![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Als Nutzer versucht man das Tracking durch die Werbe-Industrie beim Surfen zu vermeiden. Beim Firefox-Browser lassen sich Intermediate Zertifikate im Browser-Cache als Fingerabdruck verwenden, um einen Benutzer (m\u00f6glicherweise) zu tracken.<\/p>\n
<\/p>\n
Zur Absicherung von SLL-Verbindungen (HTTPS) kommen Zertifikate zum Einsatz. Die Verifizierung der Zertifikate erfolgt im Browser \u00fcber eine Zertifikate-Kette. Die Root-Zertifikate werden dabei von Certificate Authorities wie Comodo, Symantec, DigiSign ausgestellt.<\/p>\n Aus Sicherheitsgr\u00fcnden werden aber nicht die Root-Zertifikate, sondern Zwischenzertifikate (Intermediate Certificates) ausgestellt. Dies soll verhindern, dass bei einem kompromittierten Intermediate Certificate auch das Root-Zertifikat zur\u00fcckgezogen werden muss. Bei Beeping Computer hat man das hier<\/a> erkl\u00e4rt.<\/p>\n Alexander Klink beschreibt in seinem Blog-Beitrag <\/a>das Problem, dass manche Web-Server fehlerhaft konfiguriert seien und die Zertifikatekette unvollst\u00e4ndig \u00fcbertragen. Seine nachfolgende Grafik beschreibt eine korrekt ausgelieferte Zertifikatekette.<\/p>\n Bei einem fehlkonfigurierten Server sieht die Geschichte mit der Zertifikatekette dagegen folgenderma\u00dfen aus.<\/p>\n Das Intermediate Certificate wird also nicht mitgeliefert. Um das Laden von Webseiten zu beschleunigen, legt der Firefox das Intermediate Certificate (welches wohl einmalig \u00fcbertragen wird) im Cache ab. Alexander Klink kam nun auf die Idee, mal zu untersuchen, ob sich dadurch eventuell so etwas wie ein Fingerabdruck des Browsers und damit dem Nutzers von au\u00dfen ableiten lie\u00dfe.<\/p>\n Ein Dritter, dessen Inhalte in einer Webseite eingebunden sind kann nun Inhalte wie ein Favicon von einem bewusst fehlerhaft konfigurierten HTTPS-Server einbinden. Da viele HTTPS-Seiten die gleichen Intermediate CAs teilen, bewirkt das Caching, dass der fehlerhafte Inhalt korrekt vom Server geholt und im Browser angezeigt wird.<\/p>\n Die Idee: L\u00e4sst sich das f\u00fcr ein Fingerprinting nutzen. Wenn also das Laden des inkorrekten Inhalts einen Fehler ausl\u00f6st, bedeutet dies, dass der Benutzer das Angebot dieser Seiten, die das gleiche Intermediate CA verwenden, noch nicht genutzt hat. Wird kein Fehler ausgel\u00f6st, ist es ein wiederkehrender Nutzer. Das ist bereits eine n\u00fctzliche Information f\u00fcr Werbetreibende oder Cyber-Kriminelle, die neue Benutzer identifizieren wollen.<\/p>\n Und es geht noch weiter, wie Alexander Klink schreibt. Die Zertifikateaussteller haben oft Kunden in bestimmten Regionen. Wenn bei einem Besucher ein Intermediate Certificate des \"Deutsche Bundestag CA\" im Cache des Browsers steckt, kann man mit einer gewissen Sicherheit annehmen, dass der Surfer aus Deutschland kommt. Damit ist eine Geo-Lokalisierung m\u00f6glich. Und die Interessen (hier an Politik zum Beispiel) sind auch erfassbar. So kann man \u00fcber die CAs im Cache mehr \u00fcber die Surf-Vorlieben des Nutzers herausfinden.<\/p>\n Alexander Klink hat dann einen Feldversuch unternommen, in dem er Daten diverser, fehlkonfigurierter Server untersucht hat. W\u00e4hrend Google Chrome und der Internet Explorer das irgendwie schafften, die fehlkonfigurierten Informationen trotz fehlerhaft ausgelieferter CA-Kette abzuholen. Aber im Firefox stellte er fest, dass ein fehlendes Intermediate CA beim Erstbesuch der Site einen Ladefehler ausl\u00f6st. Seite Beschreibung ist etwas l\u00e4nglich, bei Bleeping Computer<\/a> gibt es eine geraffte Darstellung.