Hallo Leute, Am 03.04.2015 17:44, schrieb Martin Steigerwald: > Am Freitag, 3. April 2015, 16:57:46 schrieb Christian Knoke: > >> ein einziger Aufruf von m.wetteronline.de lässt iceweasel 12 http >> verbindungen aufbauen, 2 davon sind verschlüsselt. 10 laufen zu der >> Domain 1e100.net, 1 zu facebook und 1 zu akamai (der bekanntermassen >> von iceweasel selbst angesteuert wird. >> >> die Domain 1e100.net gehört Google >> >> Interessant nun, wenn ich die wetteronline verlasse und zurück zur >> Startseite gehe, bleiben die Verbindungen zu Google größtenteils >> VERBUNDEN, auch noch nach langem warten. Insgesamt werden während des >> Seitenaufrufs 80.000 Byte _gesendet_. >> Ich bin immer wieder erstaunt, wie naiv Internet-Nutzer sein können. Ich hab auch nicht viel Ahnung bezüglich IT-Sicherheit, aber einfachste Maßnahmen kenne und nutze ich seit vielen Jahren. Hauptproblem ist: Es gibt nichts kostenlos! Ist eine Seite (wie der Wetterdienst, den ich auch manchmal nutze) angeblich kostenlos, ist er mit Werbung überflutet, die ihn finanzieren soll. Weil diese aber immer nerviger wird und zudem dreist die Besucher über Webseiten hinweg getrackt werden, halte ich es für legitim, sich dagegen zu wehren. Die von Christian geschilderte Tatsache, das Daten an Google auch noch übertragen werden, nachdem man die Webseite verlassen hat (die nicht von Google stammt), sagt doch alles aus: Google und andere Firmen sammeln massenhaft Daten. Wir wissen nicht, was alles übertragen wird, wir wissen nicht, was damit angestellt wird, wir wissen nicht, wer NOCH diese Daten nutzt (Stichwort Geheimdienste). Sicher dürfte nur sein, das die Daten zur Monetarisierung dienen. Deshalb kann nicht von "kostenlos" die Rede sein. > Dagegen hilft das Request Policy Plugin. Gibts im Paket xul-ext- > requestpolicy. > Das will ich mir auch mal anschauen. Ich persönlich nutze NoScript, das blockiert praktisch alle Skripte, auf denen die Tracking-Funktionen basieren (nehme ich an, ehrlich gesagt). > Seitdem bin ich ziemlich erstaunt, dass viele Seiten Anfragen auf Google- > Server stellen. Für Zeichensätze, für CSS, für Skripte. Oft funktioniert > die Seite auch ohne, aber nicht immer. Und bei Zahldiensten ist halt > aufzupassen, aber da geht es bei mir so gut wie immer, wenn ich die > Verbindung nachträglich akzeptiere und den Browser damit die Seite neu > laden lasse. > > Mit dem Plugin sah ich dann auch, wohin Seiten sonst noch so telefonieren > wollen. > NoScript öffnet einem auch die Augen. Die Nutzung nervt etwas, weil man auf mancher Webseite eine Weile probieren muss, bis sie benutzbar ist. Es ist irrsinnig, wie viele Webseiten NoScript auflistet, die Zugriff haben wollen! Oft kann man nicht nachvollziehen, was die alles veranstalten und warum eine Webseite funktioniert, wenn man den entsprechenden Zugriff zulässt. > Selbst das aus dem Debian-Paket installierte Wordpress mit dem Standard- > Thema lädt CSS / Schriftarten von Google. Das habe ich ihm mit dem Disable > Google Fonts Plugin abgewöhnt, und gleich auch einen Bugreport bei Debian > eingereicht. Bevor ich das Plugin installiert habe, hab ich das nichtmal > mitbekommen und damit die Privatsphäre der Nutzer meiner Wordpress- > Installation gefährdet. > Das ist schon ziemlich böse, finde ich. Die Nutzung von CSS und Schriftarten von Anbietern wie Google macht es Betreibern von Webseiten wahrscheinlich einfacher. Die sagen sich "Die große Bude gibt es bestimmt noch lange. Ich muss mir keine Gedanken darüber machen, das meine Webseite auf allen Geräten/Browsern gleich aussieht...". Das damit aber eine Menge Metadaten anfallen, die man super verwerten kann, scheint denen nicht bewusst oder halt egal zu sein. Ich will das jedenfalls nicht haben, zumindest nicht ohne explizite Erlaubnis. > Was Google mit den Daten macht? Wer weiß. Aber dadurch laufen halt extrem > viele Informationen bei Google ein. Ich glaub nicht, dass Google > Schriftarten, CSS und Skripten aus rein altruistischen Motiven > bereitstellt. > > Ich finde ja, entweder die Skripte oder Schriftarten und das CSS sind frei, > dann haue ich das lokal auf meinen Server. Denn warum sollte ich die > Darstellung meiner Seite davon abhängig machen, ob andere Server verfügbar > sind? Oder sie sind nicht frei und dann interessieren sie mich nicht. > > Also wenn das Web 2.0 ist, dann möchte ich wieder Web 1.0 haben :) > Siehe oben, es geht um die Monetarisierung unserer Daten. Firmen wie Google verdienen eine goldene Nase damit, das sie Profile erstellen und verkaufen oder selbst verwerten (für Werbung schaltende Firmen). Fatal daran ist, das nebenbei alle möglichen Geheimdienste diese Daten abgreifen und für sich speichern und auswerten. Ich persönlich kann nur empfehlen, Tools wie NoScript zu verwenden. Man muss sich darüber im Klaren sein, das IT-Sicherheit und Komfort für den User nur bedingt zu vereinbaren sind. Viele Webseiten oder irgendwelche Dienste sind nur dann komfortabel nutzbar, wenn man halt viel über sich preisgibt. Für mehr Sicherheit muss man manchmal auch verzichten können :-) Bezüglich dieser Thematik würde ich mir wünschen, das Debian bei der Installation der gängigen Webbrowser auch entsprechende Hinweise anzeigt, das würde die User für die Thematik meines Erachtens sensibilisieren. -- Mit freundlichem Gruß Jan Kappler
Attachment:
signature.asc
Description: OpenPGP digital signature