Wieso aber sind sie aus Datenschutzsicht denn so brisant? Die Erklärung ist einfach: Diese Buttons werden technisch gesehen so in die Internetseiten eingebettet, dass der Browser selbst, also der Internet Explorer, Mozilla Firefox oder Opera die Inhalte von den Servern der entsprechenden Netzwerke anfragt. Darüber gibt er zwangsläufig Informationen über Sie an die Betreiber weiter:

• Ihre IP-Adresse und dadurch auch Ihren Internet-Provider, wie T-Online, Unitymedia, o.ä.
• Name und Version Ihres Browsers, Ihres Betriebssystems, Ihrer Plugins, Ihrer Sprache, Ihrer Bildschirmauflösung
• Ihren ungefähren Aufenthaltsort
• Die von Ihnen besuchte Internetseite
• ...

Diese Informationen werden zwar generell an jeden Server gesendet, von dem Sie eine Internetseite abrufen, es handelt sich also nicht um eine Hackerkunst der Netzwerkbetreiber, der Knackpunkt ist jedoch, dass diese Server ohne Ihr Einverständnis kontaktiert werden und Sie keine Gelegenheit haben, der Übermittlung zu widersprechen. Wenn Sie also das Onlineportal des Sterns aufrufen, sendet der Browser bereits beim Aufruf auch Daten an Facebook:

GET / HTTP/1.1
Host: www.stern.de
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0.2) Gecko/20100101 Firefox/6.0.2
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection: keep-alive

GET /plugins/likebox.php?href=http%3A%2F%2Fwww.facebook.com%2Fstern&width=300&colorscheme=light&show_faces=true&border_color&stream=false&header=false&locale=de_DE&height=256 HTTP/1.1
Host: www.facebook.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0.2) Gecko/20100101 Firefox/6.0.2
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Referer: http://www.stern.de/
Connection: keep-alive

Wenn Sie nun vor dem Aufruf der Internetseite darüber hinaus noch bei Facebook eingeloggt waren, wird auch diese Information übertragen und der Betreiber, in diesem Fall Facebook hat die Möglichkeit, Ihr Surfverhalten direkt zu Ihrem Benutzerkonto zuzuordnen.

Abhilfe durch 2-Klick Button

Seit ca. einer Woche ist der sogenannte 2-Klick Button der Heise Medien Gruppe "auf dem Markt". Dieser Knopf ist genauso genial, wie einfach und offengestanden versteh' ich als Informatiker den Hype nur bedingt, weil es sich dabei wirklich um keine große Sache handelt. Bei diesen Knöpfen handelt es sich im Wesentlichen nur um Grafiken, die den eigentlichen Quellcode, der normalerweise zur Einbettung der original Schaltflächen von Facebook, Twitter, Google und Co. notwendig wäre, erst dann der Internetseite hinzufügen, wenn sie geklickt werden. Dabei ersetzt sich dann der entsprechende Knopf durch sein "nach Hause funkendes" Pendant. Man muss die eigentliche Funktion also durch den ersten Klick sozusagen "scharf" schalten. Im Zuge dessen werden also beim initialen Seitenaufruf, beispielsweise von heise.de, zunächst einmal nur die Grafiken und der Programmcode zur Benutzung der Knöpfe von den Servern der Heise Medien Gruppe geladen. Informationen, die Sie im Zuge dieser Anfrage über sich preisgeben, geben Sie sowieso wissentlich durch den Aufruf der Seite selbst über sich preis, oder nehmen es zumindest billigend in Kauf. Erst, wenn Sie also die Knöpfe zum ersten Mal klicken, werden diese Informationen auch an Facebook & Co. gesendet. Also: Klarer Daumen hoch für die IT Jungs von Heise! Dass Facebook die Sache stinkt und offenbar ein großes Interesse an diesen Daten hegt, zeigen übrigens auch die Reaktionen auf den Button...

Der Code für die Schaltflächen wird mittlerweile übrigens unter einer freien Lizenz (auch zur kommerziellen Nutzung) zum Download angeboten und wurde auch bereits in Plugins für diverse Blog und Content-Management Systeme gegossen. Grund genug, um genügend Druck auf die Seitenbetreiber auszuüben, die Dinger endlich einzubauen!

