Hallo Free-Hack.com Mitglieder,

ich würde gerne, für verschiedene Zwecke, meinen User Agent verschleiern/verändern. Allerdings habe ich mich gewundert das man per Config oder auch bei den meisten Plugins nur einen einzelnen String benötigt.

Beispiel:

Mozilla/5.0 (Windows NT 6.1; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0

Sobald ich aber auf eine x-beliebige Seite wie z.B. whoer.net gehe und mir diesen auslessen lasse, werden folgende zusätzliche Parameter angezeigt:

https://i.imgur.com/7rUIah4.png

An anderer Stelle wird ebenfalls mein echtes OS gelistet:

https://i.imgur.com/emdzVfB.png

Da wüsste ich auch gerne wo sich in TCP/IP ein Hinweis auf mein Betriebssystem verbirgt.

Die finden es über Javascript raus, vermutlich ... steht da ja auch teilweise :D

Wenn du z.B. mit PHP und file_get_contents die Seite anzeigen lässt, dann steht unter Betriebssystem Unbekannt und bei Browser 0.0 (<- kein Smiley)

Mit Javascript kann man die unterschiedlichsten Dinge auslesen, eine Variable davon ist der useragent (abrufbar per navigator variable).
Da lassen sich aber noch zig andere Variablen auslesen wie halt Betriebsystem, Referrerr, Plugins usw..

https://wiki.selfhtml.org/wiki/JavaScript/Navigator

Zusätzlich kann man auch mit PHP ähnliches machen..

http://php.net/manual/de/reserved.variables.server.php

Wo sich jetzt aber in TCP/IP dein Betriebsystem verbirgt, weiß ich nicht.
Ich vermute aber das es anhand Daten aus Javascript + PHP etc. geschlussfolgert wird.
Das Logischste wäre, das sie den Useragent "zerlegen" weil dort oft Betriebsystem und Gerätename und solche Dinge drine stehen.
Du hast in deinem gezeigten Bild ja auch als Useragent drine "Windows" stehen.. vllt schlussfolgern sie es daraus.
Weil wenn du mit Android die Seite angesurft hast, besitzt du ja kein Windows sondern Android.. daher gehe ich von aus das die das ausm Useragent schließen.

grüße

Die finden es über Javascript raus, vermutlich ... steht da ja auch teilweise :D

Wenn du z.B. mit PHP und file_get_contents die Seite anzeigen lässt, dann steht unter Betriebssystem Unbekannt und bei Browser 0.0 (<- kein Smiley)

Das war mir schon irgendwo klar. Aber meine Frage richtet sich dann eher in die Richtung warum solche Plugins überhaupt angeboten (& auch genutzt werden), wenn diese so gut wie kein Effekt haben. Ich meine da sieht doch ein blinder das ich nicht mit Linux unterwegs bin.

Das war mir schon irgendwo klar. Aber meine Frage richtet sich dann eher in die Richtung warum solche Plugins überhaupt angeboten (& auch genutzt werden), wenn diese so gut wie kein Effekt haben. Ich meine da sieht doch ein blinder das ich nicht mit Linux unterwegs bin.

Die Plugins sind meistens nicht dafür gedacht, das man ein 100% Spoofing seiner Gerätedaten vornehmen kann.
Solche Plugins dienen eher für Webentwickler die Dinge austesten wollen, Personen die spezifisch den Useragent z.b ändern wollen/müssen etc..

Beispiel: Eine Webseite erkennt anhand des Useragents das man mit einem Mobilem Gerät online ist und liefert deshalb dann ne Mobile Webseite aus.. nun könnte man den Useragent ändern um dies zu verhindern.

Es kommt halt immer auf den Anwendungsfall an^^
Es gibt da schon ne Daseinsberechtigung für solche Hilfen :D

grüße

Es gibt da schon ne Daseinsberechtigung für solche Hilfen :D

Natürlich, habe mich nur gewundert dass das im *hust* Fraud-Bereich *hust* Bereich gängiger Standard ist. Ich meine die großen Internetfirmen werden wohl nicht nur den HTTP-Header auslesen und das war es dann.

