2-Klick Button für mehr Datenschutz
| Datum: | 07.09.2011, 12:41 Uhr |
| Kategorie: | HTML, CSS und Web  |
| Kommentare: | 0 |
Soziale Netzwerke boomen, wie nie zuvor, die allseits bekannten und viel umstrittenen Facebook "Like"-Buttons finden sich längst nicht mehr nur auf Blogs von Technik-Freaks, sondern auch auf den Webseiten seriöser Unternehmen, Twitter und Google-Buttons sind oft ebenfalls vorhanden:
Wieso aber sind sie aus Datenschutzsicht denn so brisant? Die Erklärung ist einfach: Diese Buttons werden technisch gesehen so in die Internetseiten eingebettet, dass der Browser selbst, also der Internet Explorer, Mozilla Firefox oder Opera die Inhalte von den Servern der entsprechenden Netzwerke anfragt. Darüber gibt er zwangsläufig Informationen über Sie an die Betreiber weiter:
- Ihre IP-Adresse und dadurch auch Ihren Internet-Provider, wie T-Online, Unitymedia, o.ä.
- Name und Version Ihres Browsers, Ihres Betriebssystems, Ihrer Plugins, Ihrer Sprache, Ihrer Bildschirmauflösung
- Ihren ungefähren Aufenthaltsort
- Die von Ihnen besuchte Internetseite
- ...
Diese Informationen werden zwar generell an jeden Server gesendet, von dem Sie eine Internetseite abrufen, es handelt sich also nicht um eine Hackerkunst der Netzwerkbetreiber, der Knackpunkt ist jedoch, dass diese Server ohne Ihr Einverständnis kontaktiert werden und Sie keine Gelegenheit haben, der Übermittlung zu widersprechen. Wenn Sie also das Onlineportal des Sterns aufrufen, sendet der Browser bereits beim Aufruf auch Daten an Facebook:
GET / HTTP/1.1
Host: www.stern.de
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0.2) Gecko/20100101 Firefox/6.0.2
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection: keep-alive
GET /plugins/likebox.php?href=http%3A%2F%2Fwww.facebook.com%2Fstern&width=300&colorscheme=light&show_faces=true&border_color&stream=false&header=false&locale=de_DE&height=256 HTTP/1.1
Host: www.facebook.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0.2) Gecko/20100101 Firefox/6.0.2
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Referer: http://www.stern.de/
Connection: keep-alive
Wenn Sie nun vor dem Aufruf der Internetseite darüber hinaus noch bei Facebook eingeloggt waren, wird auch diese Information übertragen und der Betreiber, in diesem Fall Facebook hat die Möglichkeit, Ihr Surfverhalten direkt zu Ihrem Benutzerkonto zuzuordnen.
Abhilfe durch 2-Klick Button
Seit ca. einer Woche ist der sogenannte 2-Klick Button der Heise Medien Gruppe "auf dem Markt". Dieser Knopf ist genauso genial, wie einfach und offengestanden versteh' ich als Informatiker den Hype nur bedingt, weil es sich dabei wirklich um keine große Sache handelt. Bei diesen Knöpfen handelt es sich im Wesentlichen nur um Grafiken, die den eigentlichen Quellcode, der normalerweise zur Einbettung der original Schaltflächen von Facebook, Twitter, Google und Co. notwendig wäre, erst dann der Internetseite hinzufügen, wenn sie geklickt werden. Dabei ersetzt sich dann der entsprechende Knopf durch sein "nach Hause funkendes" Pendant. Man muss die eigentliche Funktion also durch den ersten Klick sozusagen "scharf" schalten. Im Zuge dessen werden also beim initialen Seitenaufruf, beispielsweise von heise.de, zunächst einmal nur die Grafiken und der Programmcode zur Benutzung der Knöpfe von den Servern der Heise Medien Gruppe geladen. Informationen, die Sie im Zuge dieser Anfrage über sich preisgeben, geben Sie sowieso wissentlich durch den Aufruf der Seite selbst über sich preis, oder nehmen es zumindest billigend in Kauf. Erst, wenn Sie also die Knöpfe zum ersten Mal klicken, werden diese Informationen auch an Facebook & Co. gesendet. Also: Klarer Daumen hoch für die IT Jungs von Heise! Dass Facebook die Sache stinkt und offenbar ein großes Interesse an diesen Daten hegt, zeigen übrigens auch die Reaktionen auf den Button...
