, aber wenn man es auf einzelne Personen abgesehen hat und eben die genaue Zugriffszeit hat, dann hat man bereits einen Erfolg. Oder sehe ich das falsch?

Jep, siehst du. Derjenige müsste dich ja jetzt nochmal auf eine Seite leiten die versucht deinen Browser anzugreifen. Selbst wenn dass klappt who cares?

Für solche Fälle gibt es Techniken wie AppArmor oder SELinux. Du stellst exakte Regeln dafür auf was eine Anwendung darf und was nicht. Auf Kernelbasis werden dann unerlaubte Aktivitäten unterbunden.

Brummelchen

Die Webseite antwortet hier nicht - ich tippe auf Verarsche.
Allein die Fragen äh Einbildungen sind schon den Goldenen Arsch am Band wert... :roll: