Vor dem Teilen eines Links
Links werden oft leichter genommen als der Text selbst.
Links enthalten jedoch viele Informationen.
Suchbegriffe, Tracking-Parameter, Empfehlungs-IDs, Sitzungsinformationen, Eigentümer von Cloud-Freigaben, Betrachtungsrechte und Zieladressen von Kurz-URLs. Auch wenn im Text nichts steht, können allein durch die URL Verhalten oder Konten sichtbar werden.
Wenn man Anonymität berücksichtigt, hält man vor dem Einfügen eines Links einmal inne.
Dieser Artikel ordnet die Informationen, die vor dem Teilen eines Links geprüft werden sollten.
URLs enthalten Informationen
Eine URL ist nicht nur die Adresse einer Seite.
Pfad und Query-String können Suchbedingungen, Produkt-IDs, Kampagnen-IDs, Empfehlungscodes, Herkunftsseiten und Nutzerkennungen enthalten.
| Informationen in der URL | Beispiel | Worauf zu achten ist |
|---|---|---|
| Suchbegriff | Werte wie q=privacy | Sichtbar wird, wonach gesucht wurde |
| Tracking-Parameter | utm_source und Ähnliches | Erkennbar wird, woher jemand kam oder welche Maßnahme es war |
| Empfehlungs-ID | ref=, invite= und Ähnliches | Erkennbar wird, wessen Empfehlung oder welches Konto es war |
| Produkt- oder Artikel-ID | id=12345 und Ähnliches | Sichtbar wird, was betrachtet oder bedient wurde |
| Sitzungsähnlicher Wert | token=, session= und Ähnliches | Teilen kann gefährlich sein |
Zeichenfolgen wie example.com, die zur Erklärung verwendet werden, sind als Beispiele zu behandeln, nicht als Vorstellung realer Dienste.
Beim Teilen einer tatsächlichen URL prüft man, ob unnötige Parameter enthalten sind.
Bei Cloud-Freigabelinks besonders vorsichtig sein
Cloud-Freigabelinks unterscheiden sich von gewöhnlichen Links zu Webseiten.
Sie können so eingestellt sein, dass jede Person mit dem Link sie ansehen kann. Eigentümername, E-Mail-Adresse, Profilbild, Ordnername, Bearbeitungsverlauf, Kommentare und Betrachterinformationen können ebenfalls für die empfangende Person sichtbar sein.
| Prüfpunkt | Warum man ihn betrachtet |
|---|---|
| Eigentümeranzeige | Realname oder Arbeitskonto können für die andere Person sichtbar sein |
| Freigabebereich | Prüfen, ob alle Personen mit dem Link ihn ansehen können |
| Bearbeitungsrechte | Prüfen, ob die andere Person den Inhalt ändern kann |
| Ordnerhierarchie | Prüfen, ob Namen übergeordneter Ordner personenbezogene Informationen oder Projektnamen enthalten |
| Betrachtungsverlauf | Prüfen, ob aufgezeichnet wird, wer ihn geöffnet hat |
Vor dem Senden eines Links öffnet man ihn in einem anderen Browser oder mit einem anderen Konto und prüft, wie er für die andere Person aussieht. Auch der Prüfvorgang selbst kann als Betrachtungsverlauf, Zugriffslog, Eigentümerbenachrichtigung oder Klickmessung zurückbleiben.
Informationen, die auf dem eigenen Bildschirm nicht sichtbar sind, können auf dem Bildschirm der anderen Person angezeigt werden.
Kurz-URLs nicht ungeprüft vertrauen
Bei Kurz-URLs ist am Aussehen nicht erkennbar, wohin sie weiterleiten.
Sie sind praktisch, aber für Anonymität ist Vorsicht nötig. Die erstellende Person einer Kurz-URL kann möglicherweise Klickzahlen und Zeitpunkte prüfen. Auch an der Ziel-URL können Tracking-Parameter hängen.
| Problem bei Kurz-URLs | Erklärung |
|---|---|
| Ziel ist nicht sichtbar | Empfangende Personen können schwer beurteilen, wohin sie gelangen |
| Klickmessung | Zugriffszeitpunkte und Anzahl können bei erstellender Person oder Dienst zurückbleiben |
| Tracking-Parameter | Die Ziel-URL kann identifizierende Informationen enthalten |
| Verlässlichkeit | Sie kann zu einer bösartigen Seite oder einer anderen Seite führen |
Bei anonymer Aktivität vermeidet man Kurz-URLs und prüft, falls nötig, vor dem Teilen das Ziel.
Der genaue Umgang mit Kurz-URLs wird in einem Artikel zu Risiken von Kurz-URLs erklärt.
QR-Codes und Einladungslinks genauso betrachten
Links sind nicht nur Zeichenketten.
Auch QR-Codes, Einladungslinks, Teilen-Buttons und In-App-Links wie "Freund hinzufügen" enthalten URLs oder Identifikatoren. Sie sehen nur wie Bilder oder Buttons aus; im Hintergrund werden Links genauso verwendet.
| Freigabeform | Worauf zu achten ist |
|---|---|
| QR-Code | Ziel oder Identifikator ist vor dem Scannen schwer erkennbar |
| Einladungslink | Es kann sichtbar werden, wessen Einladung oder welche Gruppe es ist |
| Teilen-Button | Die App kann Freigabequelle oder Kontoinformationen hinzufügen |
| Gruppenbeitritts-URL | Kann sich mit Teilnehmerlisten oder Administratorinformationen verbinden |
| Kartenlink | Kann Zuhause, Arbeitsplatz, Treffpunkt oder Suchverlauf enthalten |
Wenn man einen QR-Code teilt, scannt man ihn vorher selbst und prüft die Ziel-URL.
