Qbi's Weblog

Maddi erzählte mir vor kurzem von einem neuen und tollen Projekt. Die Macher von Picidae haben ein Kunstprojekt auf die Beine gestellt, welches Zensur umgehen soll. Hierzu gibt es ein Eingabeformular für die Adresse der Webseite, die man anschauen will. Die Software von Picidae ruft die Webseite auf und generiert daraus ein Bild. Dieses Bild wird dann auf einer Webseite dargestellt. Die Logik ist, dass Bilder sich schwer zensieren lassen. Daher kann Picidae die Zensur umgehen.

Leider ist das nicht ganz so. Einerseits lassen sich die Picidae-Server einfach zentral sperren. Damit ist es ganz vorbei und die Zensur ist wieder da. Andererseits kann man auch subtiler vorgehen. Denn die Software nutzt JavaScript, um die angefragte URL zu verschlüsseln. Im Kopfteil der HTML-Datei ist eine Funktion scramble. Diese könnte der Angreifer einfach mittels eines vorgeschaltenen Proxys entfernen. Dann wird die URL in der GET-Anfrage im Klartext verschickt. Eine Anfrage für meine Webseite sähe dann beispielsweise so aus: GET /browse.php?f=sessionid&&c=0&u=http%3A%2F%2Fkubieziel.de HTTP/1.1\r\n. Der Angreifer muss also nur noch den Wert von u auswerten und kennt die Seiten, die abgerufen werden. Der Benutzer merkt hiervon in der Regel nichts und glaubt, er hat die Zensur umgangen.

Weitere Spielereien lassen sich auch mit der eingebauten Verschlüsselung machen. Aber wahrscheinlich funktioniert der obige Angriff schon so gut, dass man keine großen Umstände machen muss. Insofern ist Picidae eine nette Spielerei (und Kunstprojekt). Aber für ernsthafte Versuche, die Zensur zu umgehen, sollte ein Benutzer lieber auf Tor oder andere Werkzeuge zurückgreifen.