Der Code für die Schaltflächen wird mittlerweile übrigens unter einer freien Lizenz (auch zur kommerziellen Nutzung) zum Download angeboten und wurde auch bereits in Plugins für diverse Blog und Content-Management Systeme gegossen. Grund genug, um genügend Druck auf die Seitenbetreiber auszuüben, die Dinger endlich einzubauen!
Piwik Opt-Out IFrame
| Datum: | 03.09.2011, 17:07 Uhr |
| Kategorie: | HTML, CSS und Web |
| Kommentare: | 0 |
Puh, endlich wieder bloggen. Nachdem ich die Seite hier auf meinen eigenen Server umgezogen habe, konnte ich anfangs keine Artikel posten. Damit ist jetzt Schluss, denn hier geht's gleich weiter. 
Nachdem Google Analytics ja seit geraumer Zeit bzgl. geltenden Datenschutzes in Kritik geraten ist1, 2, 3, hatte ich zunächst keine Software zur Erhebung von Statistiken im Einsatz. Nun habe ich mich jedoch für Piwik entschieden und es anhand des Blogeintrages von Daniel Weihmann datenschutzkonform konfiguriert. Dabei habe ich auch gleich das Opt-Out IFrame im Impressum eingebunden, durch das Benutzer dieses Blogs der Erhebung von Statistiken widersprechen können.
Bedauerlicher Weise passt der Inhalt des Frames layout-technisch garnicht zum Look-and-Feel dieses Blogs und ich habe mich gefragt, wieso man dort kein eigenes Stylesheet einbetten kann. Gut, es gibt hier und da Blogeinträge, die beschreiben, dass man ja eine Referenz im Template setzen könne, allerdings gilt das dann global. Für alle, die Piwik also für mehrere Webseiten einsetzen, ist das keine Lösung. Glück, dass Piwik die Template-Engine Smarty verwendet, denn so kann man das Opt-Out Template erweitern, sodass dem IFrame ein CSS direkt übergeben werden kann:
Original Template plugins/CoreAdminHome/templates/optOut.tpl
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta name="robots" content="noindex, nofollow" />
</head>
<body>
{if !$trackVisits}{'CoreAdminHome_OptOutComplete'|translate}
<br/>
{'CoreAdminHome_OptOutCompleteBis'|translate}
{else}
{'CoreAdminHome_YouMayOptOut'|translate}
<br/>
{'CoreAdminHome_YouMayOptOutBis'|translate}
{/if}
<br/><br/>
<form method="post" action="?module=CoreAdminHome&action=optOut{if $language}&language={$language}{/if}">
<input type="hidden" name="nonce" value="{$nonce}" ></input>
<input type="hidden" name="fuzz" value="{$smarty.now}"></input>
<input onclick="this.form.submit()" type="checkbox" id="trackVisits" name="trackVisits" {if $trackVisits}checked="checked"{/if}></input>
<label for="trackVisits"><strong>
{if $trackVisits}{'CoreAdminHome_YouAreOptedIn'|translate} {'CoreAdminHome_ClickHereToOptOut'|translate}
{else}{'CoreAdminHome_YouAreOptedOut'|translate} {'CoreAdminHome_ClickHereToOptIn'|translate}{/if}
</strong></label>
</form>
</body>
</html>
Angepasstes Template
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta name="robots" content="noindex, nofollow" />
{if isset($smarty.request.css)}
<link rel="stylesheet" type="text/css" href="{$smarty.request.css}" />
{/if}
</head>
<body>
{if !$trackVisits}{'CoreAdminHome_OptOutComplete'|translate}
<br/>
{'CoreAdminHome_OptOutCompleteBis'|translate}
{else}
{'CoreAdminHome_YouMayOptOut'|translate}
<br/>
{'CoreAdminHome_YouMayOptOutBis'|translate}
{/if}
<br/><br/>
<form method="post" action="?module=CoreAdminHome&action=optOut{if $language}&language={$language}{/if}">
