Das Datenschutz-Blog

Gerade wird via Twitter darauf hingewiesen, dass Google mit TOR Probleme machen und Zugriffe blocken soll. Hinweis dazu: Das Phänomen ist schon älter und es wird gemutmaßt, dass Google wohl bei manchen Exit-Nodes abhängig diese Meldung anzeigt.

Meine Anmerkung: Diese Seite sieht man bei Google schon bei realtiv wenigen zugriffen. Bei mir reichen um die 200 Zugriffe in wenigen Minuten um die Seite zu erzeugen. Wenn nun TOR aktiv genutzt wird gerade entsprechend viele Anfragen via den gleichen Exit-Node bei Google ankommen, sind 200 Anfragen in wenigen Minuten schnell erreicht. Mich wundert das daher nicht und ich muss nicht überlegen, ob Google TOR blockt.

Kurzer Hinweis: Wer unter Windows seine Thunderbird (und Firefox) installation sichern möchte, ist mit MozBackup gut bedient.

Es wird die Frage aufgeworfen, ob das Akismet-Plugin rechtswidrig ist – ich tendiere zu einem “ja”, mit folgenden Stellungnahmen:

1. Wenn das Akismet-Plugin die IP-Adresse der Kommentar-Verfasser an Dritte übermittelt, hängt es an der Frage, ob die IP ein personenbezogenes Datum ist. Auch wenn ich das bejahe: Es ist umstritten. Man kann also in diesem Punkt davor warnen, es ist aber bestenfalls eine Grauzone. Insgesamt ist dies analog zur bei mir geführten Google-Analytics-Diskussion zu sehen.
2. Sofern, wie angegeben, der angegebene Nutzername übermittelt wird, muss man den User darauf hinweisen, damit er einen geeigneten Nutzernamen auswählt und ggfs. nicht den Klarnamen nutzt.
3. Kritisch sehe ich, dass wohl die Mail-Adresse übermittelt wird: Die ist nämlich bei vielen Formularen Pflicht und nicht nur ein personenbezogenes Datum, sondern den Usern auch heilig. Hier muss ein Hinweis und eine vorherige Einwilligung erhoben werden.

Die Akismet-Datenbank kann ich problemlos als “Auskunftei” einstufen und auch wenn Akismet einen anderen Charme hat: Wer will kann es als Spam-Schufa betrachten. Und wie würden wir wohl mit SHops umgehen, die ohne Hinweis und Einwilligung Daten an die Schufa übermitteln?

Man sollte das Thema mal in Ruhe angehen. Ich habe diesmal bewusst den Schwerpunkt bei Username und Mailadresse gelegt (und nich bei der IP). Während die IP-Frage bis heute umstritten ist, ist das mit Username und Mailadresse schon problematischer als z.B. Google Analytics.

Auch wenn die Fragen nicht gefallen, sollte man Angriffe denen gegenüber, die sie stellen, unterlassen. Deswegen ist aber nicht gleich Bloggen rechtlich bedenklich, sondern Akismet muss prüfen, ob man nicht einfach Server in der EU einsetzt (bisher USA), weil die USA datenschutzrechtlich ein Drittstaat iSd BDSG sind, was das Thema nochmal etwas heikler macht. Dazu auch diesen Blog-Eintrag beachten.

Wer (so wie ich) einen USB-Stick nutzt und nur darauf seine privaten Daten ablegt, der sollte ganz dringend ein Backup davon ziehen. Sofern man nicht ohnehin alles in einem Truecrypt-Container hat (also nur eine Datei sichern muss), kann das Backup ganz nervig sein: Wenn z.B. mehrere tausend Dateien auf dem Stick liegen und man die einfach kopiert, geht da einiges an Zeit ins Land. Sinnvoller ist es dann, ein echtes Image anzulegen, also einfach die Sektoren schrittweise auszulesen, das geht schneller.

Bei der Suche nach brauchbarer Software hierzu habe ich was vernünftiges gefunden, auf das ich hier hinweisen möchte. Kostenlos und sehr schnell – absolut überzeugend.

