Finde eigentlich nur ich das merkwürdig, dass der Firefox alle aufgerufenen URLs an Google übergibt? Okay. Die Adressen werden an die SafeBrowsing-API übergeben und Google überprüft dann, ob die Site als Phising-Site bekannt ist. Aber trotzdem… Habe ich da etwas falsch verstanden?
Das Adult Webmaster Blog hat 2005 in den Artikel „Safe Browsing Firefox Plugin“ die Tatsache problematisiert:
„Wie Nitesh herausgefunden hat, sendet das Plugin bei Applikationen, die auf GET setzen, den kompletten Request (auch bei SSL) als Text an die Schnittstelle von Google, was eine erhebliche Sicherheitslücke darstellt.“
Seit 2006 ist das Safe Browsing Plugin als „Phising Protection“ fest im Browser integriert. Ob sich seither etwas an der Art und Weise, wie das System funktioniert geändert hat, konnte ich nirgends finden. In der Developer Doku für die Phishing Protection gibt es aber einen Absatz zu „The Need for Data Collection“ – demnach erzeugt Google sein Wissen über Phishing Sites nicht irgendwie aus der Datenbank der Suchmaschine, sondern aus dem Surf-Verhalten der Benutzer:
„We use this information to understand what’s happening to the users of this feature. How often do people hit these sites? What sites are hit most often? How often do they actually heed the warning? etc.“
Lösung?
Safe Browsing lässt sich aber per config:about abschalten. dann funktioniert natürlich der Schutz vor Phishing nicht mehr – es werden aber auch keine Daten mehr an Google übertragen.
Schreibe einen Kommentar