Chrome ruft Google

[Dynamite]

Die erste Euphorie über Googles neuen Browser Chrome Beta wird inzwischen durch Bedenken von Datenschützern stark gedämpft. Leider hat Google zwar eine Datenschutzerklärung zu Chrome veröffentlicht, diese jedoch so weich formuliert, dass sie wenig geeignet ist, Bedenken zu zerstreuen. Google erklärt zwar, was es tut, aber nicht, was es unterlässt. So hat jeder Browser eine eigene Identifikationsnummer (ID), die unter Umständen an den Hersteller übertragen wird, doch es wird nicht klar, unter welchen Umständen diese Nummer garantiert nicht nach außen gelangt.

Eine solche ID ist nichts Neues. Sofern sie nur mit dem ausdrücklichen Einverständnis des Benutzers in klar definierten Fällen übertragen wird, etwa damit der Hersteller Fehlerszenarien analysieren kann, so ist dagegen nichts zu sagen. Obwohl Google dieses Einverständnis bei der Installation abfragt und die nachträgliche Deaktivierung erlaubt, bleiben Fragen offen.

So fällt auf, dass Google den Browser nicht wie üblich im dafür vorgesehen Verzeichnis von Windows installiert, sondern an einer Stelle, an der normalerweise Daten abgelegt werden. Das hat nebenbei bemerkt zur Folge, dass die ausführbaren Dateien nicht vor Modifikationen etwa durch Schadsoftware geschützt sind, die Anwender mit eingeschränkten Rechten möglicherweise aus dem Netz laden – ein unnötiges Sicherheitsrisiko. Es bedeutet aber auch, dass jeder Benutzer sich den Browser in einer eigenen Kopie installiert. Das macht aus der ID ein Erkennungsmerkmal für den einzelnen Surfer. Deinstalliert dieser den Browser, verbleibt die ID in seinem Datenverzeichnis und wird nach einer neuerlichen Installation wiederverwendet.

Da die ID offenbar nicht eins zu eins übertragen wird, lässt sich schwer kontrollieren, wann sie an Google gelangt. Google-Pressesprecher Kay Oberbeck erklärte gegenüber heise online, dass die IDs nicht mit Benutzerdaten zusammengeführt würden. Solche Daten fallen etwa an, wenn Chrome die Eingaben in die Adresszeile an die eingestellte Suchmaschine (standardmäßig Google) sendet, um von dort Vorschläge zur Ergänzung von Adressen und Suchbegriffen zu beziehen. Diese Funktion lässt sich aber problemlos deaktivieren.

Allerdings gibt es noch eine weitere Funktion, die helfen soll, wenn man sich bei der Adresseingabe vertippt. Auch bei Standard-404-Fehlermeldungen oder DNS-Fehlern macht Google Korrekturvorschläge und bietet an, nach der falsch eingegebenen Adresse zu suchen. Dabei schickt Chrome ebenfalls die eingegebene URL an Google. Auch diese Funktion lässt sich abschalten.

In der Datenschutzerklärung schreibt Google, dass beim Besuch der Google-Seiten Cookies gesetzt werden. Das ist nicht weiter überraschend, wohl aber die Tatsache, dass sich Chrome auch Cookies von Google holt, wenn man dort keine Seiten abruft. Sie werden dann zusammen mit Daten wie den eingetippten Adressen immer wieder an Google übertragen.

Wie Internet Explorer, Firefox und Opera bietet auch Chrome eine Funktion, die aufgerufenen Webseiten mit den Einträgen in einer lokalen, regelmäßig aktualisierte Datenbank mit Phishing-Seiten vergleicht und beim Laden verdächtiger Seiten warnt. Diese Funktion sorgt für regelmäßigen Austausch zwischen Chrome und Google, bei dem auch Cookies übertragen werden.

Wie viele andere Hersteller installiert auch Google mit vielen seiner Programme einen Update-Manager, der bei Systemstart automatisch geladen wird und gelegentlich nach Hause telefoniert, um nach neuen Versionen zu suchen. Dieses GoogleUpdate.exe wird auch mit Chrome stillschweigend mitinstalliert. Ärgerlich ist jedoch, dass einem der Hintergrundprozess auch erhalten bleibt, wenn man Chrome wieder deinstalliert. Da er in der Systemverwaltung unter "Software" nicht auftaucht, übersieht man das leicht. Man muss die Software von Hand löschen und den Starteintrag etwa mit "msconfig" entfernen.