Der Vollständigkeit halber verlinke ich hier noch ein Tool von Microsoft, das sehr mächtig ist und mehr Funktionen bietet – aber leider bei mir ständig abstürzt.

Hinweis: Erzeugte Images bitte mit Truecrypt sichern!

Ich bin über ein sehr gutes Statistik-Tool für WordPress gestolpert, das man relativ schnell datenschutzkonform gestalten kann. Der name ist Wassup und der Vorteil ist, dass das Tool eben nicht den primitiven Weg des Einbinden von Javascripten geht, sondern “selber” von den externen Quellen die Daten abruft, so wie von mir schon länger als Alternative zu den bisherigen Verfahren beworben.

Das Tool bietet zum Beispiel ein Geo-IP-Tagging mittels Google-Datenbank – wenn man sich die Datei ansieht, sieht man, dass das Tool meinen empfohlenen Weg geht:

1. Zuerst die IP des Users ermitteln (hier setze ich dann gleich an)
2. Das Skript übermittelt die IP selbstständig an Google
3. Das Ergebnis wird ausgelesen und lokal gespeichert

Natürlich: Hier wandert wieder eine IP. Aber: Dadurch dass man die selbst mitteilt (also nicht der Client automatisch via JS) kann ich die IP vor der Übermittlung verändern. Durch den Zugriff des Skriptes wird auch nur die IP meins Servers mitgeliefert und nicht die Client-IP. Das Ergebnis ist insofern sauber, das Problem ist, dass ich (nach meiner eigenen rechtlichen Auffassung) momentan nicht zwischen einer Fake-IP und einer “echten IP” unterscheiden dürfte.

Das heisst, wenn ich eine vollständige IP übermittle, die aber nicht die des aktuellen Users ist, handelt es sich dennoch (bei meiner aktuellenr echtlichen Auffassung) um ein personenbezogenes Datum, das nicht übermittelt werden darf. Hier arbeite ich noch an meiner Dogmatik bzw. einem technischen Ausweg und weise nur darauf hin, dass ich mir des Problems bewusst bin. Da es nur wenige gibt, die das personenbezogene Datrum so eng auslegen wie ich, ist das aber eher ein persönliches Problem.

Für die meisten Nutzer ist Wassup ein sehr gutes Tool, das man selbst schnell anpassen kann und ein kleiner Lichtblick beim Thema IP-Adressen und Webmaster ist. Nicht zuletzt auch, weil es zeigt, dass es problemlos möglich ist, ohne direkte Übermittlung von echten Daten an Dritte zu arbeiten. Ich biete hier übrigens (noch) kein angepasstes Paket an, weil ich bisher nur sehr langsam durch den Code komme und noch nicht alles geprüft habe. Bis dahin wollte ich zwar schon den Hinweis geben, es aber nur indierekt bewerben.

Ein kleiner Tipp am Rande: In nächster Zeit wird das Thema “Firewall” zunehmend thematisiert werden. Vor allem die “Hardware-Firewall” wird nach meiner Einschätzung schon bald stärker bemerkt werden.

Ich weise in diesem Rahmen schon jetzt auf “Yoggie” hin, die eine Fülle von Hardware-Lösungen (auch für Privatanwender) bereit halten, die jedenfalls intererssant wirken. Die Übersicht ist hier zu finden. Speziell die USB/PCExpress Lösung dürfte für kleine Büros und Privatanwender von Interesse sein, zumal man sich im Regelfall via SSH einloggen und das System anpassen kann.

Andererseits, so viel Realismus muss sein, wird kaum ein Standardanwender sich via SSH einloggen können, geschweige denn auf einer Konsole IPTables/IPChain konfigurieren können. Insofern sind “normale” Anwender auch in Zukunft vom Anbieter bzw. externem Service abhängig – was unvermeidbar ist.

Es wird gewarnt, dass durch eine Sicherheitslücke im backend von WordPress auf eine nicht-echte Version 2.6.4 hingewiesen wird. Alle Infos dazu hier.

