Welche Daten kann eine Website von mir auslesen?

Beruflich und Privat lese ich im Moment sehr viel über die DSGVO (Datenschutz-Grundverordnung). Viel wird sich verändern und die Aufregung ist bei vielen privaten Webmastern sehr groß. In diesem Zusammenhang habe ich mir die Frage gestellt, welche Daten kann ein Webmaster eigentlich ohne die Einwillgung des Besuchers direkt aus dem Browser auslesen?

Die technische Frage war schnell geklärt, am meisten Erfolg wird ein Webmaster mit einer clientseitigen Sprache haben. Auch wenn man mit PHP schon einige Daten auslesen kann, sind wir mit JavaScript in der Lage noch mehr herrauszufinden.

Auch der Browser spielt hier eine wichtige Rolle, bei meinen Nachforschung habe ich schnell gemerkt das Googles Chrome mehr zulässt wie der Firefox und Microsoft´s Edge mal wieder glänzt in dem sie verschieden JavaScript Funktionen nicht unterstützen. Mit etwas mehr Aufwand hätte ich aber sicherlich auch hier eine Lösung gefunden.

Welche Daten kann der Webmaster also theoretisch, ohne weitere Berechtigungen, abgreifen?

Folgendes (und noch viel mehr) wäre möglich:

Wer jetzt den Button geklickt hat, wird einige Daten über sich und seinen Rechner sehen. Zugegeben die Ortung der IP-Adresse ist nicht immer sehr genau, würde aber dennoch für eine grobe Einschätzung des Wohngebiets reichen.

Google Chrome Nutzer sind hier aber am ärmsten dran, in meinen Tests konnte ich hier auch die Grafikkarte auslesen und wie der ein oder andere vielleicht bemerkt hat, kann ich sogar herrausfinden ob er im Browser bei Facebook oder Twitter angemeldet ist. Genau mit diesem Fall werde ich noch etwas genauer rumspielen, denn hier scheint es so, als wenn noch mehr möglich ist. Ein Update des Artikel folgt, wenn neue Erkenntnisse vorhanden sind.

Bei meinen Recherchen fand ich auch mehrere Artikel über einen Netzwerk Scan beim User mit simplen JavaScript. Also nicht nur Informationen über seinen PC zu erfahren, sondern auch was für Geräte sich in seinem Netzwerk befinden. Interessante Daten für den ein oder anderen Bösewicht. Selbst getestet habe ich dies aber nicht.

Selbstverständlich lassen sich mit JavaScript oder auch anderen Sprachen noch viel mehr Daten abgreifen. Auch durchaus schlimmere Sachen lassen sich noch machen, allerdings soll das hier ja auch kein Beitrag werden mit dem ich Leute auf „falsche Gedanken“ bringen möchte, oder gar eine Anleitung bieten möchte.

Das Thema hat mich nur mal kurzzeitig interessiert und ich fande ein bisschen „Aufklärung“ für den einen oder anderen unvorsichtigen User da draußen wäre sinnvoll.

Wie kann ich mich davor schützen?

Die einfachste Art sich vor JavaScript zu schützen, ist kein JavaScript ausführen zu lassen. Dafür gibt es Browser-Erweiterungen. Das bekannteste ist wohl NoScript für Firefox und ScriptSafe für Google Chrome. Internet Explorer oder Edge benutzt man am besten einfach gar nicht (außer nach einer Windows Installation um einen anderen Browser herunterzuladen).

Aber aber… das kann man doch auch ohne Addon im Browser deaktivieren.

Das stimmt, doch wenn man mal so ganz ohne JavaScript zur heutigen Zeit durchs Netzt surft, merkt man schnell das viele Seiten gar nicht mehr so richtig funktionieren. Viele kleine Aktionen oder auch ganze Menüs haben dann einfach keine Funktion mehr. Also müsste man jedes Mal in das versteckte Menü der Browser navigieren, JavaScript wieder aktivieren und vor der nächsten Website das ganze wieder deaktivieren.

Hier haben die Addons zwei große Vorteile.

1. Sie sind direkt oben der Browserleiste verfügbar
2. Die meisten Addons haben eine sogennante Whitelist Methode

Mehr Informationen zu den Whitlist Methoden der Addons finden sich meist auf den Websites der Hersteller.