Internetnutzer durch XING identifizieren
Vor einigen Tagen wurden interessante Forschungsergebnisse zum Thema XING und zu Spuren im Netz allgemein veröffentlicht. Dabei ging es darum, dass die Browser-Historie eines Besuchers in der Regel ausgelesen werden kann und dann anhand der fingerabdruckähnlichen Gruppenzusammenstellung auf den Namen geschlossen werden kann. Dazu gibt es auch ein (sehr langsames) Experiment.
Das Ganze geht aber auch deutlich einfacher und schneller, wie Marco Hassler bereits 2008 aufzeigte. Per iFrame konnte man damals erreichen, dass Besucher der eigenen Seite mit vollem Namen auf der “Letzte-Besucher-Seite” erscheinen. Dem ist ein technischer Riegel vorgeschoben worden, aber mit einer kleinen Modifikation klappt es weiterhin. Dazu muss folgender Code in die Seite eingefügt werden:
<img src=”https://www.xing.com/profile/Vorname_Nachname” height=”1″ width=”1″>
Dadurch kann ich sehen, wer meine Seite besucht. Auf der Xing-Webseite wird sogar die besuchte URL angezeigt, jedoch nicht der Name. Hier hilft die iPhone-App, die das Profil des Webseitenbesuchers zeigt.
Technisch ist dies meines Erachtens als Cross-Site Request Forgery einzuordnen. Xing selbst überlässt die Verantwortung dem Webseitenbetreiber und hat völlig recht. Wer das ausnutzt, kann echte Probleme bekommen.
Trotzdem: Gibt es hier keine technischnen Möglichkeiten, dies zu unterbinden?
Ähnliche Beiträge:
