Wenn man sich schon mal freut…


… kommt man oft zu dem Schluß, daß man den Tag nicht vor dem Abend loben soll. Genau das hat sich wieder einmal bewahrheitet: Wir haben uns gefreut, daß unsere 2-Klick-Lösung reibungslos funktioniert. Das tut sie auch – nach wie vor. Nur sind die Datenschützer nicht glücklich. Denn: So reicht es nicht – es ist nicht datenschutzkonform…

Der erkennbare “Schalter” zum Aktivieren fehlt – neben der Belehrung für den Seitenbesucher, daß er dann Daten sendet, und erst nur dann, wenn … ja, wenn er eben welche sendet, weil er welche senden will – vorausgesetzt, er will wirklich. Oder wie auch immer… Wir werden wohl ein fettes DIV-Containerchen mit einem Mega-Schaltpanel nachrüsten dürfen. Mal sehen. Außerdem: Imitieren wir den Facebook-Button? Oh weh… Jedenfalls kommen die Seitenbesucher mit unserer Lösung klar – das ist doch auch schon mal was. Wenigstens ein kleiner, wenn auch schwacher Trost ;-)

Übrigens: Die Heise-Lösung ist auch durchgefallen…

Ein Gespenst geht um in Europa…


… und das nennt sich “Soziales Netzwerk”. Und leider tritt dieses Phänomen nicht nur in Europa auf – der ganze blaue Planet ist von diesem Virus infiziert.

Neben manchen – zugegeben – nützlichen Features, dem Datensammeln für die Werbewirtschaft und der Spionage für Geheimdienste dient diese Seuche vor allem einem: Der zügellosen Verbreitung von Schwachsinn, Unfug und pseudointellektuellem Geschwafel. Das reicht von “Wenn Du auch gegen Mobbing bist und Dich traust, teile das in Deinem Status” über “Wenn Du auch stolzer Papa bist, teile das” bis hin zu “Wenn Du auch der Meinung bist, daß fast niemand aus Deinem Freundeskreis für Dich da ist, wenn Du ihn wirklich brauchst, teile das hier… Wetten, daß sich kaum einer traut, das zu teilen?” usw.

“Wenn Du für Wulff bist, klick ‘Gefällt mir’ – und wenn Du gegen ihn bist, teile das…” So geht es in einer Tour. Die Krönung sind aber die Anleitungen, die einem ins Haus flattern – sei es, um rauszukriegen, wer gerade Deine Facebook-Chronik besucht (WAS NICHT MÖGLICH IST!), oder sei es, um einem “wertvolle” Tips zum Datenschutz zu geben. Der Sinn der Sache: Man verbreitet krude Thesen, um selbst mit Apps Daten zu sammeln oder/und Likes oder Shares zu kassieren. Das beeinflußt über die sogenannten Social Signals hintenrum das Ranking in der Google-Suche. In der Form grenzt das schon an organisierte Kriminalität und geht weit über SEO hinaus. Oder aber: Es sind einfach dumme Gören, die sich einen Jux machen und andere verarschen wollen – wenn man es mal beim Namen nennt.

Jedenfalls sah sich ein(e) Bekannte(r) heute gezwungen, eine wahrscheinlich bei FB kursierende “intelligente” Anleitung weiterzuverbreiten, die ich prompt unter Neuigkeiten fand. Ich zitiere (Rechtschreibung habe ich mal an den Blog-Standard angepaßt):

Liebe Freunde und Bekannte!!!!
Könnt Ihr bitte etwas machen: Ich würde gerne PRIVAT mit Euch in Verbindung bleiben. Mit den letzten Veränderungen auf FB kann die Öffentlichkeit jetzt leider alle Aktivitäten auf jeder Wand sehen. Drückt einer unserer Freunde auf “Gefällt mir” oder auf “Kommentieren”, sehen seine Freunde automatisch auch unsere Posts. Leider hat FB das so eingerichtet, daß wir diese Einstellung nicht selbst verändern können. Deswegen brauche ich Eure Hilfe. Nur Ihr könnt das für mich machen. BITTE geh mit Deiner Maus auf meinen Namen oben (nicht klicken), es erscheint ein Fenster, jetzt gehe mit der Maus auf “FREUNDE” (auch ohne zu klicken), dann runter zu “EINSTELLUNGEN”; hier klicke und eine Liste wird erscheinen. ENTFERNE das Häkchen bei “KOMMENTARE UND GEFÄLLT MIR” indem Du darauf klickst. Wenn Du das machst werden meine Aktivitäten unter meinen Freunden und meiner Familie bleiben und nicht länger veröffentlicht. Vielen Dank! Kopier das in deinen Status, damit auch Deine Kontakte ihre Privatspähre behalten können!!! Vielen Dank!!!

