Tarnkappen-Links enttarnen

Heise hat „Breaking News“ parat: über Javascript-Events kann man Hyperlinks andere Adressen unterschieben. Das ist nicht neu, macht Google schon seit Jahren.

Dabei wird über das onclick- oder onmousedown-Event einfach das href-Attribut des a-Elements verändert. So ziemlich alle Browser führen den Eventhandler vor dem Öffnen des Links aus. So weit, so schlecht.

Nun kann man entweder Javascript deaktivieren (und viele Seiten kaputt machen) oder einen „faulen“ Trick anwenden, der zumindest bei onmousedown funktioniert:

Mit der rechten Maustaste darauf fahren und in die Statusleiste gucken, dann die rechte Maustaste drücken, das Menü schließen, wieder auf den Link fahren und gucken, ob sich der Text in der Statuszeile verändert hat. Funktioniert genauso, wenn man den Link per Drag & Drop anfängt zu ziehen, dies aber abbricht.

Wäre da noch das onclick-Event. Das kann man als Benutzer so einfach nicht ermitteln. Auch die Durchsicht des Quelltextes hilft nicht, da das Attribut samt Miniscript nicht direkt im Element stehen muss (siehe das Beispiel auf heise.de).

Da muss man Feuer mit Feuer bekämpfen. Ich habe dazu ein kleines Bookmarklet geschrieben, das alle Links im Dokument auf onclick- und onmousedown-Events durchsucht und im Falle dessen hinter dem Linktext ein kleines Ausrufezeichen einblendet.

Nach dem „Installieren“ kann es sogleich getestet werden, da meine Bookmarklet-Seite das Onclick-Event verwendet.

tarnkappen-links

So schaut’s aus

Allerdings sei dazu gesagt, dass Hyperlinks mit hinterlegten Events nicht per se nicht „böse“ sind, sondern auf manchen Seiten (wie hier im Wiki bei den Miniaturansichten von Bildern) eine Zusatzfunktion anbieten.

Happy Clicking!