Natürlich, habe mich nur gewundert dass das im *hust* Fraud-Bereich *hust* Bereich gängiger Standard ist. Ich meine die großen Internetfirmen werden wohl nicht nur den HTTP-Header auslesen und das war es dann.

Naja, wie es im Fraud Sektor so ist weiß ich nicht, was ich aber weiß is, das Leute die Fraud machen schon damals nicht besonders helle waren *duck and run*

grins :D..

UA-String spoofen, JS deaktivieren, was ist das Problem?

UA-String spoofen, JS deaktivieren, was ist das Problem?

Bin leider 2 Stunden zu spät, um genau das selbe zu schreiben :D

MFG Boehmer

&& sowas wie noscript oder yesscript https://addons.mozilla.org/en-US/firefox/addon/noscript/

NoScript sollte man doch genauso wie en Adblocker ohnehin zumindestens installiert haben.. Allein wegen der Sicherheit wegen (Malware die über Werbebanner spreaded usw). Und Useragent switchen brauch man Browserseitig oft garnicht je nach Anwendungsfall.. nur bissel JS (oder direkt deaktivieren) - auch wenns mit nem Plugin natürlich für die faulen am einfachsten is grins :3


grüße

Und Useragent switchen brauch man Browserseitig oft garnicht je nach Anwendungsfall...nur bissel JS (oder direkt deaktivieren)

Anwendungsfälle hast du doch selbst bereits genannt.

Oder meinst du das im Kontext der Privatsphäre? Dann reicht "ein bissel JS" definitiv nicht
Hier mal eine ganz nette Suite von Privacy Addons für FX: https://addons.mozilla.org/de/firefox/collections/mozilla/privacy/

Das würde ich minimum für halbwegs "ungestörtes" Surfen empfehlen.
Wenn man wirklich sicher gehen will, dann muss man schon auf OS bzw. Kernel Ebene ansetzen.

P.S.:

auch wenns mit nem Plugin natürlich für die faulen am einfachsten is grins

Warum benutzt du einen Computer und zählst nicht einfach die Bits im Kopf…geht auch.

Was für ein Unsinn Menschen Faul zu nennen, weil sie ein Werkzeug benutzen.
Das nennt man nicht Faul, sondern effizient.

Oder meinst du das im Kontext der Privatsphäre? Dann reicht "ein bissel JS" definitiv nicht


Für Privatsphäre nicht, nein.
Eher wenn man lediglich mal ne Webseite täuschen möchte.
Gibt z.b Webseiten die Mobilen Geräten anderen Content ausliefern als Desktop Geräten etc.
Wenn man dann an den Content von z.b Mobile Geräten will, reichts es oft aus einfach in den JS Code zu schauen & z.b den Link für eine Media Datei dort rauszuholen.
Oder man Changed den JS Code on-the-fly. Gibt z.b Auch Webseiten über derren Mobile API man dann Dinge machen kann, die mit der Desktop API nicht gehen.
Meist sind die ganzen API Schnittstellen aber alle JS-Seitig vorhanden, wenn man weiß wo man schauen muss^^


Siehs mal so - es gibt mittlerweile immer mehr Plugins für jeden kleinen Scheiß.. es gibt sogar Librarys die einfach nur Hello World ausgeben oder die Wurzel von was berechnen.. für jede Kleinigkeit brauch man heut scheinbar Plugins oder extra Libs anstelle das mans mal selbst löst (was oft schneller geht) - empfinde ich halt als quatsch^^



Was für ein Unsinn Menschen Faul zu nennen, weil sie ein Werkzeug benutzen.
Das nennt man nicht Faul, sondern effizient.