Bedauerlicher Weise passt der Inhalt des Frames layout-technisch garnicht zum Look-and-Feel dieses Blogs und ich habe mich gefragt, wieso man dort kein eigenes Stylesheet einbetten kann. Gut, es gibt hier und da Blogeinträge, die beschreiben, dass man ja eine Referenz im Template setzen könne, allerdings gilt das dann global. Für alle, die Piwik also für mehrere Webseiten einsetzen, ist das keine Lösung. Glück, dass Piwik die Template-Engine Smarty verwendet, denn so kann man das Opt-Out Template erweitern, sodass dem IFrame ein CSS direkt übergeben werden kann:

Original Template plugins/CoreAdminHome/templates/optOut.tpl

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
   "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
        <head>
                <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
                <meta name="robots" content="noindex, nofollow" />
        </head>
        <body>
                {if !$trackVisits}{'CoreAdminHome_OptOutComplete'|translate}
                <br/>
                {'CoreAdminHome_OptOutCompleteBis'|translate}
                {else}
                {'CoreAdminHome_YouMayOptOut'|translate}
                <br/>
                {'CoreAdminHome_YouMayOptOutBis'|translate}
                {/if}
                <br/><br/>
                <form method="post" action="?module=CoreAdminHome&amp;action=optOut{if $language}&amp;language={$language}{/if}">
                        <input type="hidden" name="nonce" value="{$nonce}" ></input>
                        <input type="hidden" name="fuzz" value="{$smarty.now}"></input>
                        <input onclick="this.form.submit()" type="checkbox" id="trackVisits" name="trackVisits" {if $trackVisits}checked="checked"{/if}></input>
                        <label for="trackVisits"><strong>
                        {if $trackVisits}{'CoreAdminHome_YouAreOptedIn'|translate} {'CoreAdminHome_ClickHereToOptOut'|translate}
                        {else}{'CoreAdminHome_YouAreOptedOut'|translate} {'CoreAdminHome_ClickHereToOptIn'|translate}{/if}
                        </strong></label>
                </form>
        </body>
</html>

Angepasstes Template

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
   "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
        <head>
                <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
                <meta name="robots" content="noindex, nofollow" />
                {if isset($smarty.request.css)}
                <link rel="stylesheet" type="text/css" href="{$smarty.request.css}" />
                {/if}
        </head>
        <body>
                {if !$trackVisits}{'CoreAdminHome_OptOutComplete'|translate}
                <br/>
                {'CoreAdminHome_OptOutCompleteBis'|translate}
                {else}
                {'CoreAdminHome_YouMayOptOut'|translate}
                <br/>
                {'CoreAdminHome_YouMayOptOutBis'|translate}
                {/if}
                <br/><br/>
                <form method="post" action="?module=CoreAdminHome&amp;action=optOut{if $language}&amp;language={$language}{/if}">
                        <input type="hidden" name="nonce" value="{$nonce}" ></input>
                        <input type="hidden" name="fuzz" value="{$smarty.now}"></input>
                        {if isset($smarty.request.css)}
                        <input type="hidden" name="css" value="{$smarty.request.css}"></input>
                        {/if}
                        <input onclick="this.form.submit()" type="checkbox" id="trackVisits" name="trackVisits" {if $trackVisits}checked="checked"{/if}></input>
                        <label for="trackVisits"><strong>
                        {if $trackVisits}{'CoreAdminHome_YouAreOptedIn'|translate} {'CoreAdminHome_ClickHereToOptOut'|translate}
                        {else}{'CoreAdminHome_YouAreOptedOut'|translate} {'CoreAdminHome_ClickHereToOptIn'|translate}{/if}
                        </strong></label>
                </form>
        </body>
</html>

Was jetzt noch zu tun ist, ist dem IFrame die Url zum Stylesheet zu übergeben. Aber Vorsicht: Die Url muss ensprechend kodiert sein (zum kodieren eignet sich bspw. der URL Encoder von hier). Im Falle dieses Blogs lautet die URL zum Stylesheet http:// www.josupeit.com/css/piwik.css und das entsprechend kodierte Pendant also http%3a%2f%2fwww.josupeit.com%2fcss%2fpiwik.css. Der IFrame-Code ändert sich also wie folgt:

<iframe src="http://vps1.josupeit.com/piwik/index.php?module=CoreAdminHome&amp;action=optOut&amp;language=de&amp;css=http%3a%2f%2fwww.josupeit.com%2fcss%2fpiwik.css" frameborder="no" height="200px" width="600px"></iframe>

Viel Spaß. ;-)

Vor einiger Zeit habe ich bei Heise online gelesen, dass es mittlerweile möglich ist, sein Handyadressbuch mit Facebook zu "synchronisieren" und sein Mailkonto (nach Angabe von Benutzernamen und Passwort selbstredend [Achtung: Sarkasmus]) abgrasen zu lassen¹, um direkt mit seinen Freunden verbunden zu werden. Wozu habe ich damals also mein Konto gelöscht, wenn Freunde, Verwandte, entfernte Bekannte oder Leute, denen ich aus irgendwelchen Gründen mal eine E-Mail gesendet habe meine Daten ohne Rückfrage an diese Datenschleuder versenden? X-O

Was mich, abgesehen davon, dass sehr viele Menschen, darunter vor allem junge Menschen, sehr sehr viele Informationen über sich sowieso bereitwillig durchs Internet jagen jedoch wirklick sorgt, ist  dass ich nun von allen "Interessenten" nicht bloß gegooglet oder "gefacebookt" werden kann, sondern dass diese stumpfsinnige Arbeit jetzt gleich biometrisch gestützt erledigt wird². Der Firma "The Astonishing Tribe" (die Verlinkung spare ich mir an dieser Stelle bewusst) haben wir das Glück zu verdanken, dass bald jeder Besitzer eines Handys mit 5 Megapixel-Kamera bloß noch sein Objektiv auf ein Gesicht richten muss und die Software automatisch alle gesammelten Daten zu der geknipsten Person zurückgibt.

