Diese Schnüffelversuche via Xing sind schon reichlich dämlich

Was für eine “grandiose” Idee: man bindet in die eigene Homepage einen unsichtbaren 1×1 Pixel kleinen iFrame mit seinem eigenen Xing-Profil ein und erfährt auf dem Weg zumindest zum Teil, wer sich so auf der eigenen Seite rumtreibt. Irgendwann in den letzten Wochen war das mal Thema in einem Weblog. Ich weiss nicht mehr wo es stand, aber beim Surfen mit der Kombination Safari 4 Beta + Glimse + Inquisitor + Google Gears (ich habe nicht komplett durchgetestet, welche Plugins/Einstellungen genau dafür verantwortlich sind) ist mir zumindest ein Fall sehr deutlich aufgefallen: in diesem Fall leitet mein Safari nämlich einfach zum Xing-Profil weiter…

Und irgendwie doch leicht daneben, dass ich darüber ausgerechnet bei einem Blogbeitrag gegen die Pläne von Zensursula stolpere, der in einem Blog liegt, in dem sich auch Beiträge zum Thema Datenschutz findet… naja, vielleicht mal erst selber das Schnüffeln einstellen, bevor man sich darüber beschwert, dass der Staat schnüffeln will. Ach ja, wer meint, diese Schnüffelei bei sich einbauen zu müssen, der sollte vorher mal die eigene Datenschutzerklärung lesen, da findet sich nämlich sehr oft eine Standardformulierung in der Art von:

Sofern innerhalb des Internetangebotes die Möglichkeit zur Eingabe persönlicher oder geschäftlicher Daten (Emailadressen, Namen, Anschriften) besteht, so erfolgt die Preisgabe dieser Daten seitens des Nutzers auf ausdrücklich freiwilliger Basis. Die Inanspruchnahme und Bezahlung aller angebotenen Dienste ist – soweit technisch möglich und zumutbar – auch ohne Angabe solcher Daten bzw. unter Angabe anonymisierter Daten oder eines Pseudonyms gestattet.

Freiwillig? Naja, diese iFrame-Methode halte ich jetzt nicht wirklich für freiwillig. Und nein, ich werde erstmal keine Adressen nennen, wer weiss, ob diese iFrames morgen dort noch verwendet werden…

13 Comments

dobschat

Nicht frech, sondern peinlich – von anderen Datenschutz einfordern, aber selber schnüffeln wollen und der eigenen Datenschutzerklärung widersprechen ist definitiv nur peinlich. Und so etwas hilft sicher ungemein, der Forderung nach Datenschutz bei Staat und Firmen Nachdruck zu verleihen… wie nennt man so was gleich? “Bärendienst” war wohl der richtige Begriff…

Florian Fiegel

Das gleiche Problem sehe ich innerhalb solcher Diskussionen auch. Die meisten Schreihälse sind nicht mal so konsequent ihre eigenen Handlungen und Handlungsweisen zu überdenken. Warum sollte das im Netz auch anders sein als irgendwo im Leben? Im Endeffekt bilden sich im Netz ja auch einfach nur die gleichen Muster ab. Davon ab, dass viele der Schreihälse sich in einem Medium wie dem Netz eben besser vernetzen und in den Äther schreien können.

Aber da denken sie dann auch besser nicht drüber nach. Könnte ja weh tun … 😉

dobschat

So schnell kann es gehen: der Autor des Weblogs, in dem ich zuerst darüber gestolpert bin hat schon geantwortet – es war als Test gedacht, um sich die Methode selbst mal anzuschauen, am praktischen Beispiel. Ich sehe jetzt mal keinen Grund daran zu zweifeln und ich gehe davon aus, dass der iFrame verschwindet. Aber wenn es halt nur der eine wäre… vielleicht wollten einfach doch sehr viele die Methode selbst testen – oder es sind halt doch einige auch der Versuchung erlegen, auf dem Weg zu erfahren, welche Kollegen das eigene Weblog lesen oder so…

Rüdiger Pretzlaff

Yep, so war das halt. Habe es Dir ja gerade schon geschrieben. War selbst erschrocken als ich Deinen Artikel gelesen habe und schnell noch einmal bei mir kontrolliert habe und der iFrame noch wegen wp-supercache auf einzelnen Seiten drin war.

Ist keine Absicht gewesen. Hatte den Beitrag auch gelesen, den Du erwähnst. Wo es genau gepostet wurde finde ich aber auch nicht mehr.

Nun gut. War ein paar Minuten Test, der dann auch noch direkt wegen einem blöden Fehler auffällt. #fail Sollte nicht so sein. Wollte nur selbst testen ob es klappt und drüber schreiben, da ich selbst von diese Methode nicht so begeistert bin.

