Deanonymizing Facebook Users By CSP Bruteforcing

Geschrieben am 14. August 2014 von Hirnhamster

Did you ever wish to have all relevant information about a visitor right when he hits your site? Think of (full) name, gender and maybe hobbies and interests? Thanks to social networks we could at least get some of that data. All you need is the URL to that visitors (public) Facebook or Google+ profile – but if he doesn’t actively give it to you, you’re probably out of luck.

What if we could get that profile URL without the user even noticing it?

Inspired by the great article When Security Generates Insecurity (hat tip to Michael, who shared it and implemented the proposed login-check) I discovered that it is possible to get the profile URL of a logged-in Facebook user by exploiting the Content-Security-Policy implementation in Google Chrome. It requires some preconditions, but it’s definitly possible – and I’m going to explain how it works and why it’s dangerous in really great detail 😉

Lesen Sie weitere Deanonymizing Facebook Users By CSP Bruteforcing ›

Deanonymisierung von Facebook Nutzern durch CSP Bruteforcing

Geschrieben am 14. August 2014 von Hirnhamster

Stellt euch vor, ihr könntet über einen Besucher eurer Webseite alle relevanten Informationen in Erfahrung bringen (Name, Geschlecht, Vorlieben, etc.). Dank den sozialen Netzwerken sind diese Informationen zumindest zum Teil öffentlich verfügbar (z.B. durch Facebook- oder Google+ Profile). Allerdings müsste man dazu wissen, ob ein Besucher ein solches Profil besitzt und – hier wird es kompliziert – wie dieses lautet.

Angestoßen durch den Artikel When Security Generates Insecurity (Hat Tip to Michael, der die Abfrage des Login-Status implementiert hat) habe ich herausgefunden, dass es möglich ist, die Facebook Profil-URL eines Users durch die Ausnutzung einer Lücke in Google Chrome herauszufinden.

Lesen Sie weitere Deanonymisierung von Facebook Nutzern durch CSP Bruteforcing ›

[NSC Woche 5 & 6] Linkbuilding und Kack-Links, die immer noch ziehen

Geschrieben am 12. Mai 2014 von Hirnhamster

In der vorigen Statusberichten ging es weitestgehend nur um OnPage-Faktoren ([1] Nischenfindung, [2] Content-Erstellung, [3] Snippet-Optimierung). Diesen Report widme ich deshalb dem mindestens ebenso wichtigen OffPage-Bereich bzw. ein paar Insights zum Linkbuilding von http://www.bitcoins-kaufen.org/.
Lesen Sie weitere [NSC Woche 5 & 6] Linkbuilding und Kack-Links, die immer noch ziehen ›

[NSC Woche 4] Snippetoptimierung – Mehr Klicks für die Coins

Geschrieben am 30. April 2014 von Hirnhamster

Im zweiten Status Bericht habe ich beschrieben welchen Content ich erstellt und worauf ich dabei geachtet habe. Diesen dritten Bericht widme ich der Darstellung in den Google-Suchergebnissen – genauer: Dem Snippet meiner Nischenseite http://www.bitcoins-kaufen.org/ in den SERPs.
Lesen Sie weitere [NSC Woche 4] Snippetoptimierung – Mehr Klicks für die Coins ›

[NSC Woche 2 & 3] Content: „Wie kauft man Bitcoins?“ & „Welches Konto nutzt man dafür?“

Geschrieben am 22. April 2014 von Hirnhamster

Im ersten Status Bericht bin ich auf meine Nische Bitcoins kaufen eingegangen und habe sowohl das Finden derselben als auch den Status Quo der Webseite beschrieben. Der zweite Bericht zu meiner Nischenseite http://www.bitcoins-kaufen.org/ steht ganz im Zeichen des Contents – ergänzt um ein paar Infos zur Struktur der Webseite. Ich setze dabei auf einzelne, handgesetzte Webseiten, die einen starken Onepager/Landing Page Charakter haben.

Lesen Sie weitere [NSC Woche 2 & 3] Content: „Wie kauft man Bitcoins?“ & „Welches Konto nutzt man dafür?“ ›

Rich Snippets – Testprojekt zur Manipulation [Campixx’14]

Geschrieben am 19. März 2014 von Hirnhamster

Rich Snippets sind eine fantastische Möglichkeit, die Ergebnisdarstellung in den SERPs aufzuwerten und sich von den Konkurrenten abzuheben. Gefühlt setzen jedoch nur wenige Webseiten diese Möglichkeit ein. (Falls jemand Studien dazu kennt: Bitte in die Kommentare!) Ich habe mich bisher nur rudimentär mit den vorhandenen Einsatzmöglichkeiten befasst, weil ich selbst keine passende Inhalte bzw. Webseiten für die meisten Rich Snippet Typen besitze. Aber benötigt man überhaupt „passende“ Inhalte, oder bekommt man Sternchen, Bilder und Co. auch, wenn inhaltlich abweichender Content ausgezeichnet wird?
Lesen Sie weitere Rich Snippets – Testprojekt zur Manipulation [Campixx’14] ›

SEO Campixx 2014 – Recap

Geschrieben am 18. März 2014 von Hirnhamster

Mein Recap zur SEO Campixx 2014 findest Du auf http://www.bitcoins-kaufen.org/ unter SEO Campixx 2014 – Mein Recap für euch. See you there 🙂
Lesen Sie weitere SEO Campixx 2014 – Recap ›

Jahresarchive: 2014