URL-Ausspähungen verhindern

Lichtrebell · Jun 16th 2023

Hallo, ich bin ein wenig paranoid weil ich in letzter Zeit oft mein Portemonnaie im Web bearbeite.

Das das Ding kein Passwort hat und rein über die URL gesteuert wird frage ich mich, wie ich URL-Ausspähungen, bspw. durch Logfiles, bestmöglich verhindere.

Mein Plan dazu ist das:

Code

<HTML>
<HEAD>
<TITLE>ÜBERWACHT</TITLE>
<META HTTP-EQUIV="CACHE-CONTROL" CONTENT="no-cache">
<META HTTP-EQUIV="PRAGMA" CONTENT="no-cache">
</HEAD>

<BODY>

<table height="100%" width="100%" border="0" align="center">
<tr><td align="center">

<table border="10" align="center">
<tr><td align="center">

<a href="https://legend.lnbits.com/wallet?usr=33cd047f6610415ea69ff98b1649f020&wal=d27dfaf4ef63468fbc1750a4a4eee860">ACHTUNG : Überwachte Demowallet</a>

</td></tr></table></td></tr></table>


</BODY>
</HTML>

Display More

Wenn ich jetzt erst den Browser ganz beende. Dann den Browser neu starte durch den Aufruf der Datei auf der Platte. Und auch nicht vergesse den Browser danach wieder ganz zu beenden statt irgendeine feindliche fremde URL anzusurfen, dann müsste ich doch ziemlich sicher sein, oder?

Würde es noch was bringen die Wallet nur in einem FrameSet oder einem iFrame oder so etwas anzuzeigen?

Würde das auch noch vor dem versehentlichen ansteuern von feindlichen fremd URL schützen, weil die dann ja nur die URL vom FramSet sehen?

Oder habt Ihr evtl. noch ganz andere Verbesserungsvorschläge für die Problematik?

Danke

Bot · Vor 5 Minuten

Schau mal ob du hier fündig wirst!

__blackjack__ · Jun 16th 2023

Lichtrebell Welche Problematik denn bitte überhaupt?

Lichtrebell · Jun 16th 2023

Na ich will bestmöglich verhindern das der Link irgendwie bspw. durch das Studium von irgendwelchen Logdateien herauskommt.

Jede Webseite kann doch auswerten wo ich herkomme und wo ich hinsurfe.

Also muss ich doch mit so einer blöden URL jetzt aufpassen wie eine Schießhund.

Ich dachte dies verständlich ausgedrückt zu haben.

Dafür habe ich mir jetzt diese oben angegebene HTML-Datei erst einmal ausgedacht.

Ich habe so einen Link schon (mindestens) einmal in ein falsches Browserfenster kopiert im Eifer des Gefechtes und damit ist das Geld doch schon nicht mehr sicher theoretisch. Das möchte ich mir gerne abgewöhnen und nur noch Dateien von meiner Festplatte starten dafür.

Oder gibt es das Problem mit URL-Ausspähungen nicht mehr?

Vor 20 Jahren wurde bei SelfHtml jedenfalls noch definitiv davon abgeraten auch nur get & post zu benutzen bei JS aus dem gleichen Grund glaube ich.

Bot · Vor einem Moment

__blackjack__ · Jun 16th 2023

Lichtrebell Du hast das Problem nicht verständlich ausgedrückt. Auch immer noch nicht. Nicht jede Webseite kann einfach so auswerten wo Du herkommst und wo Du hinsurfst. Insbesondere den „query“-Teil, der hier die schützenswerten Daten enthält, bekommt keine andere Website zu sehen, sofern Du keine antiken Browser verwendest.

Was meinst Du mit ins falsche Browserfenster kopiert? In ein Formular auf einer Webseite statt in die URL-Zeile?

Warum eine eigene HTML-Datei? Warum nicht einfach ein Lesezeichen auf die URL setzen?

Es ist auch Unsinn den Browser zu beenden. Für jemanden der Geld an alle verschenken wollte, mit Code der rein beim Client laufen sollte, schiebst Du jetzt eine ziemlich unsinnige Paranoia.

__blackjack__ · Jun 16th 2023

Das HTML sieht auch so ein bisschen nach SelfHTML von vor zwei Jahrzehnten aus. Tabellen missbraucht man eigentlich nicht mehr für's Layout sofern man nicht *wirklich* eine Tabelle setzt.

HTML

<!DOCTYPE html>
<html>
  <head>
    <meta charset="utf-8">
    <title>ÜBERWACHT</title>
  </head>
  <body>
    <div style="width: 100%; height: 100%; display: flex; align-items: center; justify-content: center;">
      <div style="border: 10px outset lightgray; padding: 3px;">
        <a style="border: thin inset lightgray;" href="https://legend.lnbits.com/wallet?usr=33cd047f6610415ea69ff98b1649f020&wal=d27dfaf4ef63468fbc1750a4a4eee860">
          ACHTUNG : Überwachte Demowallet
        </a>
      </div>
    </div>
  </body>
</html>

Display More

noisefloor · Jun 18th 2023

Hallo,

welche Logdateien? Was der Server logt und wer darauf zugriff hat liegt doch sowieso zu 100% außerhalb deiner Kontrolle.

Ein Referer wird bei HTTP nur gesendet, wenn du auf Webseite $FOO einen Link auf Webseite $BAR anklickst. Dann bekommt Webseite $BAR mit, dass du von $FOO kommst - sofern der Referer nicht von $FOO unterbunden wird und der $BAR Server überhaupt den Referer auswertet. Wenn du eine Webseite direkt über die Eingabe der URL ansurfst, dann gibt es keinen Referer.

Abgesehen von Internet Surfen + Krypto + Paranoia ist eine denkbar ungünstige Konstellation, weil das nie zusammenpasst. Wegen der Paranoia kannst du dir professionelle Hilfe suchen, ob du die Finger von Krypto und dem Internet lässt liegt bei dir.

Gruß, noisefloor

Bot · Vor einem Moment

Fliegenhals · Jun 18th 2023

Eine weitere Möglichkeit wäre vielleicht für diesen Fall, ein anderes Profil für den Browser zu verwenden, welches Du nur für diese Aktion verwendest.

Der_Imperator · Jun 19th 2023

Installiere dir einfach Iron portable auf deinem PC und nutze diesen nur für deine Geheimen Dinge.
Oder nimm eine VM mit der du nur solche Sachen machst.

Paranoia verursacht eben Arbeit,

RTFM · Jun 19th 2023

Der Link von #1 funktioniert bei mir nicht.

Möglicherweise, weil zu Deiner User-ID Dein private Key bei mir nicht abgelegt ist. [Womit auch schon die Zugangssicherung des Wallets erklärt erscheint]

Servus !

Bot · Vor einem Moment

Lichtrebell · Jun 19th 2023

Quote from RTFM

Der Link von #1 funktioniert bei mir nicht.
Möglicherweise, weil zu Deiner User-ID Dein private Key bei mir nicht abgelegt ist. [Womit auch schon die Zugangssicherung des Wallets erklärt erscheint]

Servus !

Tatsache die wurde wohl abgeschaltet.

Habe natürlich keine Ahnung wer jetzt was damit gemacht hat.

Wahrscheinlich wurde die irgendwie überstrapaziert.