Es ging mir eher darum, das ich es Schwachsinnig finde extra ein für jeden Kleinkram Plugin zu installen und damit rumzufummeln wenn man das ganze nur 1-2 mal braucht und dann wahrscheinlich nie wieder. Das Müllt alles nur den Browser zu wenn man zig Plugins draufhaut die man wahrscheinlich in Zukunft eh nicht mehr nutzen will.. wenn das dann wieder löscht ises alles wieder kostbare Zeit die man sich sparen kann :P Ich habe da dieses Bild von einem Internet Explorer vor Augen auf dem 10 Browser Bars installiert ist, die Ask Toolbar usw.. alles total verseucht / vollgestopft mit unnötigen Kram den man meist eh nicht mehr nutzt. Die meisten Detect-Scripts die das Gerät erkennen basieren eh auf JS und haben oft sogar alles was man benötigt / sucht direkt im Sourcecode drine. Dafür jetzt extra en Plugin zu installen wenn ich auch einfach kurz in den JS code schauen kann und es ausreichen würde z.b ne Variable zu changen.. da finde ich halt Plugin installen dafür halt overpowered / unsinnig^^

grüße

Für Privatsphäre nicht, nein.
Eher wenn man lediglich mal ne Webseite täuschen möchte.


Naja, in dem Fall sollte man dannach entscheiden ob man die Skills dafür hat (JS kennen, die entsrpechenden DOM APIs kennen) oder nicht.
Ein Plugin ist schneller installiert, wenn man kein JS kann.



Gibt z.b Webseiten die Mobilen Geräten anderen Content ausliefern als Desktop Geräten etc.
Wenn man dann an den Content von z.b Mobile Geräten will, reichts es oft aus einfach in den JS Code zu schauen & z.b den Link für eine Media Datei dort rauszuholen.
Oder man Changed den JS Code on-the-fly. Gibt z.b Auch Webseiten über derren Mobile API man dann Dinge machen kann, die mit der Desktop API nicht gehen.
Meist sind die ganzen API Schnittstellen aber alle JS-Seitig vorhanden, wenn man weiß wo man schauen muss^^


Du gehst also sogar von dem Fall aus, das man die Skillz hat UND man es regelmässig macht, warum also nicht die Aufgabe die UA Strings rauszusuchen und c&pen einem Plugin überlassen das dir auch noch ganz angenehm die Strings sortiert nach Browser und Version anzeigt?



Siehs mal so - es gibt mittlerweile immer mehr Plugins für jeden kleinen Scheiß.. es gibt sogar Librarys die einfach nur Hello World ausgeben oder die Wurzel von was berechnen.. für jede Kleinigkeit brauch man heut scheinbar Plugins oder extra Libs anstelle das mans mal selbst löst (was oft schneller geht) - empfinde ich halt als quatsch^^


Tut mir leid, aber das kann ich weiterhin nur als Schwachsinn Einstufen bei dem es dir nur ums Prinzip geht, tut mir Leid.
Wenn man etwas mehr als zwei mal machen muss, sollte man es automatisieren.

Und ob irgendein Hans-Wurst jetzt eine Bibliothek schreibt die Hello World ausgibt oder nicht, was kümmert dich das?
Du tust ja gerade so, als müsstest du jegliche Software die irgendwer veröffentlicht höchstpersönlich Hosten.



Es ging mir eher darum, das ich es Schwachsinnig finde extra ein für jeden Kleinkram Plugin zu installen und damit rumzufummeln wenn man das ganze nur 1-2 mal braucht und dann wahrscheinlich nie wieder. Das Müllt alles nur den Browser zu wenn man zig Plugins draufhaut die man wahrscheinlich in Zukunft eh nicht mehr nutzen will.. wenn das dann wieder löscht ises alles wieder kostbare Zeit die man sich sparen kann :P


Wie gesagt, du gehst ja auch von dem Standpunkt aus, dass man die entsprechenden Skills selbst bereits besitzt.
Deine Vorgehensweise ist etwas für Leute wie dich: Du weißt genug JS um halbwegs gefährlich zu sein, arbeitest aber nicht professionell mit Webentwicklung.
Das ist mMn aber nur eine sehr kleine Schnittmenge, die wesentlich größeren Gruppen sind:

a) Leute die jeden Tag mit so etwas zu tun haben und für die 5m die sie bei so etwas sparen können sich am Ende des Monats auf mehrere Stunden summiert
b) Leute die nicht mal wissen was ein UA ist, aber ihn aus irgendwelchen Gründen ändern müssen, weil sie mal wieder Blind ein Tutorial aus dem Netz Schritt für Schritt befolgen…



Ich habe da dieses Bild von einem Internet Explorer vor Augen auf dem 10 Browser Bars installiert ist, die Ask Toolbar usw.. alles total verseucht / vollgestopft mit unnötigen Kram den man meist eh nicht mehr nutzt.