Ich wußte erst gar nicht, was ich dazu sagen sollte. Aber dann schoß es förmlich aus mir heraus – und meine Antwort erreichte einen Umfang, der dazu führte, daß ich sie hier veröffentliche, obwohl ich mein Artikel-Pensum für diese Woche bereits erfüllt habe:

Hört sich zwar unwahrscheinlich böse an, ist aber gar nicht so böse gemeint, weil ich die Antwort in allgemeinem Stil gehalten habe. Aber wenn ich was von “Häckchen” (= Miniatur-Gartengeräte) und “Kopier das in Deinen Status” lese, weiß ich zu 99% aus welcher Ecke das kommt. Und das ist eben zu 102% Müll. Einfach mal 2 Rechner nehmen und das gepostete Szenario testen… Denn entweder bin ich doof, oder da steht Nonsens… “Jede Wand?” Das ist doch Blödsinn! Im Text ist übrigens ein Link zum Thema in der Facebook-Hilfe. Dort steht, wozu die Haken dienen… DU kannst das einschränken, was DU siehst… Denn was pssiert, wenn ich Deinem Aufruf folge? Irgendwie habe ich den Eindruck, daß vor allem ICH dann nicht mehr sehe, was Du schreibst oder klickst (FB-FAQ).

Ganz ehrlich? Großer Käse und Serienbriefverdummung! Dann kann man auch gleich alle Haken rausnehmen – oder noch besser: “In den Neuigkeiten anzeigen” abwählen. Gerade das war und ist ja der Sinn von Facebook – sonst braucht man sich doch gar nicht hier anzumelden: Sehen, was die Freunde so treiben. Wenn es nur darum ginge, anderen in die Chronik zu schreiben, ohne, daß jemand was davon mitbekommt, könnte man auch eine Website mit GB aufsetzen. In beiden Fällen sehen dann nur Zufallsbesucher den Schriftwechsel. Genau so mit den Klicks: Wenn ich nicht will, daß einer sieht, wo ich klicke » einfach nicht klicken! Jeder ist doch selbst für das verantwortlich, was er von sich gibt. Und diese Netzwerke sind öffentlich…

1) Für PRIVATES gibt es E-Mail. Das hat bei FB nichts zu suchen.

2) Wenn ich was zu verbergen habe, mache ich das selbst in meinen Einstellungen bei PRIVATSPHÄRE.

3) Wenn ich großen Mist poste, kann es mir egal sein, ob die 5 Dorftrottel in meiner Freundesliste das sehen oder nicht. Werbewirtschaft, CIA, BND, BKA, Mossad und NSA wissen es dank FB ohnehin. Selbst wenn ich hier ALLES ausblende.

4) Wer von Datenschutz fantasiert, muß zwingend Google und Facebook meiden – sollte dann aber auch in keinem anderen Kanal Lebensläufe oder Kinderfotos posten.

5) Denn Datenschutz fängt immer beim USER selbst an. Alle anderen bis hin zum Anbieter von Webservices oder bis zum Netzwerkbetreiber a la FB kann nur mit den Daten hantieren, die DU preisgibst.

Fazit: E-Mail mit PGP. Oder eben Telefon, Fax oder persönlicher Besuch! Jede Datenschutzdiskussion bei FB ist Zeitverschwendung, da sie am falschen Ende ansetzt. Diese “Anleitung” verkündet eine trügerische Sicherheit, die nicht gegeben ist! Das ist ungefähr so wie: Du willst Dir keinen Virus einfangen? Dann geh auf Start » Ausführen » CMD und gib dort “FORMAT C:\” ein! Daher werde ich diesen Unfug auch nicht verbreiten. Sorry!

