AK's weblog

Entries from Wednesday, September 3. 2008

Wednesday, September 3. 2008

Google Chrome: alles, was man in die Adressleiste eintippt, wandert an Google

Nachdem gestern Google Chrome veröffentlicht worden war, beschloss ich heute früh, diesen neuen Browser zu installieren und etwas auszuprobieren. Eine der ersten Tasks war, Google Chrome mit dem SilkPerformer zu recorden. Also fügte ich Google Chrome als aufzunehmende Applikation hinzu, und startete den Recorder. Der Recorder startete wiederum Google Chrome. Ich fing an, eine URL in die Adressleiste einzutippen, und als ich gerade einmal ein paar Zeichen eingetippt hatte, sah ich plötzlich zu meinem Erstaunen, dass der SilkPerformer Recorder schon 8 Requests aufgenommen hatte. Sofort brach ich das Tippen ab (ich habe zu keinem Zeitpunkt die Return-Taste betätigt, d.h. keinen Requests abgesetzt), und ließ mir vom Recorder ein SilkPerformer-Skript generieren.

Das Ergebnis war folgendes BDL-Skript wie dieses (nachgestellt mit "derstandard.at"):
  1.   transaction TMain
  2.   var
  3.   begin
  4.     WebCookieSet(
  5.       "PREF=ID=1fd95af95345140d:TM=1220426105:LM=1220426105:S=098Rr3a4YjkSTb3p; domain=.google.at; path=/; expires=Mon, 03 Sep "
  6.       "2018 08:10:14 GMT", "http://clients1.google.at/complete/search");
  7.     WebFormGet("http://clients1.google.at/complete/search", COMPLETE_SEARCH001, 0.75);
  8.     WebFormGet("http://clients1.google.at/complete/search", COMPLETE_SEARCH002, 0.58);
  9.     WebFormGet("http://clients1.google.at/complete/search", COMPLETE_SEARCH003, 0.00);
  10.     // Redirecting -> (redirection) http://www.google.at/
  11.     WebCookieSet(
  12.       "PREF=ID=8fd96e7a2a09b937:TM=1220426104:LM=1220426104:S=fCS4ygwXBU6hypcH; domain=.google.com; path=/; expires=Mon, 03 Sep"
  13.       " 2018 08:10:16 GMT", "http://www.google.com/");
  14.     WebUrlHead("http://www.google.com/", 0.39);
  15.     WebFormGet("http://clients1.google.at/complete/search", COMPLETE_SEARCH004, 1.41);
  16.     WebFormGet("http://clients1.google.at/complete/search", COMPLETE_SEARCH005, 0.92);
  17.     WebFormGet("http://clients1.google.at/complete/search", COMPLETE_SEARCH006, 0.83);
  18.     WebFormGet("http://clients1.google.at/complete/search", COMPLETE_SEARCH007, 0.53);
  19.     WebFormGet("http://clients1.google.at/complete/search", COMPLETE_SEARCH008);
  20.   end TMain;
  21.  
  22. dclform
  23.   COMPLETE_SEARCH001:
  24.     "client"                    := "chrome",
  25.     "output"                    := "chrome",
  26.     "hl"                        := "de",
  27.     "q"                         := "d";
  28.  
  29.   COMPLETE_SEARCH002:
  30.     "client"                    := "chrome",
  31.     "output"                    := "chrome",
  32.     "hl"                        := "de",
  33.     "q"                         := "de";
  34.  
  35.   COMPLETE_SEARCH003:
  36.     "client"                    := "chrome",
  37.     "output"                    := "chrome",
  38.     "hl"                        := "de",
  39.     "q"                         := "der";
  40.  
  41.   COMPLETE_SEARCH004:
  42.     "client"                    := "chrome",
  43.     "output"                    := "chrome",
  44.     "hl"                        := "de",
  45.     "q"                         := "derst";
  46.  
  47.   COMPLETE_SEARCH005:
  48.     "client"                    := "chrome",
  49.     "output"                    := "chrome",
  50.     "hl"                        := "de",
  51.     "q"                         := "derstand";
  52.  
  53.   COMPLETE_SEARCH006:
  54.     "client"                    := "chrome",
  55.     "output"                    := "chrome",
  56.     "hl"                        := "de",
  57.     "q"                         := "derstanda";
  58.  
  59.   COMPLETE_SEARCH007:
  60.     "client"                    := "chrome",
  61.     "output"                    := "chrome",
  62.     "hl"                        := "de",
  63.     "q"                         := "derstandard";
  64.  
  65.   COMPLETE_SEARCH008:
  66.     "client"                    := "chrome",
  67.     "output"                    := "chrome",
  68.     "hl"                        := "de",
  69.     "q"                         := "derstandard.at";

Wie an diesem Skript gut zu erkennen ist, hat Google Chrome in der kurzen Zeit, in der ich "derstandard.at" in die Adressleiste eingetippt hatte, ohne jedoch einen tatsächlichen Request abzusetzen, 8 Requests an http://clients1.google.at/complete/search verschickt, jeweils mit dem aktuellen Inhalt meiner Adressleiste.

