Browser speichern Informationen über besuchte Webseiten in einer Surf-History (Chronik).

Eine empirische Untersuchung der University of California zeigt, dass ca. 1% der Top 50.000 Websites versuchen, diese Daten über zuvor besuchte Websites auszulesen. Daneben gibt es spezielle Anbieter wie Tealium oder Beencounter, die einem Webmaster in Echtzeit eine Liste der Websites liefern, die ein Surfer zuvor besucht hat. Die dabei übermittelten Informationen erlauben ein ähnlich detailliertes Interessenprofil zu erstellen, wie das Tracking über viele Websites. In der Regel werden die Informationen für die Auswahl passender Werbung genutzt.

Ein Experiment des Isec Forschungs­labors für IT-Sicherheit zeigt, dass diese History-Daten auch zur Deanonymisierung der Surfer genutzt werden können. Anhand der Browser History wurde ermittelt, welche Gruppen bei Xing der Surfer bisher besucht hat. Da es kaum zwei Nutzer gibt, die zu den gleichen Gruppen gehören, konnte mit diesen Daten eine Deanonymiserung erfolgen. Die Realnamen sowie E-Mail Adressen konnten ohne Mithilfe vieler Surfer nur durch den Aufruf der präparierten Webseite ermittelt werden.

Neben Javascript können auch CSS-Hacks für das Auslesen der Surf-Historie genutzt werden. In der wissenschaftlichen Arbeit Feasibility and Real-World Implications of Web Browser History Detection (PDF) zeigen Security Experten, wie man die unterschiedliche farbliche Darstellung von besuchten Links auswerten kann.

Die einzig wirksame Verteidigung besteht in der Deaktivierung der Surf-History.

Mozilla Firefox

Im Dialog "Einstellungen" kann man auf dem Reiter "Datenschutz" die Speicherung besuchter Webseiten deaktivieren (Chronik)
Chronik deaktivieren
Lizenz: Public Domain