PS: Wenn ich der Meinung bin, Müller wäre ein Arschloch, und ich erzähle das Lehmann, darf auch Schulze das wissen. Denn Müller selbst weiß es auch – dazu habe ich genug Eier in der Hose. Hinterm Rücken muß ich nichts tuscheln bzw. posten. So; und wenn ich der Meinung bin, den PornoSisters oder der NPD ein “Gefällt mir” zu verpassen, darf das auch ruhig jeder wissen – sonst brauche ich das nicht zu klicken. Meine Swingerclub-Kollegen aus der braunen Kameradschaft wüßten es ja dann PRIVAT ohnehin – wem will ich es also “wichtigtuerisch” mit dem Klick mitteilen, wenn nicht dem ganzen Rest der Welt?

Facebook ist was für Daten-Exhibitionisten – egal, was man einstellt. Jede Website ohne datenschutzkonforme 2-Klicklösung verrät Deine Anwesenheit auf ihr an Facebook, Twitter und Google. Wenn Du dort angemeldet bist, lassen sich dann hervorragend Profile erstellen… DAS ist wichtig. Und wer FB für GEHEIME Botschaften nutzen will, hat den Knall nicht gehört.

“Kopier das in deinen Status” und “Häckchen” (im Original) sagen doch alles. Nicht immer auf jeden Script-Kiddie-Blödsinn reinfallen… Übrigens: Ob sich die beiden kommentierenden Ladys vor mir demnächst wundern, daß sie nichts mehr von Euch hören bzw. lesen?*

Infos zur 2-Klick-Lösung:
Facebook und Konsorten vs. Datenschutz
Ahnungslose Anwälte verbreiten unabsichtlich Unsinn?
3SEPO Datenschutzerklärung

DAS ist das, was wirklch wichtig ist. Zwischenmenschliche Kommunikation über FB hat einen Touch von “Tummeln auf der Deppenspielwiese” und sollte nicht ohne Einnahme von bunten Pillen praktiziert werden.

So weit meine Meinung zum Thema bzw. meine Antwort auf das “Geschreibsel” meines Kontakts. (* 2 Damen kommentierten vor mir sinngemäß mit der Info “Erledigt!”)

Es folgt noch ein etwas allgemein gehaltener Auszug aus unseren künftigen FAQ auf EiTiCo.de, der noch mal zum Nachdenken über die eigenen Handlungen anregen soll:
»… Am besten mal beim eigenen Nutzungsverhalten anfangen. Familienfotos bei Facebook? Überall das gleiche Paßwort? Geburtsdatum als Paßwort? Mails von der Volksbank öffnen, obwohl allein schon 3 Fehler im Betreff sind und man doch sein Konto bei der Sparkasse hat? Und sowieso jede Mail öffnen? PINs und TANs eingeben, weil ein Admin danach fragt? Veraltete Browser nutzen? Keine Updates – also Sicherheitslücken über Sicherheitslücken? 76 Trojaner auf dem Rechner? Als Admin oder Root ins Netz gehen? Und sich dann darüber aufregen, wenn irgendwelche Internetshops zielgerichtete Werbung anbieten, weil dort über Javascript, Cookies und ganz böses Tracking analysiert wird, welche Produkte Sie mal angeklickt haben… Am besten einfach mal in einer ruhigen Minute darüber nachdenken!!! …«

 

2-Klick-Lösung als Beta 2


Unsere eigene sogenannte “2-Klick-Lösung”, die wir auf TRISEPO.COM und hier im Blog implementiert haben, ging vorhin in die nächste Runde und läuft jetzt als Beta 2 (also sozusagen als Gamma-Version *lol*).

Daß wir mit der “handelsüblichen” Variante unzufrieden sind, weiß die geneigte Leserschaft ja schon seit dem Erscheinen dieser beiden Beiträge:
Facebook und Konsorten vs. Datenschutz
Ahnungslose Anwälte verbreiten unabsichtlich Unsinn?

Jedenfalls wurden vorhin 2 Bugs gefixt. Außerdem haben wir jetzt auf unsere speziell angepaßte Version der Datenschutzerklärung verlinkt. Achtung: Das ist keine Rechtsberatung! Wir empfehlen niemandem, diese Version zu verwenden!