Und wenn ich schonmal dabei bin: Wer den VLC-Player einsetzt, sollte sich die aktuelle Version ziehen. Da gab es auch ein Update wegen Sicherheitsproblemen.

Ich hatte wohl doch Recht: Google Chrome ist nicht Chromium. In einem aktuellen Blog-Eintrag der Entwickler wird dargelegt, wann der Browser “nach Hause telefoniert”. Die Liste ist lobenswert ehrlich und ich möchte sie nicht kritisieren – Transparenz war ja, was ich angemehnt hatte.

Interessant ist aber dann, dass es u.a. folgenden Abschnitt gibt:

Communications between Google Chrome (but not Chromium) and service providers

Sinn macht der nur, wenn Chrome und Chromium nicht das gleiche sind. Und eben nicht nur im Sinne des üblichen Unterschieds zwischen Sourcecode und Binary.

Bei Heise findet sich ein gut geschriebener Artikel, der die aktuellen Auswüchse zum Cross-Site-Scripting (XSS) beschreibt. Den Artikel findet man hier, speziell die Javascript-Würmer werden nochmals erklärt.

Hinweis: PHP-Programmierer finden hier meinen PHP-Security Guide, der die wesentlichen Infos rund um das Thema “sicheres PHP-Programmieren” gibt.

Auch wenn es Heise schreibt geschrieben hat ist es falsch:

Firefox sendet wie Chrome Daten an Google [...] safebrowsing bedeutet, dass Google bei jeder URL anhand einer Liste prüft, ob es sich um eine sogenannte böse Webseite handelt.

Update: Heise hat den Fehler erkannt und prompt den (schon fast peinlichen) Artikel um 80% gekürzt. Jetzt steht dort stattdessen eine Richtigstellung. Inzwischen gibt es auch eine ausdrückliche Entschuldigung für den Unsinn – mal sehen ob die Chrome-Fan-Blogs dem Vorbild folgen und die “FireFox ist genauso-”Hysterie endlich ein Ende hat.

Richtig ist: Der Firefox hat “Safebrosing” installiert. Dabei wird eine lokale Datenbank bereit gehalten, in der “böse” URL stehen. Wenn die eingebene Domain (als Hash-Wert) in der Datenbank steht, wird der Hash-Wert nochmal bei Google gegengeprüft.

Das ist ein klein wenig anders als Chrome, wo jedes eingegebene Zeichen in der Adresszeile bei Google landet (nochmal der Link wie das genau aussieht). Man mag darüber streiten, ob es jetzt schön ist, dass es dieses Verfahren gibt und dass es von Anfang an aktiviert ist – allerdings ist es schon sehr lange bekannt und es gab bisher nie einen Aufschrei deswegen. Dieses mehrstufige Verfahren dann noch mit “Chrome” gleichzusetzen grenzt an Dummheit.

Links dazu:

1. Phishing Schutz im FireFox
2. Infos zu Google Safebrosing, man beachte den Abschnitt hier daraus: “The list does not include the full URL of each suspicious site. Instead, each URL is hashed (obscured so it can’t be read) and then broken into portions. Only a portion of each hashed URL is included on the list on your browser.“
3. Zum Spreeblick…

Ich lese das ind er Art nicht erst bei Spreeblick, sondern auch auf vielen anderen Seiten und war lange konfus, bis mich DAU endlich jemand aufgeklärt hat:

So schreibt Robert Basic über die Tatsache, dass Chrome in der Default-Einstellung die Eingaben in der Adressleiste, die bei Chrome gleichzeitig zur Sucheingabe dient, an die eingestellte Suchmaschine sendet [...] Basic lässt dabei leider unerwähnt, dass der Konjunktiv fehl am Platz ist, da andere Browser schon lange das genau gleiche System nutzen.