Wer Chrome ohne den Updater installieren will, kann dazu ein Offline-Installationsprogramm von Google herunterladen. Der Browser erhält aber auch dann eine eigene ID. Falls Ihnen diese zu individuell ist, nutzen Sie doch einfach die Portable-Version von Carsten Knobloch. Die enthält zwar auch eine ID, aber immer dieselbe. Da wird es Google schwer haben, Sie wiederzuerkennen.

Bei einer bereits installierten Chrome-Version lässt sich eine neue ID eintragen. Dazu sucht man, ohne dass Chrome läuft, die Datei "Local State" im Google- Installationsverzeichnis unter "User Data" und ersetzt die Strings "client_id" und "client_id_timestamp" etwa durch die Werte, die in der erwähnten Portable-Version eingetragen sind: FA7069F6-ACF8-4E92-805E-2AEBC67F45E0 und 1220449017. Wir können allerdings keine Garantie geben, dass dies die einzige Speicherstelle der ID ist.

Quelle: Heise.de

[feldmann]

noch ein Browser den im grunde niemand braucht.

[Dynamite]

Neuer Browser "bequem, aber kritisch"
Bundesamt warnt vor Googles Chrome

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Internetnutzern vom Gebrauch des neuen Google Chrome abgeraten. Der Browser "sollte nicht für den allgemeinen Gebrauch eingesetzt werden", sagte Sprecher Matthias Gärtner der "Berliner Zeitung". Es sei problematisch, dass Google ein Produkt in der Testversion aufgrund seiner Marktmacht einer breiten, zum Teil technisch wenig versierten Öffentlichkeit zugänglich mache.

Chrome sei zwar "bequem, aber kritisch", nicht nur weil das Programm noch nicht ausgereift sei, sondern auch wegen der "Datensammelwut von Google", sagte Gärtner weiter. Vor dem Hintergrund, dass der kalifornische Suchmaschinenkonzern mit dem Browser nun alle wichtigen Bereiche im Internet vom E-Mail-Programm über die Suche bis zu rein internetbasierten Textverarbeitungsprogrammen abdeckt, warnte der BSI-Sprecher: "Aus sicherheitstechnischen Gründen ist die Anhäufung von Daten bei einem Anbieter kritisch".

Gärtner empfiehlt, die Nutzungsbedingungen für Chrome sehr genau zu lesen. Dort heißt es unter anderem: "In die Adressleiste eingegebene URLs oder Suchanfragen werden an Google gesendet, damit von der Vorschlagsfunktion automatisch gesuchte Begriffe oder URLs empfohlen werden können."

Quelle: Tagesschau.de

[sportsuche]

ich denke das teil wird sich früher oder später durchsetzen.

als google aufkam, hat jeder darüber gelacht, heute nicht mehr.

[feldmann]

ich denke auch das der sich,wenn die kinderkrankheiten ausgebügelt sind, durchsetzt.
google hat ja schließlich ein guten namen.

[Dynamite]

Exploit für Sicherheitslücke in Google Chrome

Für eine gerade erst entdeckte kritische Sicherheitslücke in Googles Webbrowser Chrome ist bereits ein Demo-Exploit aufgetaucht, mit dem sie sich aktiv ausnutzen lässt. Das Security Vulnerability Research Team des vietnamesischen Bkis entdeckte die Lücke: Beim Speichern einer HTML-Seite mittels "Saves as" oder "Speichern als" gibt es einen Buffer Overflow bei zu langem Namen der Titelleiste respektive zu langen Title-Tags. Durch die Lücke können Angreifer beliebigen Code einschleusen und zur Ausführung bringen. Betroffen ist Google Chrome 0.2.149.27. Nach Angaben der Entdecker der Lücke ist Google bereits informiert und hat den Fehler bestätigt.

Im aktuellen Chrome-Build 0.2.149.29 ist der Fehler bereits behoben. Chrome-Anwender können herausfinden, welchen Build sie einsetzen, indem sie auf den Schraubenschlüssel neben der Adressleiste klicken und dort "About Google Chrome" auswählen. Ist die installierte Revision nicht mehr aktuell, macht Chrome im Fenster links unten auf eine neuere Version aufmerksam.

