Wegen der NSA sind die Leute erfreulich vorsichtig geworden, was ihre Privatsphäre im Netz betrifft; sie verschlüsseln ihre Mails häufiger, gehen mit Facebook und dergleichen etwas weniger naiv um und wissen um die Gefahren von Google, so fassen’s die Medien derzeit gelegentlich zusammen. Sie – die Leute – installieren dutzendweise „Tracking“- und JavaScript-Bekämpfungsmittel wie NoScript und Ghostery in ihren Browsern, was allgemein eine gute Idee ist (siehe auch hier, hier und hier).
Und es vergeht kaum ein Tag, an dem nicht neue Sicherheitslösungen „gegen Überwachung“ angekündigt werden, sei’s software‑, sei’s hardwareseitig.
Seit gestern etwa wird allenthalben das „Blackphone“, ein mit dem ominösen Android-Fork „PrivatOS“ versehenes „sicheres Smartphone“, angepriesen:
Blackphone will nun mit dem gleichnamigen Smartphone einen Weg aus der Misere bieten. So soll die gesamte Kommunikation – also Telefonate, Chats und sonstige Nachrichten – verschlüsselt ablaufen.
Mit Phil Zimmermann hat man sich schon einen Kryptografieexperten ins Boot geholt, die Herstellerfirma selbst sitzt in der Schweiz. Das klingt nach einem interessanten Produkt, vielleicht ist also ein Blick auf die Website von Blackphone lohnenswert.
Das geht aber nur, wenn man JavaScript aktiviert:
Mein Vertrauen erweckt das nicht. Aber gut, vielleicht ist das nur ein Ausrutscher. Die meinen das mit dem Datenschutz nämlich ernst:
Our business is to make and sell privacy-oriented smartphones. We take this very seriously. (…) The emphasis on privacy and security is what we do best.
Und nicht zu vergessen:
Your privacy is dependent on the proper handling of your personal information. We will never sell this data or give access to unauthorized third parties.
Vollmundige Versprechen also: „Ihre Daten gehören Ihnen allein! Kein Dritter soll sie haben!“
Schauen wir mal in den Quellcode der Website:
Gut, jQuery wird also schon mal nicht von Google eingebunden. Außer, wenn das Laden fehlschlägt, dann nämlich schon:
if (!jqueryLoaded) {
var script = document.createElement('script');
script.type = 'text/javascript';
script.src = '//ajax.googleapis.com/ajax/libs/jquery/1.4.4/jquery.min.js';
head.appendChild(script);
// (...)
}
Das dürfte aber zumindest in den seltensten Fällen der Fall sein. Sonst noch was von Google im Quellcode? Entwarnung: Nö. Dafür aber dieses Bonbon am Fuß der Seite:
<script type="text/javascript">
//<![CDATA[
var DID=223197;
var pcheck=(window.location.protocol == "https:") ? "https://sniff.visistat.com/live.js":"//stats.visistat.com/live.js";
document.writeln('<scr'+'ipt src="'+pcheck+'" type="text\/javascript"><\/scr'+'ipt>');
//]]>
</script>
Dies, meine Damen, Herren und Sonstigen, ist eine so genannte Trackingwanze, ein kleines JavaScript-Skript, das eure Daten an einen Fremdanbieter schickt, um zu gucken, wer ihr seid und was ihr gerade macht. VisiStat ist ein kalifornisches Unternehmen, das ganz besondere Dienste anbietet:
(…) Unternehmen wie Relead, VisiStat und FullContact bieten nach eigenen Angaben die Identifikation von Seitenbesuchern mittels Social Networks und Geodaten an.
Das kann man sich im Hause Blackphone doch nicht entgehen lassen!
Ihre Privatsphäre ist abhängig von der sauberen Verwertung Ihrer privaten Informationen. Wer diese Verwertung übernimmt, ist ja vollkommen unerheblich.
Mein Interesse daran, mich mit dem „Blackphone“ selbst zu beschäftigen, hält sich doch gerade sehr in Grenzen.
LOL! ERSTER! Ich mag Wurst.
Arrrrr!
gut recherchiert!
um den von dir zitierten quellcode mit meinem minidisplay ganz nach rechts scrollen zu können, habe ich zwar … äh… erst … nun .… irgendwas mit dem zitierten NOSCRIPT freischalten müssen…
aber hey was solls, ich will ja auch kein phone von dir kaufen
Ich experimentiere gerade ein wenig. Eigentlich sollte die Codeanzeige momentan ohne JavaScript sogar besser funktionieren als mit ihm…
Danke für den Hinweis, ich konnte das Problem nachvollziehen, aber mit NoScript hat das nur bedingt zu tun. Ohne das JavaScript für die Codeanzeige ist der Code nicht viel mehr als ein simples eingefärbtes <pre> – und das wäre für ein „Minidisplay“ auch zu breit. Tut mir Leid, Browser funktionieren so.