Dieses Bild kenne ich komischerweise nur von Nutzern die nicht die geringste Ahnung haben wie man mit einem Computer umgeht.
Von regelmässiger Wartung ganz zu schweigen, dabei macht man dann sowas wie ungenutzte Plugins/Sofware deinstallieren.

Wenn man das nicht macht, brauch man sich auch nicht wundern wenn die Kiste irgendwann aus dem letzten Loch pfeift.
Das ist dann aber ein LUSER Problem und kein Grund für oder gegen die Brauchbarkeit eines Plugins.

ich geb jetzt auch nochmal meinen senf dazu.


Dito :P


und weil cystasy immer meine posts meldet :P
Wenn Doppelthreads durch Bugs entstehen o.ä melde ich die natürlich :P



aber ich denke starflow hat schon recht, dass man auch durchaus nützliche plugins haben kann, ich z.b. hatte noch nie das vergnügen mit der ask toolbar, weil ich achtsam bei dem hinzufügen von plugins bin.

Naja ich sagte ja nicht das es keine nützlichen Plugins gibt. Ich wäge halt nur die Vor und Nachteile gegenseitig ab.

Schaumal..

1) wenn sich jemand ein Plugin installieren möchte das z.b den Referrerr, UA usw spoofed.. dann kann man finde ich davon ausgehen das diese Person sich zumindestens ein bisschen mit Javascript & Web 2.0 Kram beschäftigt (sonst bräuchte sie das Plugin ja nich). Und wenn nur ein kleines bisschen. Von daher kann man auch schließen das er genug Wissen hat (oder ansammeln kann) das er sowas auch ohne Plugin hinbekommt.

2) Sind selbst Plugins die schon lange Jahre alt sind und gut funktionieren nicht 100% Vertrauenswürdig. Es kam schon öfters vor das Browser Plugins von ihren Entwicklern heimlich verkauft wurden, und dann vom Neubesitzer heimlich im Programmcode Schädliches Zeug eingeschleust wurde. Sei es dann nur ein harmloses ersetzen von Werbebannern, plazieren von Amazon Affiliate Links bishin zu schwerwiegenderem wo Leute Malware spreaden wollen. Dieses Risiko besteht bei Plugins IMMER. Und desto mehr Plugins ich mir installiere, seien sie noch so "sicher und vertrauenswürdig", erhöht sich dieses Risiko sowas zum Opfer zu fallen mit jedem Plugin mehr und mehr. Und wenn ich Dinge auch ohne Plugins lösen kann, dann mache ich es lieber ohne Plugin und bin auf der sicheren Seite als das ich heimlich von einem Plugin belauscht, infiziert oder sonstwas werde nur weil ich zu Faul (!) war mich mit JS oder anderem zu beschäftigen. Es ist nicht viel Arbeit sich ein bisschen mit JS & den Grundlagen zu beschäftigen worauf Webseiten aufbauen finde ich - sowas ist imho nicht zuviel verlangt. Und wenn jemand lieber den leichten Weg geht und dann Plugins nutzt anstelle sich ein bisschen einzulesen, dann empfinde ich das halt schon als "Faul".



hierbei beschränke ich mich auf ein MINIMUM an nötigen plugins, da es grundsätzlich auch gebackdoored dies das sein kann und auch downsides aufweist.


eben.



Jedoch, habe ich bei dem installieren der plugins eine gute Best Practice entwickelt über meine OG zeitalter hier in der szene und habe deswegen auch keinen stock im arsch wenn ich die hinzufüge weil die alt eingesessen und erprobt sind. dazu zählt auch son user string spoofer. genauso wie NoScript und einige andere. die sind einfach tägliches Brot eines jeden der hier mit mir fühlt.