<input type="hidden" name="nonce" value="{$nonce}" ></input>
<input type="hidden" name="fuzz" value="{$smarty.now}"></input>
{if isset($smarty.request.css)}
<input type="hidden" name="css" value="{$smarty.request.css}"></input>
{/if}
<input onclick="this.form.submit()" type="checkbox" id="trackVisits" name="trackVisits" {if $trackVisits}checked="checked"{/if}></input>
<label for="trackVisits"><strong>
{if $trackVisits}{'CoreAdminHome_YouAreOptedIn'|translate} {'CoreAdminHome_ClickHereToOptOut'|translate}
{else}{'CoreAdminHome_YouAreOptedOut'|translate} {'CoreAdminHome_ClickHereToOptIn'|translate}{/if}
</strong></label>
</form>
</body>
</html>
Was jetzt noch zu tun ist, ist dem IFrame die Url zum Stylesheet zu übergeben. Aber Vorsicht: Die Url muss ensprechend kodiert sein (zum kodieren eignet sich bspw. der URL Encoder von hier). Im Falle dieses Blogs lautet die URL zum Stylesheet http:// www.josupeit.com/css/piwik.css und das entsprechend kodierte Pendant also http%3a%2f%2fwww.josupeit.com%2fcss%2fpiwik.css. Der IFrame-Code ändert sich also wie folgt:
<iframe src="http://vps1.josupeit.com/piwik/index.php?module=CoreAdminHome&action=optOut&language=de&css=http%3a%2f%2fwww.josupeit.com%2fcss%2fpiwik.css" frameborder="no" height="200px" width="600px"></iframe>
Viel Spaß.
1 Google Analytics (Wikipedia)
2 Warum Google Analytics in Deutschland illegal ist - Golem (Golem)
3 Datenschützer bricht Verhandlungen über Google Analytics ab (Heise Online)
Auf dem Weg zur Überwachungsgesellschaft?
| Datum: | 25.02.2010, 20:29 Uhr |
| Kategorie: | HTML, CSS und Web |
| Kommentare: | 4 |
Dass Facebook mit bereits Anfang 2009 auf den Keks ging, habe ich ja bereits im Artikel Facebook Account löschen beschrieben. Abgesehen davon, dass ich mir trotz allen Löschens nur schwer vorstellen kann, dass die Daten angesichts aktueller Meldungen gerade bei Facebook "dauerhaft entfernt" werden, frage ich mich: Ändert das überhaupt was am Schutz meiner Daten?
Vor einiger Zeit habe ich bei Heise online gelesen, dass es mittlerweile möglich ist, sein Handyadressbuch mit Facebook zu "synchronisieren" und sein Mailkonto (nach Angabe von Benutzernamen und Passwort selbstredend [Achtung: Sarkasmus]) abgrasen zu lassen1, um direkt mit seinen Freunden verbunden zu werden. Wozu habe ich damals also mein Konto gelöscht, wenn Freunde, Verwandte, entfernte Bekannte oder Leute, denen ich aus irgendwelchen Gründen mal eine E-Mail gesendet habe meine Daten ohne Rückfrage an diese Datenschleuder versenden? 
Was mich, abgesehen davon, dass sehr viele Menschen, darunter vor allem junge Menschen, sehr sehr viele Informationen über sich sowieso bereitwillig durchs Internet jagen jedoch wirklick sorgt, ist dass ich nun von allen "Interessenten" nicht bloß gegooglet oder "gefacebookt" werden kann, sondern dass diese stumpfsinnige Arbeit jetzt gleich biometrisch gestützt erledigt wird2. Der Firma "The Astonishing Tribe" (die Verlinkung spare ich mir an dieser Stelle bewusst) haben wir das Glück zu verdanken, dass bald jeder Besitzer eines Handys mit 5 Megapixel-Kamera bloß noch sein Objektiv auf ein Gesicht richten muss und die Software automatisch alle gesammelten Daten zu der geknipsten Person zurückgibt.
