Wer so alles nach Hause telefoniert
Samstag, 5. Juni 2010, 9:04 Uhr | Autor: ich
Fefe wurde hier (blog.fefe.de) gefragt ob er denn auch Flattr (flattr.com) einbinden wolle und antwortete:
(…) Flattr kann dann beobachten, wer ihr seid und wo ihr bei mir klickt. Das finde ich nicht akzeptabel vom Datenschutz her. (…)
(Dies kann wohl zum Teil auch verhindert werden: http://blog.fefe.de/?ts=b2f8a4f7 Ich habe keinen Flattr-Account, weshalb ich es nicht nachprüfen konnte.)
Jedes Bild, jedes Video, jedes eingebundene API-Script, etc., alles was von einem fremden Servern nachgeladen wird, telefoniert nach Hause.
Ein Bild welches von einem fremden Server nachgeladen wird, hinterlässt folgende Daten im Logfile:
- IP-Adresse des Besuchers
- Uhrzeit des Abrufs
- URL von der nachgeladen wurde
- Version des Browsers
Für den Firefox gibt es das Add-on “View Dependencies” (addons.mozilla.org) mit dem schön aufgelistet wird, woher welche Inhalte geladen werden.
Kurzbeschreibung:
Fügt den Seiteninformationen einen Tab hinzu, in dem alle seitenbildenden Elemente (Grafiken, Skripte, Stylesheets etc.) nach ihrer Domain und ihrem Dateityp gruppiert werden.
Quelle: erweiterungen.de (Leider… erweiterungen.de stellt laufenden Betrieb ein)
Für Fefes Blog sehen die Abhängigkeiten folgendermaßen aus:
Es wird also nichts von anderen Servern nachgeladen.
Hier habe ich diese Abhängigkeiten für einige Online-Publikationen zusammengetragen.
Interessant in diesem Zusammenhang sind auch die populärsten deutschen Blogs. Aus “deutsche blogcharts (ausgabe 22/2010 vom 02.06.2010)” (deutscheblogcharts.de) habe ich mir die Top-10 rausgesucht und die Abhängigkeiten zusammengestellt.
<einschub>
Bemerkung am Rande: Keine der untersuchten Seiten, die Google-Analytics nutzen, nutzen die Möglichkeit die IP-Adresse des Besuchers nur anonymisiert an Google zu übertragen. Es ist recht einfach etwas Datenschutz zu betreiben:
“Möglichkeit IP Adressen zu anonymisieren” (google.de)
Wobei man aber eingestehen muss, ob Google dabei wirklich keine vollständigen IP-Adressen bekommt, kann niemand nachprüfen.
Der Besucher kann aber auch selber aktiv werden, wieder unter der Annahme… (Naja, “Don’t be evil”…):
“Ein bisschen Datenschutz für Google Analytics” (heise.de)
</einschub>
Nach wie vor bin ich der Meinung, dass eine bloße IP-Adresse noch kein personenbezogenes Datum (Singular von Daten) ist, da diese i.d.R. dynamisch, täglich wechselnd, vergeben werden (Ausnahmen sind Firmen mit fester IP-Adresse). Bekommt ein Anbieter allerdings eine große Anzahl von Datensätzen mit einer IP-Adresse und dies aus den verschiedensten Quellen, so kann er Bewegungsprofile erstellen. Sobald ein User eine Aktion durchführt bei der er sich identifiziert, kommt zur IP-Adresse evtl. sogar eine komplette Anschrift mit allen Personendaten hinzu.
Wer nun, der Bequemlichkeit wegen, ständig in einen Dienst eingeloggt ist, der hinterlässt ein eindeutig personenbezogenes Bewegungsprofil und — auch wechselnde IP-Adressen können dann einem Benutzer zugeordnet werden. Was die Betreiber mit den Daten anfangen, kann niemand überprüfen.
Für den Firefox gibt es Add-ons mit denen Cookies automatisch gelöscht werden können, beispielsweise beim Schließen des Browsers.
- “selectivecookiedelete” (addons.mozilla.org) für “normale” Cookies und
- “BetterPrivacy” (addons.mozilla.org) für Flash-Cookies, sogenannte “Super-Cookies”.
Update: 11.06.2010 – 17:45 Uhr
In diesem Zusammenhang ist der heute erschienene Artikel von Marc Ruef (computec.ch) “Labs: Facebook Like Tracking verhindern” (scip.ch) erwähnenswert.
Wie jedes erfolgreiche Unternehmen versucht auch Facebook ihren Erfolg zu vergrössern, (…) Like-Button (…)
Wie sich früh herausgestellt hat, hat Facebook einen denkbar unfreundlichen technologischen Ansatz gewählt, (…) So muss der Button über ein iFrame auf der Seite eingebunden werden. Dies führt dazu, dass jeder Seitenzugriff ebenso durch Facebook protokolliert und ausgewertet werden kann.
Samstag, 5. Juni 2010, 10:31 Uhr
Hallo,
Schoener Artikel.
Habe fuer kommenden Freitag einen aehnlichen fuer http://www.scip.ch/?labs vorbereitet, wobei ich mich jedoch primaer auf den Facebook Like Button beziehen werde. Dieser wird als iFrame eingebunden und so weit ich weiss, gibt es da keine Offline/Cache-Variante, die nicht nach Hause telefoniert
Als Loesung schlage ich vor, mit der Blacklist des Adblocker die jeweilige Einbindung zu verhindern.
Bye, Marc
Samstag, 5. Juni 2010, 12:06 Uhr
Moin Marc,
meinen Adblocker habe ich manchmal etwas zu streng eingestellt… da kommt dann fast nur noch eine weiße Seite. Das sind dann die Nebenwirkungen von Paranoikern wie mir. ;O)
Manchmal werde ich ja belächelt, weil ich mit Datenschutz und Sicherheitlücken ankomme und die Nutzung von Seiten ablehne.
Letztens erzählt mir ein Kollege, er habe nun auch einen Facebook-Account. Er hat sich mit einer E-Mail-Adresse angemeldet die nur 10 Leute kennen, die absolute privat ist. Nach der Anmeldung kannte Facebook automatisch fast alle seine Freunde die in Facebook drin sind. Also haben diese Nasen Facebook ihr Adressbuch gegeben, in der auch seine E-Mail-Adresse enthalten ist. Er war ziemlich erschrocken, wie dumm seine Freunde sind.
Ich habe natürlich auch (verschiedene) Facebook-Accounts, aber nur welche mit Fakedaten. Ich bin ja schon interessiert wie alles bei denen funktioniert und welche Lücken es dort gibt, sei es nun aus Sicht des Datenschutzes oder der Datensicherheit. Aber echte private Daten würde ich denen niemals geben.
Vielleicht hast du es ja mitbekommen: Ilse Aigner, die deutsche Verbraucherschutzministerin, hat ihren Facebook-Account, aus Protest gegen die Datenschutzmängel, gelöscht. So wie es aussieht hat Sie dabei nur etwas vergessen. Eine Gruppe in Facebook, für die sie die Administratorin ist, ist noch immer online und kann wohl nicht mehr von ihr moderiert werden.
http://www.facebook.com/group.php?gid=106150219424653&v=wall
Da war ihr(e) Mitarbeiter(in) wohl etwas zu schnell mit der Löschung des Accounts. :O)
Ich würde sagen dass dies ein Bug ist, Facebook würde es wohl eher als Feature sehen.
CU
Michael