Wenn man einen Einladungslink teilt, prüft man, wie Teilnehmende, Administrierende, Gruppenname und Anzeigenamen für die andere Person aussehen.
Davon ausgehen, dass im Chat weitergeleitet wird
Sobald man einen Link sendet, kann er weitergeleitet werden.
Auch wenn man der empfangenden Person vertraut, kann man deren Gerät, Chatverlauf, Cloud-Backups, Screenshots oder Weiterleitung in eine andere Gruppe nicht kontrollieren.
| Was durch Weiterleitung passiert | Auswirkung auf Anonymität |
|---|---|
| Wird in eine andere Gruppe eingefügt | Der Link erreicht nicht vorgesehene Personen |
| Wird als Screenshot gespeichert | Nicht nur die URL, sondern auch Absendername und Uhrzeit bleiben zurück |
| Wird in einer Antwort zitiert | Kontext und Link werden gemeinsam gespeichert |
| Wird in der Cloud gesichert | Bleibt lange als Chatverlauf zurück |
| Wird an einem durchsuchbaren Ort erneut veröffentlicht | Was als begrenzte Freigabe gedacht war, wird zu öffentlicher Information |
Vor dem Teilen prüft man, ob es unproblematisch ist, wenn dieser Link die eigene Kontrolle verlässt.
Kombination von Link und Text betrachten
Auch wenn eine URL allein nur schwache Information ist, kann sie in Kombination mit dem Text zu einem starken Hinweis werden.
Wenn der Text zum Beispiel "ein Laden in der Nähe" sagt und der Link auf die Seite eines bestimmten Geschäfts führt, werden gewohnte Orte sichtbar. Wenn der Text "eine Freundin hat es mir erzählt" sagt und ein Link mit Empfehlungs-ID gepostet wird, können Beziehungen oder Konten sichtbar werden.
| Kombination | Was sichtbar wird |
|---|---|
| Regionale Geschichte + Ladenlink | Gewohnte Orte oder Bewegungsbereich werden vermutet |
| URL mit Suchbegriffen + Posttext | Interessen oder Rechercheinhalt werden sichtbar |
| Empfehlungslink + Konto | Empfehlungsquelle oder Registrierungsbeziehung wird sichtbar |
| Cloud-Link + Klarnamen-Eigentümer | Anonymer Post und Klarnamenkonto verbinden sich |
| Kurz-URL + Veröffentlichungszeit | Klickmessung und Verhaltenszeit verbinden sich |
Links werden nicht allein geprüft, sondern zusammen mit Text, Posting-Konto und Veröffentlichungszeit betrachtet.
Prüfschritte vor dem Teilen
Vor dem Teilen eines Links prüft man in der folgenden Reihenfolge.
- Prüfen, ob die URL Suchbegriffe, Empfehlungs-IDs oder Tracking-Parameter enthält
- Bei Cloud-Links Eigentümername und Rechte prüfen
- Bei Kurz-URLs das Ziel prüfen
- Zusammen mit dem Text prüfen, ob gewohnte Orte oder ein Konto sichtbar werden
- In einer anderen Umgebung öffnen und prüfen, wie es für die andere Person aussieht
Wenn man unsicher ist, gibt es auch die Option, keinen Link einzufügen und nur Dienstname oder Artikeltitel im Text zu erklären.
Man überlegt, ob das Einfügen des Links selbst nötig ist.
Nicht teilen ist auch eine Option
Wenn man Anonymität schützen will, gibt es Situationen, in denen es besser ist, keinen Link einzufügen.
Wenn der Link bestimmte gewohnte Orte, Suchbegriffe, Konten oder Cloud-Eigentümer zeigt, gibt es Optionen wie nur die Zusammenfassung im Text zu erklären, einen Screenshot zu verwenden, der nur den notwendigen Bereich enthält, oder später in einer sichereren Form zu teilen.
Allerdings können auch Screenshots Benachrichtigungen, Uhrzeiten, Kontonamen und Hintergrundinformationen enthalten. Einen Link zu vermeiden macht nicht automatisch sicher.
Entscheidend ist nicht, ob man Link, Bild oder Text verwendet, sondern zu prüfen, was die andere Person sehen kann.
Zusammenfassung
Links können Suchbegriffe, Tracking-Parameter, Empfehlungs-IDs, Cloud-Freigabeinformationen, Eigentümernamen, Betrachtungsrechte und Ähnliches enthalten.
Auch wenn der Text sicher ist, können über die URL Konten oder Verhalten sichtbar werden.
Vor dem Teilen prüft man unnötige Teile der URL, Cloud-Freigabeeinstellungen, das Ziel von Kurz-URLs und die Kombination mit dem Text.
Links sind keine nebensächlichen Informationen.
Bei anonymer Aktivität gehören auch Links genauso wie Posttexte und Dateien zur Prüfung vor der Veröffentlichung.
Verwandte Werkzeuge
OSINT Framework
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.