Der Code ist zwar noch unaufgeräumt und nicht als prototypische Erweiterung ausgeführt – er ist aber auch noch nicht für die Öffentlichkeit gedacht. Spätestens beim Launch von EiTiCo.de bieten wir ihn aber zum Download an. Und bis dahin wird eben getestet…

Hier übrigens noch zwei Abhandlungen zum selben Thema:
Integration von Buttons für Facebook und Google+1

Ahnungslose Anwälte verbreiten unabsichtlich Unsinn?


Vor einigen Tagen haben wir ja im 3SEPO-Blog eine eigene 2-Klick-Lösung für das Teilen von Inhalten mittels “sozialer” Netzwerke eingebaut und einen Testlauf gestartet. Nachdem in diversen Kanälen mal wieder panisch die Wellen hochschlagen, daß die Datenschützer wieder einmal auf dem Kriegspfad seien, haben wir uns trotz Beta-Stadiums für einen Einbau des Scripts auf http://trisepo.com entschieden und dort eine entsprechende Implementierung vorgenommen. Insofern mußten wir auch bei der Datenschutzerklärung nachziehen. Und dabei ist uns etwas aufgefallen. Es gibt ja bekanntlich etliche Rechtsanwaltskanzleien, die einem hilfreich mit vorgefertigten Datenschutzerklärungen zur Seite stehen, wenn man eine datenschutzkonforme Lösung implementiert – oder auch nicht. Ein wichtig klingender Hinweis auf das Ausloggen bei Facebook – das reicht vielen schon. Jedenfalls wird dieser (in unseren Augen) Unsinn von Hunz und Kunz kopiert – das Netz ist voll davon. Jedenfalls heißt es in einer diesbezüglichen Datenschutzerklärung:

“Sofern Sie während des Besuchs unserer Website den Verweisen folgen und über Ihr persönliches Benutzerkonto bei Facebook eingeloggt sind, wird die Information, daß Sie unsere Website besucht haben, an Facebook weitergeleitet. Den Besuch der Website kann Facebook ihrem Konto zuordnen. Diese Informationen werden an Facebook übermittelt und dort gespeichert. Um dies zu verhindern müssen Sie sich vor dem Klick auf den Verweis aus Ihrem Facebook-Account ausloggen.”

Was ist denn ein “Verweis”? Ein stinknormaler interner/externer Link (z.B. auf das Impressum des Seitenbetreibers oder auch ein Link zu einer anderen Website…) – sicher. Und das ist eigentlich auch gemeint. Aber: Auch wenn der Like-Button wohl kaum im Sinne dieser Formulierung gemeint ist, da man ihm nicht (sinnvoll) folgen kann, wenn man nicht eingeloggt ist – auch er ist ein “Verweis”. Es erscheint dann ein Popup, um sich einzuloggen. Aber egal, ob ich mich nun unsinnigerweise auslogge, um mir ein Login-Fenster anzusehen, in dem ich mich dann nicht einlogge und es wieder schließe – oder ob ich einen normalen Link anklicke: Ein Browser übermittelt Referrer, wenn ich die nicht explizit im Browser ausschalte. Solange ich einen “normalen” Link nach dem Muster <a href=”Netzwerk-URL”>{Text|Bild}</a> (z.B. Impressum) anklicke – kein Problem.  Problematisch wird es, wenn ich durch die Formulierung glaube, ich könnte auch mal testhalber auf den Like-.Button klicken, wenn ich ausgeloggt bin – schließlich kann ja nichts passieren – ich bin ja nicht eingeloggt… Das ist zwar relativ unsinnig – aber es ist auch ein Trugschluß !!! Denn das Popup zum Login wird von Facebook geladen – und da haben wir das Problem! Oder – was etwas realistischer ist – ich nutze auf der Seite irgend einen Link zu Facebook – um mich natürlich erst dann und dort einzuloggen… Nach der o.g. schwammigen Formulierung sollte ich ja wohl – weil ich derzeit nicht eingeloggt bin – noch anonym sein, oder?