Bin ich der Einzige, der sich schon darauf freut, sich selbst zu knipsen?
1 Was Facebook über Nicht-Mitglieder weiß (Heise Online)
2 Handy identifiziert Fotografierte über Facebook & Co. (Heise Online)
Phishing als Geschäftsmodell
| Datum: | 07.11.2009, 19:53 Uhr |
| Kategorie: | HTML, CSS und Web |
| Kommentare: | 2 |
Heute, beim Kaffee mit zwei meiner Informatiker-Kollegen habe ich zum ersten Mal von einer durchaus populären Dienstleistung im Web erfahren: der Sofortüberweisung. Als die zwei mir davon erzählten dache ich zunächst, dass sie mich aufs Korn nehmen wollen: Da gibt es so einen Bezahldienst, der, wenn man ihn benutzt, um in Online-Shops zu zahlen den Shop-Betreiber veranlasst, die Ware sofort loszuschicken. Dabei wird der zu zahlende Betrag aber nicht wie bei Paypal vom Konto eingezogen, sondern direkt an den Händler überwiesen. Und jetzt der Hammer: Vom eigenen Konto. Wie aber kann das funktionieren, wenn nicht ich selbst den Betrag von meinem Konto überweise? Ganz einfach: Ich gewähre einem Webdienst direkt Zugriff auf mein Onlinebanking und soll dazu wahrhaftig meine Zugangskennung, PIN und eine Transaktionsnummer (TAN) angeben! Im Normalfall heißt sowas Phishing!
Der Anbieter loggt sich also automatisch mit den Zugangsdaten beim Onlinebanking ein, Überweist das Geld auf das Konto des Empfängers und bestätigt dem Anbieter, dass die Überweisung angewiesen wurde. Da aber die Bank in diesem Fall keine Haftung übernimmt, springt Sofortüberweisung mit irgendeiner Versicherung ein. Ich muss gestehen, bereits da habe ich aufgehört zu lesen und vor Empörung angefangen diesen Beitrag hier zu verfassen. Die interessante Frage ist doch: Wieso zum Geier haftet die Bank nicht mehr? Ganz einfach: Weil sie sich von Ihnen aus gutem Grund hat unterschreiben lassen, dass sie von der Haftung entbunden wird, wenn Sie Ihre Zugangsdaten weitergeben!
Selbst wenn Sie "Sofortüberweisung" vertrauen und ich frage Sie, wieso sollten Sie das tun? Vielleicht wegen der TÜV Zertifizierung, dass Ihre Daten nicht gespeichert werden und ganz sicher sicher sind? Wie auch immer: Selbst wenn Sie "Sofortüberweisung" vertrauen, bereits in der Praxis wurde eine SSL Verschlüsselung wegen unsicherer Zertifikate ausgehebelt, vertrauen Sie dem Zertifikat? Fällt Ihnen sicher auf, falls die Seite überhaupt nicht SSL verschlüsselt ist und Sie vielleicht bereits bei "Sofortüberweisung" auf einer Phishing-Seite landen, die Originalgetreu nachgebildet wurde? Wenn Sie nicht den geringsten Zweifel hegen, dann schicken Sie mir bitte einfach Ihre EC-Karte und Ihre Geheimnummer an die Adresse im Impressum, ich werde mich künftig um Ihre Finanzen kümmern, doch sein Sie versichert: Sie können mir vertrauen...
Zu guter Letzt bleibt also festzuhalten, dass es nicht genügt, dass die Banken auf Ihren Onlinebanking-Portalen darauf hinweisen, dass man niemandem seine Daten geben sollte. Statt dessen sollten endlich alle Institute das TAN, iTAN, mTAN oder Irgendein-Buchstabe-davor-und-trotzdem-unsicher-TAN Verfahren durch bekannte, sichere Verfahren, wie HBCI über Chipkarte ablösen, damit weniger technikversierte Menschen gar nicht erst in die Versuchung kommen, solche Dienste zu nutzen...
Reporter ohne Grenzen gegen Internetzensur
| Datum: | 12.03.2009, 22:19 Uhr |
| Kategorie: | HTML, CSS und Web |
| Kommentare: | 0 |