Bin ich der Einzige, der sich schon darauf freut, sich selbst zu knipsen?

¹ Was Facebook über Nicht-Mitglieder weiß (Heise Online)
² Handy identifiziert Fotografierte über Facebook & Co. (Heise Online)

Der Anbieter loggt sich also automatisch mit den Zugangsdaten beim Onlinebanking ein, Überweist das Geld auf das Konto des Empfängers und bestätigt dem Anbieter, dass die Überweisung angewiesen wurde. Da aber die Bank in diesem Fall keine Haftung übernimmt, springt Sofortüberweisung mit irgendeiner Versicherung ein. Ich muss gestehen, bereits da habe ich aufgehört zu lesen und vor Empörung angefangen diesen Beitrag hier zu verfassen. Die interessante Frage ist doch: Wieso zum Geier haftet die Bank nicht mehr? Ganz einfach: Weil sie sich von Ihnen aus gutem Grund hat unterschreiben lassen, dass sie von der Haftung entbunden wird, wenn Sie Ihre Zugangsdaten weitergeben!

Selbst wenn Sie "Sofortüberweisung" vertrauen und ich frage Sie, wieso sollten Sie das tun? Vielleicht wegen der TÜV Zertifizierung, dass Ihre Daten nicht gespeichert werden und ganz sicher sicher sind? Wie auch immer: Selbst wenn Sie "Sofortüberweisung" vertrauen, bereits in der Praxis wurde eine SSL Verschlüsselung wegen unsicherer Zertifikate ausgehebelt, vertrauen Sie dem Zertifikat? Fällt Ihnen sicher auf, falls die Seite überhaupt nicht SSL verschlüsselt ist und Sie vielleicht bereits bei "Sofortüberweisung" auf einer Phishing-Seite landen, die Originalgetreu nachgebildet wurde? Wenn Sie nicht den geringsten Zweifel hegen, dann schicken Sie mir bitte einfach Ihre EC-Karte und Ihre Geheimnummer an die Adresse im Impressum, ich werde mich künftig um Ihre Finanzen kümmern, doch sein Sie versichert: Sie können mir vertrauen...

Zu guter Letzt bleibt also festzuhalten, dass es nicht genügt, dass die Banken auf Ihren Onlinebanking-Portalen darauf hinweisen, dass man niemandem seine Daten geben sollte. Statt dessen sollten endlich alle Institute das TAN, iTAN, mTAN oder Irgendein-Buchstabe-davor-und-trotzdem-unsicher-TAN Verfahren durch bekannte, sichere Verfahren, wie HBCI über Chipkarte ablösen, damit weniger technikversierte Menschen gar nicht erst in die Versuchung kommen, solche Dienste zu nutzen...

Diese Tortur ist nicht nur nervig, sondern geradezu eine Farce und zu Zeiten, in denen Datenschutz glücklicherweise öfter in den Medien genannt und dennoch viel zu klein geschrieben wird unverzeihlich! Aus diesem Grunde gibt es von mir als Belohnung für Facebook sogar einen Backlink: Zur Löschseite.

Liebe Facebook-Betreiber (wer auch immer ihr sein mögt, ich möchte nicht auch noch Euer Impressum suchen): Klarer Daumen nach unten!

Vorher hatte ich einen Mechanismus verwendet, der bei Betreten dieser Seite die IP-Adresse des Besuchers mit täglich mehrfach aktualisierten Spammer-Datenbanken abglich. Da aber seit geraumer Zeit vermehrt IP-Adressen entführter Rechner nur noch einmal verwendet werden, verlor diese Methode leider ihre Wirkung, so dass bedauerlicher Weise viele Leser von diesem Blog ausgesperrt wurden. Daher nochmal an dieser Stelle: Es tut mir wirklich leid, dass der Kampf gegen Spam immer auf Ihren Schultern ausgetragen wird, lieber Leser. Trotzdem hoffe ich, dass Sie mit der visuellen Bestätigung kein Problem haben.

Also: Nicht beirren lassen und fleißig weiter kommentieren... 

