Disk-Forensik/ Sonstige/ Web Browsing

Aus Wikibooks

Ein Cache ist ein schneller Pufferspeicher zwischen zwei Schnittstellen. Der Begriff Cache ist vorwiegend aus dem Hardwarebereich bekannt – vor allem in Prozessoren. In CPUs dient der Einsatz von Cache Speicher vorwiegend dem Performancegewinn durch die Erschaffung einer Speicher-Hierarchie, welche sich positiv auf die Kosten auswirkt.
Kurz: Ein Cache ist ein Zwischenspeicher mit schneller Zugriffsmöglichkeit.

Der Browser-Cache hat mit dem eben erwähnten Hardware-Cache die Gemeinsamkeit, dass dieser ebenfalls die Performance steigern soll. Der Performancegewinn entsteht dadurch, dass mehrmals aufgerufene Daten nicht mehr aus dem Netzwerk (meist ein Web-Server im Internet), sondern aus einem lokalen Speicher geladen werden können. Der Browser-Cache fällt unter die Kategorie der temporären, jedoch nicht-flüchtigen Speicher. Während man mit dem Internet verbunden ist, speichert der Webbrowser temporäre Dateien der besuchten Seiten und deren Inhalte. Der Ort der Speicherung ist abhängig vom verwendeten Browser und dem darunter liegenden Betriebssystem. Gesichert werden unter anderem:

* HTML Dokumente
* Scripts (Javascript, Flash u. dgl.)
* Style-Sheets (CSS)
* Bilder
* Video-Dateien
* Audio-Dateien

Dies sind Dateien, die für die visuelle und akustische Darstellung im Webbrowser erforderlich sind.

Speicherort[Bearbeiten]

Windows Internet Explorer: (Windows XP deutsch)

C:\Dokumente und Einstellungen\<USERNAME>\Lokale Einstellungen\Temporary Internet Files

Opera: (Windows XP deutsch)

C:\Dokumente und Einstellungen\<USERNAME>\Anwendungsdaten\Opera\Opera\profile\cache4

Mozilla Firefox: (Windows XP deutsch) – Browser Eingabe "about:cache"

C:\Dokumente und Einstellungen\<USERNAME>\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\XXXXXXXX.default\Cache

Mozilla Firefox: (Linux)

/home/<USERNAME>/.mozilla/firefox/XXXXXXXX.default/cache

Caching bei Webbrowsern und auch im Allgemeinen, läuft im Regelfall transparent für den Benutzer ab. Bei den gängigen Webbrowsern gibt es zumindest zwei manuelle Eingriffsmöglichkeiten.

* Konfigurieren der Größe des Caches – also auch die Möglichkeit diesen zu deaktivieren!
* Löschen des Caches.

Der Cache kann manuell ausgelesen werden, wobei es einige Tools gibt, die den Browser-Cache leichter lesbar aufbereiten.

Professionelle Tools:

* EnCase (http://www.encase.com)

Weitere Tools:

* Web Cache Illuminator (http://www.nstarsolutions.com/wci/webcache.exe)
* IE Cache&History Viewer (http://www.1securitycenter.com/downloads/chviewer.zip)
* WebCache (http://www.fsb.hr/~dzorc/webcu695.exe)

Cookies[Bearbeiten]

Ein Cookie (engl.: „Plätzchen“, „Keks“), konkreter HTTP-Cookie oder Browser-Cookie, ist eine lokale Textdatei die von einem Webbrowser in einem dafür vorgesehenen Verzeichnis abgelegt und zu einem späteren Zeitpunkt wieder eingesehen werden kann.

Cookies bieten somit einen Mechanismus zum Speichern textbasierter Daten auf der Client-Seite. Das Konzept der Cookies wurde ursprünglich von Netscape entwickelt und ist in RFC 2109 (HTTP State Management Mechanism) spezifiziert.

Die genaue Funktion von Cookies ist nicht Teil des Themas und wird an dieser Stelle nicht behandelt. Für weiterführende Informationen siehe RFC 2965 (Überarbeitung von RFC 2109) und [WA05]

Bei Netscape und bei Mozilla Produkten werden Cookies in einer Textdatei namens cookies.txt gespeichert. Der Microsoft Internet Explorer speichert Cookies in mehreren Dateien standardmäßig im gleichen Ordner wie den Webbrowser-Cache. Ein Cookie im Internet Explorer hat folgende Struktur:

Cookie:<USERNAME>@<WEBSITE>/ (Bsp.: Cookie:admin@google.at/)

Nach dem Standard haben Cookies einige entscheidende Limitierungen: (lt. RFC)

* max. 300 Cookies am Client
* max. 4KB pro Cookie
* max. 20 Cookies pro Server oder Domain

Es gibt dabei zwei verschiedene Arten von Cookies:

* Persistente Cookies enthalten ein Gültigkeitsdatum. Wenn dieses Datum überschritten ist, wird das Cookie gelöscht.
* Temporäre Cookies enthalten kein Gültigkeitsdatum. Nach dem Verlassen der Webseite werden solche Cookies gelöscht.

Cookies sind im Internet bzgl. Sicherheit eher unbedenklich, da nur der Webserver der das Cookie angelegt hat, auch dieses wieder einsehen darf. Client-Seitig kann ein Cookie jedoch Aufschluss über das Surf-Verhalten des Benutzers geben und ist somit forensisch relevant.

Wie auch beim Browser-Cache hat der Benutzer die Möglichkeit diverse Einstellungen manuell zu konfigurieren. So gibt es zum Beispiel die Möglichkeit Cookies komplett zu deaktivieren. Diese Einstellung wird jedoch zumeist nicht vorgenommen, da dem Benutzer im Web mehr Vor- als Nachteile bringen. Der Einsatzort von Cookies reicht von Sessions über Web-Shops bis hin zu Online-Banking Applikationen.
Darüber hinaus hat der Benutzer im Regelfall die Möglichkeit seine Cookies jederzeit zu löschen. Die meisten Webbrowser bieten dieses Feature in den Browser-Einstellungen.

Informationen, die aus einem Cookie gewonnen werden können:

* Cookie-Name
* Lebensdauer
* Pfad (wo der Browser das Cookie speichern darf – Unterverzeichnisse eingeschlossen)
* Domäne (von der ein Cookie gesendet werden darf)
* Secure (legt fest, ob das Cookie nur mit einer sicheren SSL-Verbindung verwendet werden darf)