Gerade die Damen und Herren Rechtsanwälte, die immer bei allem und jedem so überpingelig sind, sollten es besser wissen und diese Empfehlung genauer formulieren! Denn lt. obiger Passage habe ich, wenn ich ausgeloggt bin, förmlich einen Freibrief, auf ALLES auf der Seite zu klicken… UND DAS IST GANZ GROßER KÄSE !!! Und genaugenommen – wenn auf der Seite keine 2-Klick-Lösung eingebaut wurde (bei der ich erst die Zustimmung zum Nachladen geben muß) – in Verbindung mit den Standardplugins ist diese Formulierung vollkommen sinnfrei, da in den Serverlogs neben der IP, anderen hübschen Sachen wie Protokoll, Zeitstempel, Browser usw. auch zu finden ist, was (z.B. ein Plugin-Script) von welcher Seite (die, von der ich nicht möchte, daß Facebbok weiß, daß ich dort war) angefordert wurde.

Bin ich auf Seite A und nicht (mehr) bei Netzwerk B eingeloggt, klicke aber auf Seite A einen Link, um mir bei B etwas aufzurufen, kann jedes zweitrangige Web-Analysetool bei B auslesen, daß ich von A gekommen bin (es sei denn, ich habe die Übertragung des Referrers ausgeschaltet). Ich komme also mit meiner IP-Adresse und der Info, daß ich von A komme, durchs Netz angewatschelt, um an die Pforten von B zu klopfen.

Und ob nun Meier, Müller, Lehmann oder Schulze 10 min vorher mit dieser IP bei B eingeloggt war, läßt sich ja wohl sogar von einem Praktikanten bei B herausbekommen, wenn in irgendwelchen Log-Dateien oder Datenbanktabellen steht, wer wann mit welcher IP eingeloggt war.

Ok, sitzt Müller nun mit Meier im Netzwerk hinter einem Router, ist es noch geringfügig anders. Aber immerhin könnte B in Erfahrung bringen, daß jemand von Meier-Müller Inc. auf Seite A war.

Also ist unsere bescheidene Meinung, daß Ausloggen gar nichts bringt. Ich benötige mindestens eine neue IP-Adresse, um den Vorgang zu erschweren. Und dann hat man noch nicht die Cookie-Problematik geprüft. Denn egal, mit welcher IP ich bei B angewackelt komme – B kann (wenn ich es nicht im Browser verbiete) Cookies setzen. Und noch schlimmer: B kann Cookies auslesen. Und je nachdem, was darin abgelegt ist, erkennt man mich ja (oder glaubt zumindest, mich zu erkennen) vielleicht trotz meiner neuen IP?

Denn lt. dieser Vorgehensweise ist folgendes denkbar:
- Müller ist bei Netzwerk B eingeloggt und hat IP: 93.157.160.188
- Zeitpunkt, IP und Benutzer werden bei B protokolliert oder/und im Cookie abgelegt
- Müller loggt sich bei B aus
- Müller besucht Seite A
- Seite A nutzt zwar eine “2-Klick-Lösung”, doch Müller klickt bloß auf den “Verweis” (und landet auf der Login-Seite, die nicht per bei A gehostetem Javascript “on the fly” generiert sondern von B geladen wird)
- Referrer A wird dabei übermittelt und wird mit Zeitpunkt und IP 93.157.160.188 gespeichert
- über Zuordnung IP «-» Referrer und  Zuordnung IP «-» Benutzer (über Cookie oder Datenbank, siehe Zeile 2) ist nun Zuordnung Referrer «-» Benutzer möglich

Und wenn dann noch Langzeit-Cookies existieren, kann man sogar noch diesen PC mit mal vorhanden gewesenen anderen Benutzern des Netzwerks B und anderen IPs in Verbindung bringen.

Ok, man ordnet die IP zu – bzw. den PC. Aber selbst, wenn B auf diese Weise so manch falsches Bewegungsprofil erstellt, weil Meier, Müller, Schulze und Lehmann im Internet-Cafe dieselbe IP hatten oder weil Ina, Günther und klein Fritzchen Neumann alle 24 Stunden zwar mit neuer IP aber demselben PC unterwegs sind – wie viele Profile dürften wohl dennoch annähernd stimmen? Und wie viele davon wären der Werbewirtschaft teures Geld wert?

