Google geht uns schon seit Tagen, mit ihrem “Wir ändern unsere Datenschutzbestimmungen und Nutzungsbedingungen.”, auf die Nerven. Auch ich nutze diverse Dienste von Google, zum Teil habe ich mehr als einen Account pro Dienst.


Einzelne Datensätze vor der Zusammenführung meiner Daten bei Google:

• AdSense
• AdWords
• Alert
• Analytics
• Android Market
• Docs
• Groups
• Mail
• Plus
• YouTube

Würde man nun alle diese Daten zusammentragen und in einem Datenpool zusammenführen und miteinander verknüpfen, so ergäbe sich ein gewisses Nutzerbild, welches von den Daten aus den täglichen Suchanfragen abgerundet würde.


Einzelne Datensätze nach der Zusammenführung meiner Daten bei Google:

• AdSense
• AdWords
• Alert
• Analytics
• Android Market
• Docs
• Groups
• Mail
• Plus
• YouTube

Ich nutze für jeden Dienst eine eigene E-Mail-Adresse und erschwere es Google alle Daten zusammenzutragen und sich ein Bild von mir zu machen. Und fast alle Dienste nutze ich nur zu Testzwecken.

Wenn Google morgen tot umfallen würde, würde mir nur die Suche fehlen, da dies nach wie vor der einzige Dienst ist, den ich jeden Tag nutze. Aber auch über meine Suchanfragen kann Google nicht so einfach Buch führen, da ich täglich die Cookies lösche bzw. löschen lasse und natürlich bin ich bei der Suche nie in einem Google-Account eingeloggt.

Ja, ich bin böse. ;O)


Wer viele Daten im Netz publiziert und ständig seine digitalen Ausdünstungen zum Besten geben muss, für den ist Google natürlich das ideale Schweißband. Wer aber, auch im 21. Jahrhundert, auf seine Privatsphäre achtet, der kann sehr leicht ohne Google leben und trotzdem die volle Bandbreite der Möglichkeiten des Internets nutzen. Dies mag am Anfang etwas mühseliger erscheinen, als “einfach” Google zu nutzen, aber wer sich nicht von einem Anbieter abhängig macht, der kann sehr flexibel auf die Änderungen bei einem Dienst reagieren ohne dabei alles zu verlieren.

Da kommt schon mal einer auf die Idee nicht einfach nur MD5 zu benutzen, um einen Hash des Passwortes in der Datenbank zu speichern – und dann so etwas.

Eine SQL-Fehlermeldung die den AES-Schlüssel ausspuckt:
... encode(decrypt_iv(passwort, 'A*****9', decode(n.iv, 'base64'), 'aes'), 'escape') ...

Den MD5-Hash von cPe64pH,r)?Mz4n39[u@J zu knacken dürfte etwas länger dauern. Aus dem AES-Code das Passwort zu generieren, wenn man den AES-Schlüsselt hat, dürfte hingegen kein Problem sein.

Per SQL-Injection könnten nun alle Daten, denn nicht nur das Passwort ist verschlüsselt, ausgelesen werden, um diese mit dem AES-Schlüssel zu entschlüsseln.


Gibt es Fehler an der “richtigen” Stelle, helfen die besten Sicherheitsmaßnahmen nichts.