Meiner Meinung nach ist dieses Verhalten aus Privacy-Sicht äußerst kritisch zu beurteilen: Google Chrome zeigt bei Eingaben in der Adressleiste ein Verhalten ähnlich dem eines Keyloggers. Selbst Tippfehler, Korrekturen oder versehentlich eingegebene Daten (wem ist es nicht schon einmal passiert, z.B. Passwörter in einem falschen Eingabefeld eingegeben zu haben?) landen bei Google, und das noch dazu über eine unverschlüsselte Verbindung. Bisher hat Google ja schon etliche Daten über ihre User gesammelt, in Form von Sucheingaben. Dass nun aber auch einfach alles, was in ein bestimmtes Eingabefeld eingetippt wird, ohne dass der User explizit einen Request absetzen will, das ist schon eine neue Qualität. Selbst wenn es dafür eine Konfigurationsoption geben sollte, dieses Verhalten abzuschalten: das Default ist, dass jede Menge Daten über das, was ich in meine Adressliste eintippe, an Google gehen. Selbst annähernd genaue Timingdaten über das Tippverhalten könnten daraus gewonnen werden, und wie schon seit 2005 bekannt ist, kann diese Information verwendet werden, um Personen an ihrem Tipp-Timing zu identifizieren.
Posted by Andreas Krennmair at 09:58 | Comments (34) | Trackbacks (0)
Defined tags for this entry: , ,
Related entries by tags:
(Page 1 of 1, totaling 1 entries)

About Me



Andreas Krennmair, software engineer, open-source developer, currently living and working in Berlin, Germany.

Calendar

Back September '08 Forward
Mon Tue Wed Thu Fri Sat Sun
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          

Quicksearch

Archives

Show tagged entries

Buttons










Syndicate This Blog

Blog Administration

Open login screen

Powered by

Serendipity PHP Weblog

Links

Blogroll

xkcd.com
Planet Debian
MY POV ([expect the unexpected])
C skills
Planet Erlang / Published News
armstrong on software
Photos from akrennmair
Das Metalab informiert
dive into mark
/usr/local/bin
F!XMBR
heise online News (full feed)
JLog
SecuriTeam Blogs
.:Computer Defense:.
Riot Porn
Chaosradio
Radiomultikulti vom RBB: Russendisko unplugged
AK's weblog
The Recurity Lablog
milw0rm.com
seclog.de
ilja's blag
udo.kernecker.at - mein leben als prinzregent... ;-)
grabnerandi.at diary feed
Hilli's WebLog
accidents waiting to happen
Venzi's Weblog
TaoSecurity
Irrlicht3d.org
murphee's Rant
waiterrant.net
grml development blog
mutt Changelog
nion's blog
Wannabe Everything
blog@bytelabs
Knowledge Brings Fear
Die wunderbare Welt von Isotopp
Fefes Blog
law blog
mikas blog
BILDblog
GoogleWatchBlog
Krone - Blog
The Lunatic Fringe
mp's blog
Su-Shee 2.0
Sex, Drugs & Compiler Construction
Qbi's Weblog
gedankensplitter
Ohns Gehirnschleimschmiede
fh
Clifford Wolf's Blog
AK's moblog
Telepolis News
Slashdot
Newssystem von bundesheer.at
Riding Rails - home
Serendipity
O'Reilly Ruby
CCC Events Weblog
del.icio.us/dubrider
del.icio.us/timpritlove
del.icio.us/ak
del.icio.us/mika
AK's Soup
Friends of ak
Astronomy Picture of the Day
german-bash.org - Die neuesten Zitate
QDB
WeirdWeirdWorld Latest Feed
I CAN HAS CHEEZBURGER?
The Trailer Mash
Cruel.Com
fun.drno.de
Peter Pilz grüner Sicherheitssprecher Österreich Wien
NPD-BLOG.INFO
INSM Watchblog
Hitler-Blog
Everybody loves Eric Raymond
Dilbert