Wer es nicht glaubt: http://srv1.trisepo.com als Seite A und http://srv2.eitico.de als Netzwerk B !!! Einfach mal rumspielen. Bei B einloggen, bei B ausloggen, zu A gehen, irgendeine Unterseite  wählen (vielleicht sogar zwischendurch IP wechseln und Browser schließen) und zurück zu Netzwerk B… Das ein paar mal machen und dann die erfaßten Daten beäugen. Es dürfte ziemlich viel dabei sein, wo UNBEKANNT dieselbe IP hat wie Müller – oder, trotz verschiedener IPs oder nicht eingeloggten Zustands die gleiche Session-Id:

Zeit Herkunft Identität IP-Adresse Session-ID
22:28:58 SRV1.TRISEPO.COM/ SCHULZE 93.214.33.157 cf9c93e0…6ac3d31b32058a
22:28:50 SRV2.EITICO.DE/ SCHULZE 93.214.33.157 cf9c93e0…6ac3d31b32058a
22:28:45 SRV1.TRISEPO.COM/ UNBEKANNT 93.214.33.157 cf9c93e0…6ac3d31b32058a
22:28:10 SRV1.TRISEPO.COM/B.HTML UNBEKANNT 93.214.33.157 cf9c93e0…6ac3d31b32058a
22:27:33 SRV2.EITICO.DE/ UNBEKANNT 93.214.33.244 cf9c93e0…6ac3d31b32058a
22:27:31 SRV1.TRISEPO.COM/A.HTML MEIER 93.214.33.244 045eb2b…ec7884b0573a5f4
22:27:07 SRV1.TRISEPO.COM/D.HTML MEIER 93.214.33.244 045eb2b…ec7884b0573a5f4
22:26:42 SRV2.EITICO.DE/ MEIER 93.214.1.206 045eb2b…ec7884b0573a5f4
22:26:35 SRV1.TRISEPO.COM/ UNBEKANNT 93.214.1.206 045eb2b…ec7884b0573a5f4

(Bitte Nachsicht üben – das ist wirklich nur fix zu Demo-Zwecken zusammengeklatscht worden. Aber es beweist: Ausloggen? Bringt gar nichts, wenn der Progger nicht will und der User unvorsichtig ist…)

Die Gesamt-Problematik ergibt sich eher aus Referrer, IP und Cookie. Übertrage ich Referrer, erlaube ich die Gültigkeit von Cookies bis zu ihrem Ablauf (und nicht nur Session-Cookies), ist es sogar möglich, zwischenzeitlich den Browser zu schließen und die IP zu wechseln.

Ich benötige also jede Menge “Gottvertrauen” – denn der Systemadmin ist in dem Fall der Gott – zusammen mit dem Proggern der 2-Klick-Lösung und der Website B.

Denn es ist so: Ausloggen allein bringt nichts… Ich darf nirgends klicken (wenn ich nicht 100%ig weiß, daß die Zielseite keine Scripte, Plugins, Grafiken Popups usw., die von Netzwerk/Website B bereitgestellt werden, beinhaltet) – denn in dem Moment, wo auch nur ein Login-Fenster oder eine Grafik von B erscheint, weiß B, daß jemand mit meiner IP auf A weilt!

Also wagen wir mal ganz großkotzig zu behaupten, daß diese Formulierung, so, wie sie oben steht, riesengroßer Quatsch sei. Daher haben wir unsere Datenschutzerklärung auf http://trisepo.com auch angepaßt. (Das ist keine Rechtsberatung – lediglich ein Hinweis, wie wir das handhaben.)

PS: Wir sagen nicht, daß Facebook das so macht. Aber Facebook KÖNNTE, wenn man dort nur wollte. Doch wenn die 2-Klick-Lösung zusammen mit solchen “Anleitungen” (i.S.d. in der Datenschutzerklärung genannten Vorgehensweise) verbreitet wird, ist die versprochene Sicherheit der Daten nicht gegeben, da sie von etlichen anderen, auf der User-Seite zu konfigurierenden Faktoren abhängt. Denn es ist definitiv so wie immer: Datenschutz fängt beim User selbst an.

Also am besten nicht klicken, keine Netzwerke nutzen und nicht ins Internet gehen! ;-)