(Etwas) Anonymer klicken mit DeReferrer-Diensten

Wenn Sie auf einen Link klicken, guckt der Browser nach, wohin dieser Link führt und ruft diese Webadresse dann auf. Der besuchten Zieladresse sagt ihr Browser, auf welchen Link Sie geklickt haben, was also der „HTTP-Referer“ war – der Hypertext-Verweis. Das hat verschiedene nützliche Gründe – eine Website kann ja zum Beispiel eine Funktion anbieten, die davon abhängt, von wo aus Sie sie besucht haben. Den technischen Grund legt dieses RFC fest. Darin kann man auch gleich lesen, dass die „referrer“ dort „referer“ sind – Sie werden feststellen, dass die Schreibweise mal ein, mal zwei „r“s verwendet. Was ja auch wurrst ist. Aber es ist doch ganz errheiternd, dass die „referer“ nur ein Tippfehler sind, und wir nur deswegen noch heute das Problem mit den zwei Schrreibweisen haben…

Für die Anonymität hat der Referrer übrigens kaum wirkliche Auswirkung – im Web sind wir ohnehin nie wirklich anonym. ;-) Das ganze ist also wirklich mehr was für Paranoide oder für ganz spezielle Einzelfälle.

Es gibt (oder besser: gab) einen Sonderfall: Früher waren Webmail-Dienste ziemlich dümmlich. Nutzer wurden allein durch Ihre URL identifiziert, das heißt, man gab Ihrem Browser nach dem Login eine ID mit, die sich ständig in der Webadresse zeigte. Das Gefährliche: Wer diese URL in seinen Browser eingab, sah genau dasselbe wie Sie! Wer also in einem Webmail-Programm einen Link in einer Mail anklickte, der gab der Zieladresse eine Information mit, die es dem Betreiber der Zieladresse erlaubte, in Ihr Konto einzudringen. Das wurde auch tatsächlich ausgenutzt, ist aber heute unüblich, so dass sich die Paranoia nicht lohnt.

Dereferrer-Dienste im Web

Ein ganz einfacher Trick, die Quelle eines Links zu anonymisieren, ist, einen Mittler zwischenzuschalten. Diese Mittler heißen Dereferrer, und an einem von Ihnen kann man sehr schön sehen, wie das ganze funktioniert.

Pikanterweise bietet nämlich ausgerechnet Google, selbst als Datenkrake verschrien, einen Dereferrer-Dienst an, den Sie auf https://www.google.com/url?sa=D&q= finden. Um ihn zu verwenden, also einen „anonymen“ Link zu setzen, geben Sie einfach die Zieladresse nach dem = ein, bei https://unsicherheitsblog.de also
https://www.google.com/url?sa=D&q=https://unsicherheitsblog.de.Wenn Sie diesem Link folgen, kommen Sie zur folgenden Anzeige:

Googles Dereferrer-Dienst

Googles Dereferrer-Dienst

Indem Sie (oder die Besucher Ihrer Website) hier auf den Link zur Zieladresse klicken, wird *diese* Google-Seite zum neuen Referrer – und entfernt somit zugleich die ursprüngliche Referrer-Information, also: auf welcher Seite der Link ursprünglich angeklickt worden war.

Es gibt noch weitere Dienste dieser Art, die sich meist interaktiv benutzen lassen. Beliebt & bekannt sind:

Sind Dereferrer gefährlich?

Ja.

