Verwenden von HTML+CSS zum Verfolgen von Mausbewegungen

Da Benutzer immer datenschutzbewusster werden und mehr Vorkehrungen gegen Online-Tracking treffen, greifen sie auf Werbeblocker und Skriptblocker zurück, um JavaScript-Tracking-Skripte zu blockieren. Nun haben Forscher eine neue Möglichkeit entdeckt, mithilfe von HTML und CSS die Mausbewegungen von Website-Besuchern zu verfolgen und den Tracking-Schutz zu umgehen.

1 Neue Angriffstechniken

Das Online-Tracking erfolgt größtenteils über JavaScript-Skripte, die in Websites und Anzeigen geladen werden. Dadurch können Werbetreibende und Websites nachverfolgen, wo Sie online sind, wie Sie Websites verwenden oder sonstige Online-Verhaltensweisen verfolgen.

Diese Skripte können mit einem Werbeblocker, einem Browser-Tracking-Schutz (wie der Inhaltsblocker von Firefox) oder durch die vollständige Blockierung von JavaScript blockiert werden.

Inhaltsblockierung in Firefox

Forscher haben eine neue Möglichkeit entdeckt, die Mausbewegungen von Website-Besuchern auf Webseiten zu verfolgen, und zwar ohne den Einsatz von JavaScript, indem nur HTML und CSS verwendet werden. Dadurch lässt sich diese Verfolgung nur sehr schwer blockieren.

Der Sicherheitsforscher Davy Wybiral demonstrierte auf Twitter, wie eine Website HTML und CSS verwenden kann, um Mausbewegungen in einem Browserfenster in einem anderen Browserfenster zu beobachten.

Wybiral erreichte dies durch die Erstellung eines Rasters aus HTML-DIVs, die CSS nutzten: Wenn die Maus über ein Kästchen im Raster bewegt wurde, konnte der Hover-Selektor ein neues Hintergrundbild anfordern. Da die Bildanforderungen im Hintergrund erfolgen, zeigt der Browser nicht an, dass eine Verbindung hergestellt wird, sodass alle Anforderungen für den Benutzer verborgen bleiben.

HTML-Quellcode

Wenn ein Benutzer mit der Maus über ein Feld fährt und ein neues Hintergrundbild anfordert, zeichnet das Skript die Position des Mauszeigers auf. Ein Benutzer in einem anderen Browser kann dann die URL /watch zur Echtzeitüberwachung verwenden.

Diese Technik kann für verschiedene Zwecke verwendet werden, beispielsweise zum Identifizieren von Hotspots auf einer Website und zum Untersuchen von Benutzeroberflächen. Darüber hinaus können mithilfe der Technologie dynamische (Gang-)Analysen durchgeführt und Erkenntnisse über weitere Verhaltensmerkmale der Besucher gewonnen werden.

Die Forscher sagten außerdem, dass neben dem Hover-Selektor auch andere Selektoren verwendet werden können, um das Browserverhalten zu verfolgen.

2 Andere CSS-Tracking-Techniken

Die von Wybiral entdeckte Methode ist nicht die einzige, die zeigt, wie CSS und HTML zum Verfolgen von Website-Benutzern verwendet werden können.

Letztes Jahr wurde ein Projekt namens CrookedStyleSheets veröffentlicht, das es Websites ermöglicht, Benutzerinformationen wie etwa die Bildschirmauflösung, den verwendeten Browser und Informationen darüber, wann der Benutzer auf einen Link klickt, zu sammeln und anhand unterstützter Schriftarten Rückschlüsse darauf zu ziehen, welches Betriebssystem der Benutzer verwendet.

Wie bei Wybirals Ansatz wird dies alles mit HTML und CSS erledigt, ohne Verwendung von JavaScript.

Zusammenfassen

Oben habe ich Ihnen die Verwendung von HTML+CSS zur Verfolgung von Mausbewegungen vorgestellt. Ich hoffe, es wird Ihnen helfen. Wenn Sie Fragen haben, hinterlassen Sie mir bitte eine Nachricht und ich werde Ihnen rechtzeitig antworten!