Browser wissen sehr wohl wann sie Scrollbars anzeigen oder Text umbrechen müssen, wenn man sie denn lässt. Also im Artikel was von wenig vertrauenswürdigem JS faseln und es dabei selbst für Pillepalle zu nutzen ist schon ein bisschen absurd.
Ich bin Autor und verkaufe kein „sicheres Smartphone“. Übrigens kann man hier Javascript durchaus abschalten, ohne dass nichts mehr geht.
Deine kleinen versteckten Gimmicks immer …
Räusper.
Danke.
Danke für den Ghostery-Tip. Jetzt kann ich dein Piwik-Snippet viel einfacher blocken.
Dass Piwik ebenso wie mein Kommentarsystem jeden Aufruf anonymisiert, ist dir aber schon bewusst? Dzdz, als wär‘ ich bei Visi-irgendwas.
Na, da ist noch ein kleiner Fehler auf deiner Seite, die zum Thema passt:
src=‚http://1.gravatar.com/avatar/
In diesem Sinne ist gravater.com auch eine möglicher Tracking Server, der Aufruf kommt bei vielen Blogs. Somit wieß gravater.com schon, welche Blogs ich lese.
Das ist tatsächlich ein Sonderfall, der mir bisher entgangen war. Leute, die ein Avatarbild bei Gravatar eingestellt haben, bekommen es auf meinem Server zwischengespeichert, um dieses Tracking zu vermeiden; die automatisch generierten Avatare werden aber nicht gespeichert, weil sie eben, nun, generiert werden.
Du könntest natürlich *.gravatar.com blockieren, Problem gelöst.
Ich habe jetzt mal etwas ausprobiert (und die „generierten Avatare“ abgeschaltet). Mal gucken, ob es funktioniert. Der Cache lädt noch.
Ja, Gravatare sind zwar nett zum ansehen, aber unter dem strich eigentlich überflüssig. und es gibt ein problem mit tracking. deshalb habe ich gravatare vor einiger zeit komplett aus meinem blog eliminiert.
Das Trackingproblem kann man mit Caching ja eigentlich umgehen.
Nein.
Zumindest nicht ohne eine ganz grosse Keule.
– gesetzt den Fall, ich habe einen Gravatar, so landet mindestens (m)ein erster Aufruf einer Seite bei denen im Log.
– - das könnte man ansatzweise lösen, indem man die Gravatare von einem (anderen) externen Server holt, der die in den Cache „schiebt“. Der „externe“ Server kann im Optimalfall auch eine Subdomain sein.
Dann weiss Gravatar.com zwar nicht welche Seite ich aufrufe, hat aber immer noch die Verbindung von $externer-server. Soviel zu Optimalfall.
– gesetzt den Fall, ich habe keinen Gravatar, dann muss sinnvollerweise das Script bei jedem Besuch einer Seite schauen, ob ich „mittlerweile“ einen habe. Also ist in dem Falle das Caching fürn Arsch.
Fakt ist: dieses Gravatar-system (bei mir im Filter) ist im Grunde keine dumme Sache, aber man wird es aufs Verrecken nicht hinbekommen, das datenschutzkonform zurechtzustricken.
Disclaimer: Alles recht theoretisch, musst jetzt nicht drüben kucken kommen, ob mein System genauso scheisse is oder noch schlimmer.
Deine Seite guck‘ ich eh‘ bevorzugt per RSS an, das tut nicht so in den Augen weh. Na ja, stimmt, dass ein einmaliger Cachevorgang nötig ist, steht außer Frage, aber ob es ein Avatarbildchen für deine Mailadresse gibt, kann mein Server ja auch herausfinden, ohne dich dafür auf Gravatar.com vorbeizuschicken.
Dass das Cachesystem den Nachteil hat, dass es wp_cron nutzt und daher gelegentlich „veraltete“ Bildchen zurücksendet; ja nun, es könnte schlimmer sein.
welchen Teil von meinem Kommentar hast Du genau nicht verstanden? (hervorhebung von mir)
halt do h dein scheiss maul
Wenn „aber“ nichts mit meinem Kommentar zu tun hat, dann ist ja alles in Ordnung.
Nun, nichts, was mich irritiert, ist in Ordnung.
Und, äh, was? Wann tritt das denn auf?
Die Fehlermeldung bekomme ich auf „Zitat einfügen“ sowohl in Seamonkey als auch in FF.
Hast Recht. Ich mach‘ die Funktion erst mal weg, bis ich weiß, was da kaputt ist.