Florian Fiegel

Gibt aber auch leider genügend Leute die es eben nicht nur zum Testen nutzen. Sondern ganz direkt zum Ausschnüffeln. Das es wirklich Einige getestet haben, will ich Dir mal nichts Böses unterstellen Rüdiger.

Bzgl. Frame-Breaker: Ich habe mir die Lösung jetzt nicht genau angesehen und es auch nicht ausprobiert. Vielleicht hast Du beim Testen aber auch genau den Moment der Abschaltung erwischt. 😉

Trotzdem halte ich nicht viel von dieser Geschichte. Gerade weil viele dann doch plötzlich mal der Versuchung erliegen. Alleine das halte ich schon für kritisch. Ich kenne Leute die darüber ernsthaft nachgesinnt haben ob man das weiterhin nutzen will und welche Vorteile man daraus ziehen könnte.

Hm, nicht unbedingt sauber. Aber wo ist das Problem?
Wenn ich eine Seite aufrife muss ich ja nicht zulassen, dass auch ein iframe geladen wird. Es gibt bei xing auch einen “abmelden” Button.

Jeder ist selbst verantwortlich. Wenn ich auf einer Veranstaltung ein Namensschild trage und dieses später nicht abmache kann natürlich jeder meinen Namen lesen.

Grüße

Rüdiger Pretzlaff

@ich
Bei mir kam heute leider noch ein nerviger Russe dazwischen, der per UDP Port 0 Flooden wollte. Sonst hätte ich dazu noch mehr bei mir geschrieben.

Das ganze hat auch noch in mehreren Punkten üble Nebeneffekte.

Zum Beispiel hat irgend jemand ein Bild aus einem meiner Blogpostings in seinem Forenprofil eingebunden. Was er schreibt und wer alles seine Postings in dem Blog liest, das sehe ich ja schon im Logfile.

Jetzt war es aber in der Zeit in der das iFrame in der Seite war natürlich auch so, dass die eingebette Grafik in seinem Profil, auf einer total fremden Seite auch diese fremden Inhalte mit getracked hat. Ich konnte sehen, wer alles dort am lesen ist. Sogar von dem jenigen, der es eingebunden hab hätte ich seine Identität sehr wahrscheinlich gehabt, wenn er auf sein Profil gegangen wäre. Da hätte man sogar noch provozieren können, wenn man ihm eine PM im Forum schicken würde, dann muss er ja sein Profil mit dem Bild, was er selbst eingefügt hat aufrufen. Schon wüsste ich wer er ist.

Andere Sachen ist, ich binde den iFrame ein und verlinke wie oben erwähnt ein Bild aus meiner Seite/Blog in einem Forenprofil ein. Ab disem Zeitpunkt sehe ich wer da genau liest und postet. Vorraussetzung ist natürlich ein eingeloggter Xing Account.

Viel schlimmere Sache ist Frau von der Leyens Gesetzesvorschlag. Ich mach es wie oben mit einem Bild von einem gelisteten KiPo Server und alle die lesen werden nach den wünschen des aktuellen Gesetzes erst einmal verdächtigt und bei vielen Zugriffen mit konsequenzen.

@ich
So jetzt verstanden, wieso solche iFrames und andere Sachen so sche** und gefährlich sind?

> Andere Sachen ist, ich binde den iFrame ein und verlinke wie oben
> erwähnt ein Bild aus meiner Seite/Blog in einem Forenprofil ein. Ab
> disem Zeitpunkt sehe ich wer da genau liest und postet. Vorraussetzung > ist natürlich ein eingeloggter Xing Account.

Du bindest das Bild ein und damit wird auch der iframe abgerufen und geloggt?? Wie soll das denn gehen?
Du erhältst in Deinen Logfileds die IP derer die das Bild abrufen, ok (oder auch nicht). Mehr erhältst Du aber nicht – es sei denn Du bindest in dem Forum Dein iframe ein.

Rüdiger Pretzlaff

Benutzt Du WordPress? Selbst wp-stats zeigt Dir mit den richtigen RewriteRules selbst direkt aufgerufenen Bilder an. 😉

Mein eigenes Tracking* Zeigt mir bei Top Pages Heute: /wp/wp-content/uploads/2008/11/08_3d_tattoo.jpg

Was ich ausliefert und was der Client nachehr noch anzeigt sind ja unterschiedliche Sachen 😉 Ist das selbe wie Daten über den Besucher, wie Client, Auflösung auslesen, wenn er ein Bild aufruft ist möglich. Was vor dem generieren und vor der Auslieferung eines Bildes noch gemacht wird bekommt ein Besucher ja gar nicht mit. Da passt auch noch ein Keks rein.

*eigenes Tracking deshalb weil ich 1. die Daten bei mir haben will und nicht bei anderen Anbietern. So weiss ich was mit den Daten passiert. 2. werden sie nur dazu genommen, damit ich sehe was die Leute interessant finden und Content in Blogposts anpasse.