Firefox zeigt andere Linkadresse an als tatsächliches Ziel

  • Hallo,

    wenn ich mit der Maus auf einen Link auf der Ergebnisseite der Suchmaschine duckduckgo.com gehe, wird mir der Link zu der entsprechenden Seite in der Addon-bar angezeigt. Das gleiche, wenn ich den Link mit "Element untersuchen" anschaue.
    Klicke ich aber auf den Link, werde ich erst zu duckduckgo.com geleitet und von dort erst zu der gesuchten Seite.
    Was ist der technische Hintergrund für dieses Phänomen?
    Heißt das, dass jede beliebige Seite mich mit Links zu einer anderen Adresse leiten kann, als Firefox sie anzeigt?
    Ist das nicht ziemlich unsicher?

    FF 23.0
    Windows 7 Professional 64 bit

  • hm, du hast recht.
    Es gibt allerdings zwei duckduckgo Versionen.
    Eine die Javascript die mit Javascript funktioniert: https://duckduckgo.com
    Eine die ohne Javascript auskommt: https://duckduckgo.com/html/

    Bei der zweiten Version (der ohne javascript) wird man direkt, ohne Umwege auf die Trefferseite geleitet

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Danke für den Hinweis, Zitronella.
    Damit kann ich das Verhalten bei duckduckgo.com umgehen.
    Nur: Heißt das, dass Firefox mit Javascript "ausgetrickst" werden kann? Wäre das nicht ziemlich bedenklich?

  • jeder Browser kann mit Javascript "ausgetrickst" werden.

    Info darüber:

    Externer Inhalt www.youtube.com
    Inhalte von externen Seiten werden ohne deine Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklärst du dich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

    Testseite: http://www.sempervideo.de/clickjacking/

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Das klingt so, als müsste ich im Forum für NoScript weitermachen, warum diese Umleitung trotz Cross-Site-Scripting-Schutz möglich ist. Oder habe ich da eine Feinheit nicht verstanden? In den Ausnahmen dafür steht duckduckgo.com jedenfalls nicht.

  • entschuldige, mein Link zu XSS war auch eher allgemein gemeint um zu zeigen was möglich ist.
    Aber vielleicht kannst du ja die Anfangsfrage beantworten, warum die anfängliche Weiterleitung? Würde mich selbst auch interessieren.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Zitat von Sören Hentzschel

    Das hat mit Cross-Site-Scripting (XSS) überhaupt nichts zu tun.


    Wie auch Zitronella wüsste ich gern, womit es dann etwas zu tun hat.
    Danke.

  • Zitat von Sören Hentzschel

    Das ist ein Privatsphäre-Feature. Die Ziel-Seite erfährt auf diese Weise nicht, nach welchem Suchbegriff gesucht worden ist. Das Feature kann in den Einstellungen von Duckduckgo deaktiviert werden:

    https://duckduckgo.com/settings

    Danke. Ich verstehe ein Stückchen mehr.
    Damit bin ich aber zurück bei der Grundsatzfrage: Wie wird das hier bewerkstelligt wenn nicht mit XSS?
    Im Prinzip kann das dann jede Website tun, auch mit genau der gegensätzlichen Absicht zum Datenschutz, nämlich auf eine Adresse zu verlinken, der ich nun genau nichts mitteilen möchte?
    Ist dagegen ein Schutz nötig und möglich?

  • aha versteh ich das richtig, dass durch diese Weiterleitung lediglich der Referer per JavaScript ausgeschaltet wird? Ohne Javascript wird aber der Referer gesendet?

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Der Referer wird so oder so gesendet, es wird lediglich eine andere Adresse dazwischengeschaltet, damit der Referer die Suchbegriffe nicht mehr beinhaltet.

    bege: Die konkrete Implementierung auf DuckDuckGo habe ich mir nicht angesehen, ich wollte jetzt nicht den kompletten Quellcode durchzusuchen, das könnte zeitintensiv werden. Aber prinzipiell ist das eine Fingerübung, auf eine andere URL umzuleiten. Und hier sehe ich auch kein übermäßig großes Sicherheits-Risiko. Wenn du eine Webseite besuchst, musst du dieser Webseite nun einmal vertrauen. Es gibt sicherlich die Gefahr, dass eine Webseite, welcher du vertraust, kompromittiert worden ist, aber dann kann noch deutlich größerer Schaden angerichtet werden als Ziel-URLs zu manipulieren. Und nachdem du einen Link geklickt hast, solltest du eh grundsätzlich darauf achten, dass du dann auch auf der gewünschten Webseite und nicht woanders bist. Firefox macht einem das ja einfach. Die Hauptdomain wird farblich in der Adressleiste hervorgehoben, sensible Aktionen sollten über verschlüsselte Verbindungen laufen, hier kann direkt mit einem Klick gesehen werden, wer der Eigentümer des Zertifikats ist, also auf die grundlegenden Dinge muss man immer ein Auge haben, wenn man im Internet ist.

    Um nochmal auf XSS zurückzukommen. XSS ist eine Sicherheitslücke, bei welcher Gefahr durch User-Eingaben entsteht. Beispielsweise ein Eingabefeld, in welches du JavaScript-Code hineinschreiben kannst und dieser Code dann nicht ausgegeben, sondern ausgeführt wird. Ein ziemlicher Anfänger-Fehler in der Webentwicklung. Eine solche Gefahr existiert hier aber nicht. Das Verhalten ist durch die Webseite so gewollt und Code kann nicht durch User-Eingaben ausgeführt werden, damit gibt es auch keine XSS-Schwachstelle.

  • nochmal zum Referer: (habs gerade an meiner eigenen Seite ausprobiert)
    Mit JavaScript in duckduckgo sieht der Referer folgendermaßen aus:

    Code
    http://r.duckduckgo.com/l/?kh=-1&uddg=http://hier-Die-Seite-auf-die-ich-im-Treffer-klickte/


    Ohne JavaSript in duckduckgo gibt es gar keinen Referrer.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Ich hätte deinen Beitrag aufmerksamer lesen / antworten sollen, tut mir Leid. Ich hab an der Stelle die Redirect-Einstellung von DuckDuckGo gemeint, da sollte es in beiden Fällen einen Referer geben (ohne dass jetzt auch überprüft zu haben, aber ansonsten wäre die Zwischen-URL relativ witzlos), aber du hast ja von aktiviertem / deaktiviertem JavaScript an der Stelle geschrieben. Ich bin mit meinen Gedanken derzeit ein wenig woanders. :oops: