Heute Nacht erhielt ich eine Mail der Firma Anonymizer Inc., in der ich freundlich darauf hingewiesen wurde, dass ich mit meinem Chrome Anonymizer(TM) eine Marke dieser Firma verletze.

Somit habe ich mich dazu entschieden, das Projekt in Chrome Privacy Guard (CPG) umzubenennen. Die Links etc. wurden dabei alle aktualisiert und alte Links sollten automatisch auf den entsprechenden Artikel weiterleiten.

Ein paar Pläne habe ich für das Tool noch, außerdem wird es interessant, Vorbereitungen für die Mac und Linux Versionen von Chrome zu treffen. Nach meinem Urlaub nächste Woche, werde ich dazu ein Projekt bei SourceForce eröffnen und mich ans Werk machen. Wie der Name "Chrome Privacy Guard" verrät, soll es dabei auch um etwas mehr, als nur das Löschen der Client ID gehen. Ich habe in den letzten Tagen diesbezüglich sehr intensive Nachforschungen angestrengt, welche in das Projekt dann einfließen sollen.

Übrigens: einen sehr schönen Artikel zum Thema, findet sich beiNetzwelt.de in der die drei aktuell existierenden Tools (Chrome Anonymizer Chrome Privacy Guard, UnChrome und KillChromeID) verglichen werden, mit denen das Funkverhalten von Chrome beeinträchtigt werden soll. Meine Lösung wird darin netterweise als durchdachteste dargestellt, was mich natürlich sehr freut.

Erstmal muss ich mal ausdrücken, wie überrascht ich von dem Ansturm auf meinen Chrome Aonymizer bin

Trotzdem glaube ich aber nicht, dass das reicht, um sich mit Chrome mehr vor Google zu verstecken. Über weitere Nachforschungen habe ich gestern noch herausgefunden, dass Chrome interessanterweise bei jedem Start einen leeren HTTP HEAD Request an Google sendet. Dabei kann man alle Funktionen wie Auto Suggest Suche, die Privatsphäre Einstellungen etc. abgeschaltet haben. Egal was man macht, Chrome sendet diesen Request an die Google Server.

Etwas verspätet möchte ich mal noch auf eine Präsentation der Piratenpartei Baden-Württemberg hinweisen, die wir im Zuge eines Workshops auf dem RACT! Festival gehalten haben.

Die Präsentation behandelt die Themen Data Mining, Datenkraken (Google), Privatsphäre im Web2.0 und GPG Verschlüsselung grob. Zu finden ist das ganze hier: RACT-Workshop Powerpoint Präsentation

IMPORTANT NEWS: The Chrome Anonymizer(TM) has been renamed to Chrome Privacy Guard (CPG)! If you are looking for Chrome Anonymizer(TM) you are at the right place!

WICHTIGE INFORMATION: Der Chrome Anonymizer (TM) wurde in Chrome Privacy Guard (CPG) umbenannt! Suchen Sie nach dem Chrome Anonymizer(TM), sind Sie hier also richtig!

---

English Version can be found using this link: Chrome Privacy Guard (English Version)

---

Nachdem Googles neuer Browser "Chrome" ja bei Datenschützern etc. für ordentlich aufsehen gesorgt hat, indem bei der Installation eine eindeutige ID verwendet wird, welche über die gesamte Lebensdauer (bis zur Neuinstallation usw.) dieser Installation zugeordnet wird, habe ich heute ein kleines Tool geschrieben, welches Chrome dazu nötigt, bei jedem Start, diese ID zu verwerfen und somit eine neue zu erhalten.

Wer natürlich seinen Browser nie schließt, dem hilft das nicht viel, aber trotzdem immerhin etwas. Gestartet werden sollte nun einfach die ChromePrivacyGuard.exe anstelle von Chrome direkt. Diese durchsucht beim Start die Datei "Local State" im Google Chrome Verzeichnis und schmeißt dort die Informationen zur Client ID heraus und startet danach automatisch Chrome.

In jedem Fall sollte natürlich zusätzlich auch in den Chrome Optionen die Einstellung deaktiviert werden, um zu erlauben Google Nutzungsstatistiken "zur Verbesserung der Software" zu erfassen.

Sollten irgendwelche Probleme mit dem Tool auftreten, einfach in den Kommentaren beschweren. Ansonsten viel Spaß mit dem kleinen Tool.

Wichtig: 100%ige Anonymität vor Google bietet auch dieses Tool nicht, es hilft nur dabei! Weiteren Schutz holt man sich, in dem man in den Chrome Optionen unter "Details" mindestens die Haken für "Helfen Sie Chrome zu verbessern..." und "Vorschläge für Navigationsfehler zeigen" entfernt. Auf ersteres wird beim Start vom ChromePrivacyGuard automatisch geprüft.

Vorraussetzungen

• Installierter Google Chrome
• Windows 2000, XP, Vista mit .NET Framework 2.0

Download: ChromePrivacyGuard_1.0.0.5.zip

Nachtag:
Das Quellprojekt (VisualStudio 2008) kann hier herunter geladen werden: ChromePrivacyGuard_src_1.0.0.5.zip

Update:
Der Name des Projektes musste auf Anfrage der Firma Anonymizer, Inc. geändert werden, da eine Verletzung ihrer Marke vorliegt. Der neue Name des Projektes lautet nun Chrome Privacy Guard

Die Milchtüte - mein Blog - ist ab sofort protokollierungsfrei. Protokollierung war nicht von mir gewollt oder ähnliches, ist aber in gewissem Maße auf dem Webserver Standardkonfiguration gewesen.

Dies wurde durch Plesk beispielsweise erzwungen, der allen VHost Konfigurationen nach jedem Neustart etc. den Log Typ "plesklog" zuordnet, der immer die IP Adresse enthält, angeblich für Webalizer. Nach viel hin und her, wird dieses plesklog nun bei mir mit folgendem Wert überschrieben:


Diese Zeile muss an das Ende der

/etc/apache2/httpd.conf

eingefügt werden und sollte auch keine Schwierigkeiten mit Webalizer oder AWStats machen.

Die nächste Hürde war dann noch die Blog Software Serendipity, die beispielsweise für den Spamschutz und Statistiken die IP Adresse z.T. gespeichert hat. Das wurde nun überarbeitet von mir. Für Kommentare wird nur noch "xx.xx.xx.xx" gespeichert und die Statistiken haben nun eine Option anonym zu loggen. Die entsprechenden Patches werde ich demnächst dem S9Y Projekt weiterreichen.

Grund meiner anonymisierung der Nutzung des Blogs, ist das Gütesiegel der Initiative "Wir speichern nicht!" welches sich für mich als selbstverständlich zeigt, um auch klar meiner Ãœberzeugung Ausdruck zu geben.

Nachdem nun schon so viele Besuche immer und immer wieder auf meinen Blog, durch Suchbegriffe wie "wie werde ich ein hacker", "ich will einen rechner per ip hacken" usw., bekomme, will ich den ganzen suchenden endlich mal ein wenig entgegenkommen und sie in die Kunst des Hackens einweisen.

Dazu gelangt ihr im vollständigen Artikel!

Author: Sebastian Bauer
Web: http://blog.gjl-network.net
Date: 01/12/07

Vuln. website: http://www.knorr.de
Vulnerability: SQL Injection (Login authentication bypass), XSS
Significance: Very Critical

---------------------------------------------------------

Detailed description:
The site knorr.de is using a MS SQL database server and IIS as web server. The programming language used is ASP (Active Server Pages).

There is a vulnerability using the login field of the site. Since user input will not be escpaed, it is vulnerable against SQL injection attacks.

The SQL string to authenticate the user can be escaped using single quotes. Since the database server is MS SQL it is possible to easily create a valid SQL query and ignore the rest of the SQL query by adding ;-- which ends the current query and defines the rest as comment.