Zunächst fällt ein komplett neues Design ins Auge: Nicht nur, dass der vom Hersteller for-four-business mitgelieferte "Beispielmandant" überarbeitet wurde, auch die Verwaltungsoberfläche, das sogenannte "Backend" erscheint in neuem Glanz. Erstes Manko: Selbst ich als geübter Contenido-Entwickler muss mich zunächst an die neuen Icons gewöhnen, so wird scheinbar nicht jedem auf Anhieb klar, dass ein Rechteck mit Schatten nun für "Artikel duplizieren" steht. Außerdem wirkt der neu eingeführte Hover-Effekt für die Hauptnavigation sehr träge, so dass ich bereits nach fünf Minuten Test genervt darüber war, dass ich, anstatt wie früher auf "Content" zu klicken, nun mit der Maus darüber verweilen muss, um zur gewünschten Verwaltungsseite zu gelangen.

Einige Dinge sind dafür besser gelöst, so lassen sich nun beispielsweise Kategorien komfortabler erzeugen und im selben Schritt online setzen. Außerdem wurde das CMS um Workflows erweitert, so dass nun (offenbar) definiert werden kann, dass Redakteure Artikel zwar verfassen, ihre eigenen Artikel jedoch nicht selbst publizieren dürfen. Auch ein Linkchecker und eine Erweiterung namens "Content Allocation" wurden hinzugefügt (Sobald ich mir diese drei Dinge angesehen habe, werde ich an dieser Stelle darüber berichten).

Dennoch scheint es sich bei allen "neuen Features" größtenteils um Schönheitsreparaturen zu handeln, so dass selbst seit September 2007 bekannte Bugs (vgl. http://forum.contenido.org/viewtopic.php?t=18175) nicht behoben wurden. Eine Integration einer komfortablen mod_rewrite Kompatiblität ist seitens 4fB wieder einmal nicht integriert worden.

Leider werde ich also - GPL sei Dank - wieder einmal meine eigene Contenido-Version aus eigenen Ergänzungen der Version 4.6.23 (wie verbesserte mod_rewrite-Unterstützung, so dass Artikel beispielsweise nicht gezwungenermaßen die Endung .html haben müssen, o.ä., Angabe eines Wertes zu Artikelspezifikationen und diverser Bugfixes wie oben angeführt) zusammenbauen. Schade, dass der Hersteller nicht einmal Fehler behebt, dessen Lösung die Community bereits ins Forum gestellt hat.

(Quelle )

<div rel="noindex">
// Nicht indizierter Content //
</div>

Dieses Beispiel wäre eine Möglichkeit dafür, obgleich auch hier der Einsatz von noindex im Attribut rel semantisch falsch ist, den im obigen div eingeschlossenen Content (beispielsweise Blog-Kommentare auf Wunsch des Autors) über die Keywordsuche auszuschließen. Mit allen anderen Tags des Robots Exclusion Standard würde das übrigens analog funktionieren...

Im Job ist es teils eine wahre Qual, als letzten Schritt in der Umsetzung einer Webseite mit CSS Hacks (die das Stylesheet natürlich nicht valide machen) oder Conditional Comments das Layout den Fehlern des Internet Explorers anzupassen. Für alle Leidensgenossen möchte ich an dieser Stelle künftig Tipps und Kniffe beschreiben, die einem das Leben hinsichtlich dieser und anderer Probleme hoffentlich ein wenig leichter machen.

Das CSS-Attribut "min-height" beispielsweise wird vom IE leider nicht unterstützt, kann allerdings simuliert werden, möchte man auf oben angeführte CSS-Hacks oder Conditional Comments verzichten. Dies funktioniert auf einfachem Wege durch folgende Angaben im Stylesheet:

height: auto !important; /* Wird von modernen Browsern interpretiert */
height: 100%;            /* Für den IE: wie min-height */
min-height: 100%;        /* min-height für alle anderen Browser */

Diese Zeilen funktionieren durch eine fehlerhafte Interpretation der Angabe !important, die validen Browsern mitteilt, dass die Angabe "auto" bezüglich der Element-Höhe des Wertes "100%" vorgezogen wird, sprich, das Element soll bei übergroßem Inhalt automatisch wachsen. Obwohl das Attribut height im eigentlichen Sinne eine Höhe festlegt, lässt der IE dennoch eine dynamische Vergrößerung des Bereiches zu, sollte der Inhalt wachsen. height wird demnach vom Internet Explorer generell als min-height interpretiert. In diesem Sinne existiert die Angabe min-height sowieso nur für Browser, die CSS zumindest in dieser Hinsicht valide interpretieren, die Angabe height: auto !important setzt nur die 100%-ige Höhenangabe ausser Kraft.

An dieser Stelle sei generell noch einmal auf SelfHTML hingewiesen, denn dort lassen sich viele Attribute nachschlagen. Informationen bezüglich Conditional Comments und CSS-Hacks werden dort auch sehr gut erklärt.