Facebook FAIL - user information leakage im Referrer

It's a maexotic world ...


Es ist schon fast ironisch, dass dies auffällt, weil jemand in Facebook auf den Link zu meinem Artikel über Datenschutz geklickt hat.

Aufgrund der absolut hirntoten Strategie, mit der Facebook seine URLs aufbaut, passiert folgendes:

Eine Suche nach "John Doe" resultiert in folgendem URL:

http://www.facebook.com/search/?q=John+Doe&init=quick

Klickt man anschliessend auf "Home", ändert sich dieser zu:

http://www.facebook.com/search/?q=John+Doe&init=quick#/home.php?ref=home

und das ist dann auch das, was der Betreiber einer Website sieht, wenn man jetzt unter "Home" auf einen externen Link klickt.

Na gut, das alleine ist jetzt noch nicht so tragisch, aber man kann ja auch auf einen beliebigen "John Doe" in der Trefferliste klicken, dann landet man bei:

http://www.facebook.com/profile.php?id=1000nnnnnnnnnnnn&ref=search&sid=12nnnnn842.1782059462..1

und von da dann nach "Home" ist man bei

http://www.facebook.com/profile.php?id=1000nnnnnnnnnnnn&ref=search&sid=12nnnnn842.1782059462..1#/home.php?ref=home

Klickt man jetzt auf einen externen Link, wird der URL wiederum im Referrer-Feld übergeben.

Und nun ist es nicht mehr lustig. Die oben markierte (von mir anonymisierte) Zahl ist die Benutzernummer des Facebook-Accounts. Damit kann der Website-Betreiber in diesem Fall nachverfolgen, welche Facebook-Benutzer seine Webseiten aufgerufen haben.

FAIL!

Comments

    • Posted byknarf
    • on
    Besonders nett finde ich ja auch den Facebook-Chat, der alle Links mit einem Redirect auf Facebook versieht, sodass angeklickte Links definitiv protokollliert werden (wenn nicht ohnehin der gesamte Inhalt des Chats).
    • Posted byNick
    • on
    Ohne RefControl-AddOn würd ich eh nicht mehr surfen.