Mit der Vorgehensweise bei der Veröffentlichung seines Webbrowsers Chrome macht sich Google anscheinend keine Freunde unter Sicherheitsexperten – zumal bereits zuvor Schwachstellen entdeckt wurden, die kombiniert zu einer Sicherheitslücke anwachsen, in den von Google benutzten Softwarekomponenten aber bereits korrigiert wurden. Kritisiert wird nun unter anderem die Aufweichung des Begriffs "Beta-Version", wenn ein Konzern wie Google einen Webbrowser zwar als Beta deklariert, dies aber wie bei den oft lange Zeit als Beta deklarierten Google-Diensten kaum einen Unterschied zu als fertig freigegebenen Diensten oder Software zu manifestieren scheint. Normale Anwender würden durch solche Vorgehensweisen daran gewöhnt, Beta-Software wie fertige Anwendungen zu behandeln.

Auch soll Google selbst den Browser bei den eigenen Produktivsystemen einsetzen; der Konzern hat ihn zudem ohne größere Warnung oder Einschränkungen millionenfach an normale Anwender verteilt – und sie dann mit kritischen Sicherheitslücken und Fehlern erst einmal ungeschützt Angriffen durch Cyberkriminelle ausgesetzt. Zwar veranstalten auch andere Konzerne wie Microsoft oder auch Projekte aus der Open-Source-Szene öffentliche Beta-Tests – immerhin aber wird dann deutlicher auf die Gefahren des Beta-Status hingewiesen, als dies Google bei Chrome gemacht hat. Zudem sind bereits bekannte Sicherheitslücken in den Beta-Versionen im Allgemeinen geschlossen, außerdem sind in der Regel stabile Vorgängerversionen zu den Betas verfügbar.

In diese Kerbe haut auch das Bundesamt für Sicherheit in der Informationstechnik (BSI): Es sei problematisch, dass Google ein Produkt in der Testversion aufgrund seiner Marktmacht einer breiten, zum Teil technisch wenig versierten Öffentlichkeit zugänglich mache, sagte BSI-Sprecher Matthias Gärtner gegenüber der Berliner Zeitung. Chrome sei zwar "bequem, aber kritisch", nicht nur weil das Programm noch nicht ausgereift ist, sondern auch wegen der Datensammelwut von Google. "Google Chrome sollte nicht für den allgemeinen Gebrauch eingesetzt werden", betonte Gärtner wie schon andere Sicherheitsexperten.

Quelle: Heise.de

[Dynamite]

Mit dem Gratis-Tool UnChrome verhindern Sie, dass Googles Webbrowser Chrome eindeutige Daten über Ihr Surfverhalten zum Hersteller schickt.

Bei der Installation von Google Chrome bekommt jeder Browser eine einzigartige Client-ID. Das Freeware-Tool ändert diese Identifikationsnummer, indem es den Wert mit einer Reihe von Nullen überschreibt. Damit sei gewährleistet, "dass sich Chrome wieder völlig anonym verwenden lässt", verspricht Dr. Sven Abels vom Hersteller AbelsSoft. (bbl)

Download: UnChrome

Download: Google Chrome

Quelle: Chip.de

[Dynamite]

Spoofing-Gefahr: Sicherheitslücke in Google Chrome

Er sollte die Internet-Nutzung schneller, einfacher und sicherer machen. Zumindest das letzte Versprechen kann der Google-Browser Chrome aber nicht halten: Jetzt wurde eine Lücke entdeckt, die sich für Spoofing-Attacken ausnutzen lässt.

Das Sicherheitsleck erlaubt es Angreifern, die URL in der Browser-Adressleiste zu fälschen - und so die wahre Identität der besuchten Seite zu verschleiern. Ein denkbares Bedrohungs-Szenario wäre: Kunden eines Webshops klicken auf ein Paypal-Logo, doch statt auf der Webseite des Bezahl-Dienstes landet man bei einem Betrüger, der das Passwort abgreift.

Gegenüber der britischen Webseite The Register sagte ein Google-Sprecher, die Lücke sei bekannt und werde in einem bald folgenden Update geschlossen. Aufgespürt hat das Leck Liu Die Yu, Browserexperte beim chinesischen Sicherheits-Lab TopsecTianRongXin. Auf seiner Webseite hat Yu eine Demo der Lücke veröffentlicht. (ahe)

Quelle: Chip.de

[sportsuche]

also ich hab mir über chrome bisher keine gedanken gemacht.