Das hat mich richtig verunsichert: Denn wenn ich in meinen Fuchs etwas in die Adresszeile tippe, kommen keine Vorschläge. Ich vestand also den Vergleich nie. Erst jetzt wurde ich belehrt, dass der Fuchs das zwar nicht in der Adresszeile macht, aber dafür im Suchfenster. Bei Google ist das nun mal beides in einem Eingabefenster zusammengefasst – und deswegen nicht nur OK, sondern gleich ein Feature. Auf mich wirkt das bestenfalls wie Satire, die massenhafte Euphorie über dieses Feature zeigt aber, dass ich da wohl Einzelgänger bin.

So leid es mir tut: Das mit dem Vergleich ist Blödsinn. Ein Auto-Suggest in einem Such-Eingabefeld mag sinnvoll sein. In der Adresszeile aber ist es das nicht. Was da nämlich bei der Eingabe von Adressen abgeht, wurde hier schön im Detail dargestellt. Und: Sowas macht der FireFox eben nicht. Der IE auch nicht. Und zu vergleichen ist das, was da abläuft, mit einem Auto-Suggest in Such-Eingabeformularen ebenfalls nicht, schon alleine wegen der unterschiedlichen Daten die man jeweils eingibt.

Und ja, man kann es beim Chrome abschalten. Da aber bekannt sein sollte, dass ich der Meinung bin, dass Daten erst nach Zustimmung weitergegeben werden sollten (und nicht solange bis man widerspricht), ist dem klar denkenden hoffentlich deutlich, warum das bei mir kein Argument ist bzw. sein kann.

Google hat seinen schon lange vermuteten Browser “Chrome” veröffentlicht – und die Resonanz ist enorm. Irgendwo zwischen Euphorie der Fans und “war doch klar” der Kritiker lassen sich die Postings einordnen. Hier ein paar Hinweise dazu.

Dazu auch: Google Chrome ist (k)ein Open-Source-Projekt

Beitrag weiterlesen »

Es ist mir ein Rätsel wieso und ich habe nicht die Zeit lange danach zu suchen: Von jetzt auf gleich überlegte sich mein FireFox langsam zu werden. Das laden geht noch flott, aber sobald man eine Seite aufruft, belegt der FF 100% CPU-Last. Das laden selbst einfachster Seiten wie Jurablogs.com kostet mich 6-9 Sekunden zwischen Eingabe und dem fertigen darstellen der Seite. Und das bei jeder Webseite die ich aufrufe und nach jeder getätigten Eingabe. Eine erste Google-Suche ergab, dass ich nicht der einzige mit diesem Effekt bin, Hilfe scheint es nicht zu geben.

Nur so viel: Es ist egal, ob AddOns installiert sind oder nicht. Ebenfalls habe ich den FF auch schon vollständig entfernt, von Hand alles verbliebene (auch ind er Registrierung) gelöscht und danach neu installiert. Geändert hatte ich auch nichts, es war einfach so da.

Da ich momentan das Internet zum arbeiten brauche und keine Zeit für lange Spielchen habe, habe ich mir kurzerhand den Safari-Browser gezogen – und bin überrascht: Der ist selbst verglichen mit einem FireFox ohne Addons unvorstellbar schnell. Einziges (und für mich doch grosses Manko) sind die fehlenden PlugIns, allem voran “NoScript”. Dennoch empfehle ich, in den (kostenlosen) Browser mal reinzusehen, auch wenn ich angesichts der letzten Entwicklungen bei Apple etwas kritisch bin, welche versteckten Funktionen da evt. enthalten sind.

Microsoft hat verschiedene Updates für die Windows- und Office-Familie frei gegeben, die als “Kritisch” oder “Wichtig” eingestuft werden. Insgesamt geht es um über 10 Updates, die man mittel Microsoft-Update einspielen sollte – Informationen dazu auf der Microsoft Seite.

Vor kurzem ist das FireFox Addon FEBE in der Version 6 erschienen und damit endlich für den FIreFox 3 verfügbar. Mit dem Addon kann man seine FireFox-Konfiguration komfortabel sichern und auch dafür sorgen, dass verschiedene FireFox-Installationen auf unterschiedlichen Rechnern gleich konfiguriert sind. Ein sichern von Lesezeichen und vorhandenen AddOns ist Bestandteil des Programms, ich empfehle einen Blick.