Du, Selbst NoScript hat in der Vergangenheit schon einmal Programmcode heimlich eingeschleust was dann negative Folgen für die User hatte, das habe ich sogar Live an meinem Browser miterleben dürfen als plötzlich durch NoScript scheiß Affiliate Tabs aufgingen bei Mausklicks etc.. Von daher kann man nicht Pauschal sagen das nur weil Plugins alt & vertrauenswürdig ausschaun.. sie es dann auch sind. Jetzt mal nicht beachtet das Plugins auch ungewollt Hintertüren öffnen können durch Bugs die dann Exploits die Tür öffnen (siehe Flash, Adobe, etc.). Aber gut - muss jeder selbst entscheiden was er sich da draufhaut :P

grüße

1) wenn sich jemand ein Plugin installieren möchte das z.b den Referrerr, UA usw spoofed.. dann kann man finde ich davon ausgehen das diese Person sich zumindestens ein bisschen mit Javascript & Web 2.0 Kram beschäftigt (sonst bräuchte sie das Plugin ja nich). Und wenn nur ein kleines bisschen. Von daher kann man auch schließen das er genug Wissen hat (oder ansammeln kann) das er sowas auch ohne Plugin hinbekommt.


Nein, davon kann man nicht ausgehen. Wie du selbst bereits gesagt hast, gibt es viele Seiten die den Content vom Device des User abhängig machen.
Dabei geht es nicht immer nur um den Formfaktor (dafür wird der UA eigentlich gar nicht gebraucht, dafür reichen CSS-Mediaqueries) sonder um Inhalt und Funktionalität.

Ich weiß zum Beispiel von verschiedenen Reiseportalen und auch einigen Anbietern für Online Kurse, die teilweise günstigere Preise auf Mobilgeräten ausliefern, dazu findet man dan auch öfters Tutorials wie man diese vergünstigung auch am Desktop bekommst.




2) Sind selbst Plugins die schon lange Jahre alt sind und gut funktionieren nicht 100% Vertrauenswürdig. Es kam schon öfters vor das Browser Plugins von ihren Entwicklern heimlich verkauft wurden, und dann vom Neubesitzer heimlich im Programmcode Schädliches Zeug eingeschleust wurde. Sei es dann nur ein harmloses ersetzen von Werbebannern, plazieren von Amazon Affiliate Links bishin zu schwerwiegenderem wo Leute Malware spreaden wollen. Dieses Risiko besteht bei Plugins IMMER. Und desto mehr Plugins ich mir installiere, seien sie noch so "sicher und vertrauenswürdig", erhöht sich dieses Risiko sowas zum Opfer zu fallen mit jedem Plugin mehr und mehr. Und wenn ich Dinge auch ohne Plugins lösen kann, dann mache ich es lieber ohne Plugin und bin auf der sicheren Seite als das ich heimlich von einem Plugin belauscht, infiziert oder sonstwas werde nur weil ich zu Faul (!) war mich mit JS oder anderem zu beschäftigen. Es ist nicht viel Arbeit sich ein bisschen mit JS & den Grundlagen zu beschäftigen worauf Webseiten aufbauen finde ich - sowas ist imho nicht zuviel verlangt. Und wenn jemand lieber den leichten Weg geht und dann Plugins nutzt anstelle sich ein bisschen einzulesen, dann empfinde ich das halt schon als "Faul".

Du, Selbst NoScript hat in der Vergangenheit schon einmal Programmcode heimlich eingeschleust was dann negative Folgen für die User hatte, das habe ich sogar Live an meinem Browser miterleben dürfen als plötzlich durch NoScript scheiß Affiliate Tabs aufgingen bei Mausklicks etc.. Von daher kann man nicht Pauschal sagen das nur weil Plugins alt & vertrauenswürdig ausschaun.. sie es dann auch sind. Jetzt mal nicht beachtet das Plugins auch ungewollt Hintertüren öffnen können durch Bugs die dann Exploits die Tür öffnen (siehe Flash, Adobe, etc.). Aber gut - muss jeder selbst entscheiden was er sich da draufhaut :P

Du drehst dich im Kreis. Ich sagte doch bereits, ja man sollte achtsam sein, aber das gilt für jede Software, vom Kernel bis hin zum Browser.
Tut mir Leid, aber diese Argumentation geht völlig am Thema vorbei…