<\/p>\n Ergebnis des Tests, es sind Fingerprints im Firefox ableitbar, die den Nutzer in gewisser Weise identifizierbar machen (siehe obiges Foto), wenn es auch Fehler gibt. Ein Drittanbieter k\u00f6nnte den Surfer also einem Nutzerprofil zuordnen und diesen \u00fcber dieses Profil mit einer gewissen Wahrscheinlichkeit \u00fcber bestimmte Webseiten verfolgen.<\/p>\n Die sauberste L\u00f6sung w\u00e4re, Inhalte ung\u00fcltig konfigurierter Server im Browser nicht anzuzeigen (egal, ob das Zertifikat gecached wird oder nicht). Alexander Klink hat das Problem am 27. Januar 2017 im Bug-Report #1334485<\/a> an Mozilla gemeldet. Die Mozilla-Entwickler wollen aber keine \u00c4nderung einf\u00fchren, bis deren Folgen klar sind. Laut diesem #1336226<\/a>-Bug-Report soll erst eine Telemetriedatenerfassung f\u00fcr diese Geschichte implementiert werden. Es bleibt abzuwarten, was daraus wird.<\/p>\n Alexander Klink empfiehlt<\/a> Firefox-Nutzern bis zu diesem Zeitpunkt immer mal wieder das Profil durch ein neu aufgesetztes Profil zu ersetzen, oder den Abruf von Drittanbieter-Inhalten \u00fcber ein Plugin zu blocken. Details sind in seinem Blog-Beitrag<\/a> sowie bei Bleeping Computer<\/a> nachlesbar. Ansonsten: Ihr Surfer m\u00fcsst jetzt stark sein, denn die folgenden Blog-Beitr\u00e4ge zeigen, dass Gefahren an jeder Ecke lauern. Waren das noch Zeiten, als man einen Mosaik-Browser per Modem oder Diskette bezogen hat und sich um so einen Mist keine Gedanken machen brauchte \u00c4hnliche Artikel: Als Nutzer versucht man das Tracking durch die Werbe-Industrie beim Surfen zu vermeiden. Beim Firefox-Browser lassen sich Intermediate Zertifikate im Browser-Cache als Fingerabdruck verwenden, um einen Benutzer (m\u00f6glicherweise) zu tracken.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1432,426],"tags":[44,4328,2428],"class_list":["post-187875","post","type-post","status-publish","format-standard","hentry","category-firefox-internet","category-sicherheit","tag-firefox","tag-sicherheit","tag-tracking"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/187875","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=187875"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/187875\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=187875"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=187875"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=187875"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Die Geschichte wurde von Alexander Klink als Blog-Beitrag ver\u00f6ffentlicht<\/a>. Hier ein grober \u00dcberblick, um was es geht.<\/p>\n
Die Sache mit den Intermediate Zertifikaten<\/h3>\n
Das Problem: Falsch konfigurierte Server<\/h3>\n
![](\"https:\/\/shiftordie.de\/static\/correct_case.png\")
\n(Quelle: Alexander Klink)<\/p>\n![](\"https:\/\/shiftordie.de\/static\/incorrect_case.png\")
(Quelle: Alexander Klink)<\/p>\nErgebnisse des Versuchs<\/h3>\n
![](\"https:\/\/shiftordie.de\/static\/poc.png\")
\n(Quelle: Alexander Klink)<\/p>\nAbschlie\u00dfende Hinweise<\/h3>\n
![\"Zwinkerndes](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2017\/02\/wlEmoticon-winkingsmile-1.png\")
.<\/p>\n
\n<\/strong>Malware kommt als Google Chrome-Erweiterung<\/a>
\nJavaScript-Attacke auf den IE 11 nicht abbrechbar<\/a>
\nCloudflare Bug legt vertrauliche Nutzerdaten offen<\/a>
\nWarnung: SHA1 erfolgreich geknackt<\/a>
\nSicherheitsl\u00fccke: JAVA deaktivieren<\/a>
\nFirefox Klar und das Datentracking\u2013Nachlese<\/a>
\nFirefox: Tracking- und Telemetrie-Einstellungen<\/a>
\nFirefox Klar: \"Datenschutz-Browser\" als Datenschleuder<\/a>
\nAchtung: Firefox Zero-Day-Exploit enttarnt Tor-Nutzer<\/a>
\nFirefox und Google Chrome verhunzen SSDs<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"