Die gängigste Methode, wie Forscher mit verdächtigen Seiten umgehen, ist in erster Linie, nicht wie ein normaler Benutzer unter Windows zu surfen. Die meisten benutzen Linux, auf einem Mac ist man noch sicherer. Aber selbst wenn man irgendeinen exzentrischen Browser auf irgendeinem exzentrischen Betriebssystem benutzt, kann man immer noch von Cross-site-scripting, Cookie-Diebstahl und ähnlichen Missbräuchen betroffen sein.
Der Trick ist dabei, dass man die Webseite gar nicht wirklich sehen will, sondern den HTML-Code dahinter. Falls jemand nicht weiß, wie man HTML und Skriptsprachen liest, sollte er von diesen Sachen die Finger lassen.
Mein üblicher Trick liegt darin, die Seite direkt in meinem Textbearbeitungsprogramm TextPad öffne, welches ich sehr liebe und weiterempfehle. Ich sage im Editor einfach Datei-Öffnen, gebe eine URL an und er lädt den HTML-Code in ein Bearbeitungsfenster. Praktischer geht’s eigentlich nicht. Notepad macht dasselbe.
Es gibt ein potentielles Risiko dabei, den Editor zu benutzen, denn ich vermute sowohl Notepad als auch TextPad benutzen standardmäßige HTTP-Dienste von Windows (wie diese), um die Webseite abzurufen, daher könnte eine Schwachstelle an dieser Stelle für Angriffe anfällig machen. Es gibt Alternativen, die vielleicht, aber vielleicht auch nicht, ihre eigenen HTTP-Engines besitzen.
Curl ist eine kostenlose open-source-Engine zum Abrufen von Internet URLs. Am bekanntesten ist es dafür, HTTP-URLs abzufragen, aber es kommt auch mit vielen anderen Protokollen zurecht (HTTP, HTTPS, FTP, FTPS, SCP, SFTP, TFTP, DICT, TELNET, LDAP oder FILE).
Curl lässt sich auch mit Batch-Dateien benutzen, um verschiedene Webseiten unter vollständiger Kontrolle des Programms abzurufen. Es ist wirklich leistungsstark, und sobald man gelernt hat es zu benutzen, wird man noch weitere Anwendungsmöglichkeiten herausfinden.
Glauben Sie nicht, dass Sie durch ein solches Testen unverwundbar sind. Weitere Schritte, die Sie tun können um sich selbst sicher zu machen sind es, diese Überprüfung in einer virtuellen Maschine durchzuführen und keine persönlichen Daten auf dem System zu lassen. Doch die Hauptsache ist hier, dass Sie, wenn Sie glauben sich schützen zu können und vorsichtig sind, mithilfe dieser Methoden genau sehen können, was eine Webseite tut, ohne sich dieser Seite direkt auszuliefern.
Kommentare
Naja ich finde es etwas schade, dass der Artikel nicht genau auf das eingeht, was der Titel dem Leser verspricht. Ich habe gehofft, dass du im Sinne eines Ottonormalverbrauchers in diesem Artikel verdeutlichst, inwiefern man sich vor unseriösen Internetseiten schützt. Dazu habe ich erwartet das dieser Blogeintrag zeigt, mit welchen (jedem zugänglichen) Mitteln es möglich ist, eine Internetseite zuvor als eine unseriöse zu klassifitieren bevor man diese betritt. Curl als eine Open-Source-Engine nennt der Artikel zwar, geht dabei aber nicht auf die Risiken für den Anwender ein. Abschließend bin ich deshalb eher unzufrieden mit diesem Beitrag.
Naja, der Blog Informationssicherheit lesen sicherlich nicht nur "Ottonormalverbraucher" ;) (für die ist ja sowieso "http" nur 4 komische Buchstaben vor einer Internetadresse). Und welche Risiken hat man denn bei der Benutzung von curl wenn ich fragen darf?
Kommentieren