  • Mag sein, dass die Zieladresse nun nicht mehr weiß, über welche Seite sie aufgerufen wurde. So weit, so anonym. Aber der Dereferrer-Anonymisierungsdienst weiß nun alles! Er weiß, dass die Seite <Zieladresse> von <IhreAktuelleSurfIPAdresse> über die sich versteckenden wollende Website <QuelladresseMitLink> aufgerufen wurde. Kein Wunder, dass Google so einen Dienst anbietet – ich würde auch wissen wollen, wer im Web anonym bleiben will und warum. <Paranoia_ON> Wenn Sie die NSA oder der BND wären, würden Sie dann nicht auch einen solchen Dienst betreiben wollen?</Paranoia_OFF>
  • Schlimmer noch: Sie wissen nicht, auf welche Website diese Weiterleitungsdienste im Augenblick des Klicks wirklich umleiten! Wer solche Dienste verwendet, schickt seine Besucher also unter Umständen auf Malware-Seiten, die den Besucher im Drive-by-Verfahren in Sekunden infizieren. Beim Google-Dienst mag das unwahrscheinlich sein, aber wer will das für irgendwelche anderen Anonymisierungsdienste gesichert sagen? Auch Anonym.to ist sicher eigentlich vertrauenswürdig – sofern Sie dem Betreiber gulli.com vertrauen -, aber wer kann das wirklich mit Sicherheit wissen?
  • Selbst wenn der Anbieter vertrauenswürdig ist – wer sagt denn, dass er nicht ausgerechnet gestern Abend gehackt wurde? Dem Dienst cli.gs passierte das am 15. Juni 2009, Millionen von URLs waren betroffen.
  • Bedenken Sie: Alle Arten von Anonymisierungsdiensten dienen ja nicht nur dazu, unsere noch vorhandenen, wichtigen und gesetzlich verbrieften Bürgerrechte zu schützen. Sie dienen leider auch dazu, Kinderporno-Saugern, Crackz-, Warez- und Serialz-Nutzern und allen anderen Arten von Klein- oder Grosskriminellen zur Anonymität zu verhelfen. Das wiederum hat zur Folge, dass diese Dienste eine Zielgruppe haben, die – möglicherweise überwiegend – aus erpressbaren Personen besteht; und diesen erpressbaren Kriminellen kann man beruhigt Trojaner reindrücken, die werden ohnehin nicht zum Anwalt gehen. Daher ist die Wahrscheinlichkeit, sich im Umfeld solcher Dienste eine Infektion zuzuziehen, meiner persönlichen Meinung nach erhöht genug, um die Finger davon zu lassen.

Helfen URL-Kürzungsdienste?

Nun könnte man einfach auf URL-Shortening-Services umsteigen, denn die machen ja eigentlich dasselbe, aber eben ohne die Anrüchigkeit und ohne die Nähe zum „kriminellen Untergrund“. Klar. Aber das ändert nichts am prinzipiellen Problem (siehe: Warum URL-Shortener gefährlich sind).

Wenn Sie es dennoch tun, rate ich zu zwei Diensten:

  • Tinyurl.com bietet die Möglichkeit, Weiterleitungen mit Preview-Funktion anzugeben (für Ihre Besucher), oder via Cookie einzustellen, dass Sie selbst immer erst eine Preview sehen wollen (für Sie).
  • Auch bit.ly hat so eine Funktion, wenn man eine URL der Form https://bit.ly/info/<URLID> verwendet und statt <URLID> die des Links einsetzt, zum Beispiel https://bit.ly/info/50lryJ – Danke an bloodywing für den Tipp.

Kann man „unschuldige“ DeReferrer finden?

Natürlich gibt es Websites, die aus welchen Gründen auch immer ganz allgemein ein Dereferring für alle URLs durchführen, die nach draußen führen.
Dafür gibt es fertige Skripts.
Diese Skripts haben Namen, zum Beispiel dereferrer.asp oder dereferrer.php.
Daher führt eine Suche nach dem Begriff dereferrer.asp oder dereferrer.php automatisch zu Seiten, die eigene, interne DeReferrer-Dienste betreiben. Betrachtet man bei der URL, die die Suchmaschine anzeigt, wie die Ziel-URL an die dereferrierende URL übergeben wird, kann man sich selbst einen Dereferrer basteln. Diese sind insofern „unschuldig“, als diese Webseiten die Weiterleitung meist (kann man sich ja ansehen, indem man sich die TLD ansieht) nicht berufsmäßig betreiben. Ne … je länger ich drüber nachdenke, desto muß ich dann doch von diesem Quatsch abraten.

Weitere Infos:

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte dich auch interessieren …