Dafür hab‘ ich jetzt den Antworten-Link endlich gefixt.
Ihr macht euch einen Kopf wo keiner zu machen ist.
Es ist ganz simple aber das tut so weh das es keiner sehen mag.
GSM ist die Wanze und damit JEDES angeschlossene Gerät. Es ist unmöglich GSM und die Nachfolger zu benutzen ohne gläsern zu werden. Schaut euch an wie die Zeitschlitz Verfahren funktionieren und freut euch über eine Auflösung im 3D Raum von wenigen cm. Man kann euch beim Treppensteigen zusehen.
Ihr regt euch über sichtbare tracker auf? Wenn jemand das Seekabel anzapft und genau das tun die pöhsen purschen dann ist auch jeder tracker harmlos dagegen.
Wenn die pöhsen purschen den gesammten traffic sehen SSL aushebeln können weil viele der implementirungen auf schlechte zufallszahlen setzen dann muss man sich keinnen Kopp über nen tracking dienst in bumstown idaho machen. Ihr seid schon wieder gläsern. Lasst euch nicht durch die vielen Blendgranaten bleden welche euch auf detail Probleme verweisen. Das Hauptproblem ist das die phösen purschen unbegrenzte Mittel haben und ihr nicht.
Die sicherste Verbindung zu öffentlichen Netzen ist ein 10cm breiter Luftspalt. Die beste Firewall ist ein Seitenschneider der auch benutzt wird. Wer drahtlos komuniziert hat den Knall nicht gehört und ist eben selbst schuld.
Think again
LOL! Was für ein selten bescheuerter Beitrag. Sie sind, mit Verlaub, ein Arschloch. Hätte man nicht warten können?! Ein Leser mehr! Jehova! Jehova! m( m( Full ACK! WTF FAIL! OMG
Was soll verkauft werden?
Webseite oder Handy?
Wer die Frage beantworten kann, ist einen großen Schritt weiter.
Wenn ich eines nicht leiden kann, wenn man vom warmen Sofa aus Leuten ans Bein pinkelt, die was bewegen wollen.
Wenn ich eines nicht leiden kann, sind das Leute, die meine Daten an die USA verticken und mir dann auf ihrer Website was von „Ihre Daten sind bei uns sicher“ vorlügen.
Gut gemeint ist nicht gut gemacht!
Das Blckphone ist snakeoil und Du fällst darauf rein…
Wohl eher ein paar km.
Ah, ja! Das heißt, du benutzt ein Wählscheibentelefon, weil das festverdrahtet ist und deshalb per Definition (aber nur deiner) abhörsicher? Und Computer sind sowieso nur Teufelszeug?
Jehova! Jehova! (Sorry, war zu verlockend ;))
Nein weder noch. IHR redet darüber wie man unsichere Systeme benutzen kann und sich dabei sicher fühlt. Was ich wie mache steht gar nicht zur Debatte und wie Du merkst nehme ich an dem Dialog teil was wohl bedeutet das ich den Seitenschneider noch nicht benutzt habe. Kein Kommunikationssystem das Dir von Dritten angeboten wird darfst Du als sicher betrachten und dabei ist es vollkommen Wurst welchen Aufwand Du treibst. Du hast keine Kontrolle über die verwendete Infrastruktur also gibst Du jegliche Sicherheit auf. Es kommt also auf Dich an wie Du damit umgehst und wie Du Dich dabei fühlst. Aber sicher wird es durch Deine Gefühle nicht. Seitdem Telekomunikationssysteme angeboten werden, werden sie auch zur Überwachung benutzt das war schon immer so und es wird immer so bleiben.
Wenn Du Dein eigenes, geschlossenes kabelgebundenes Netz benutzt ist das per definition sicher. Benutzt Du aber Funk ist alles wieder beim alten und Sicherheit wird nur gefühlt. Das meinte ich mit kabelloser Kommunikation. Wenn es heisst es wird Dein Telefon abgehört. Dann bestimmt nicht wirklich Dein physisches Telefon sondern Du wirst in der Vermittlungstelle abgehört. Ist billiger und ich muss nicht in Deine ach so sichere und schützenswerte Wohnung eindringen.
Es bringt nichts sich gefühlte Sicherheit vor zu machen und dabei die Augen zu verschliessen vor der Wirklichkeit. Wie schon in meinem ersten Satz geschrieben es ist so simpel aber es tut eben auch so weh…
Hä?
Wie meinen?
Keks?
Good job!
Solche Informationen müssten eigentlich irgendwo auf einer zentralen Seite gesammelt werden, damit der gemeine nicht-technische Pöbel sich über sowas informieren kann.
Du darfst obigen Text gern unter cc-by-nc-sa irgendwo hinkopieren.