Forum

Florian

  • Verderbliche Ware!
Manche Webseiten können alle Eingaben lesen…
November 22, 2017, 18:20:21
Durch eine neue „Technik“ können manche Webseiten alle Eingaben lesen… auch die, die man nicht abgeschickt hat. Und die gesammelten Daten werden dann auch noch geteilt zu Werbe- oder sonstigen Zwecken; oft auch noch unverschlüsselt.

Beispiel wäre - wenn so etwas bei uns installiert wäre, was niemals geschehen wird! - ein Beitrag, den man eintippt, aber am Ende dann lieber doch nicht abschickt (peinlich, fehlerhaft, irrelevant?).
Oft sind es auch irrtümliche Accountdaten inkl. Passwörter, die der User gerade noch bemerkt. Beispiel jemand setzt hier im Forum sein Amazon-Passwort ein, merkt es aber, löscht es - schon zu spät.

Manche Seiten erlauben sogar generös, die gesammelten Daten mit den Personendaten zu verknüpfen. -
https://www.heise.de/newsticker/meldung/Session-Replay-Viele-beliebte-Webseiten-zeichnen-jegliche-Texteingabe-auf-3896475.html
https://freedom-to-tinker.com/2017/11/15/no-boundaries-exfiltration-of-personal-data-by-session-replay-scripts/
Die bekannten Schuldigen sind mitunter auch uns hierzulande recht bekannt, z.B. Adobe, Wordpress.com oder Microsoft.


Ein Grund mehr, stets aktualisierte Filterung durchzuführen. Es ist und bleibt Notwehr! Lasst Euch das nicht ausreden von den Seitenbetreibern. Solange inakzeptable Skripts laufen, stehen sie selbst auf der bösen Seite.

Easy List hat schon aktualisiert, womit zahlreiche Werbefilter versorgt sind.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Manche Webseiten können alle Eingaben lesen…
Antwort #1: November 22, 2017, 20:55:25
Ich finde es ja schon sehr dreist, dass irgendeine, mir unbekannte Webseite meine Einstellungen überschreiben darf. Z. B. meinen Befehl "Link in neuem Tab öffnen" kann jede Webseite einfach ungefragt umändern in "öffnen". Wer baut solche Browser? Antwort: Alle bauen solche Browser, auch Apple oder Firefox. :-X

Dass Texteingaben, vor einer Autorisierung per Return Taste, technisch überhaupt ins WWW abfließen können, finde ich oberdreist!

Wo ist der von CCC und EF zertifizierte Datenschutzbrowser? Den müsste es eigentlich mindestens als Fork des Open Source Browsers Firefox geben. Wo ist er??
« Letzte Änderung: November 22, 2017, 20:59:34 von radneuerfinder »

Florian

  • Verderbliche Ware!
Re: Manche Webseiten können alle Eingaben lesen…
Antwort #2: November 23, 2017, 00:29:08
Bin mir zwar nicht 100% sicher, aber so etwa liegt wohl an Javascript - und das kann man ja deaktivieren.
Nur funktionieren dann viele Seiten nicht mehr.

Von Chromium gibt es eine google-bereinigte Version mit offensichtlich flexiblem Javascript:
https://www.srware.net/software_srware_iron.php
(Furchtbare Webseite…)

Andere basteln mit NoScript für Firefox herum. Finde ich schon extrem aufwendig.

Ebenso meine alte Liebe Privoxy. Mit diesem lokalen Proxy kann man an sich alles machen/wegfiltern/zulassen. Aber da man ja nicht nur immer die gleichen fünf Seiten ansurft, ufert das auch schnell aus. Streaming oder ähnliches geht mit solchen Dingen sowieso nicht, wenn man nicht wieder Löcher bohrt.

Ich sag's ja schon länger: Das Internet macht keinen Spaß mehr. Bräuchte ich es nicht tagtäglich, wäre ich schon offline. Ja, ich gehe noch weiter: Die ganze Technik nervt oft mehr als sie nützt und das ständige Schützen seiner Daten ist es ein Aufwand, den man eigentlich niemanden zumuten kann.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Manche Webseiten können alle Eingaben lesen…
Antwort #3: November 24, 2017, 09:12:32
Ich finde es ja schon sehr dreist, dass irgendeine, mir unbekannte Webseite meine Einstellungen überschreiben darf. Z. B. meinen Befehl "Link in neuem Tab öffnen" kann jede Webseite einfach ungefragt umändern in "öffnen". Wer baut solche Browser? Antwort: Alle bauen solche Browser, auch Apple oder Firefox. :-X

Jein. Diese Einstellung von Dir wird nicht geändert oder überschrieben. Ich kenne auch solche Websites und das nervt mich auch jedes Mal. Allerdings bezieht sich die Einstellung auf ein "anderes" Ereignis. In den beschriebenen Fällen wird durch einen Klick auf einen Link eben nicht einfach die URL aufgerufen, sondern eben stattdessen ein JavaScript ausgeführt. Daher greift die Einstellung dort nicht.
Das Problem könnte man evtl. sogar beheben. Der Browser müsste nur auch für Änderungen des href-Attributes in der URL die Einstellungen beachten und daraus den Aufruf eine open-Methode machen. Tja, d.h. der Browser müsste das JavaSkript bei Bedarf umschreiben. Müsste gehen, könnte dann aber auch zu Problemen an anderen Stellen führen.

Zitat
Dass Texteingaben, vor einer Autorisierung per Return Taste, technisch überhaupt ins WWW abfließen können, finde ich oberdreist!

Tja, das liegt an JavaScript. Diese Möglichkeit ist nicht neu! Das kann man bestimmt schon deutlich länger als 10 Jahre.
Per JavaScript kann man Tastatureingaben auswerten. Denk nur mal daran, dass z.B. angezeigt wird, wie gut ein Kennwort ist, während man es eintippt. Oder Spiele in JavaScript. Oder alle möglichen Web-Apps.
Per JavaScript kann man Daten übers Netzwerk abrufen und verschicken. Denk an alle Seiten, die Inhalte nachladen (AJAX). Also Seiten, die auf Benutzerinteraktion reagieren und nicht jedes Mal die ganze Seite neu laden.

Ich denke, dass ist nicht technisch lösbar ohne JavaScript komplett abzuschalten oder so zu beschränken, dass es nicht mehr nützlich ist.
Daher bleibt wohl nur der weg, JavaSkript komplett abzuschalten und nur für einzelne Websites und einzelne Skripte einzuschalten. Da das aber aufwändig ist, wird das nicht gemacht.

Zitat
Wo ist der von CCC und EF zertifizierte Datenschutzbrowser?


s.o. Das ginge nur mit komplett deaktiviertem JavaSkript. Und das bedeutet, dass viele Websites gar nicht mehr funktionieren. Ja, ist bei vielen schlecht programmiert von den Websites her, bei einzelnen Beispielen auch nicht anders möglich.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Verderbliche Ware!
Re: Manche Webseiten können alle Eingaben lesen…
Antwort #4: November 24, 2017, 15:20:03
Ja, ich habe mich etwas ins Thema eingelesen und auch festgestellt, dass das schon immer geht.
Neu scheint nur zu sein, dass das immer mehr Webseiten benutzen und v.a. mittels eingebundener Skripts von Drittparteien.

Wie auch immer, ich glaube an Javascript-Kontrolle geht kein Weg vorbei - an Javascript an sich leider auch nicht - und ich werde mich noch einmal mit NoScript + Firefox anzufreunden versuchen.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Manche Webseiten können alle Eingaben lesen…
Antwort #5: November 24, 2017, 16:42:47
Tja, schützen kann man sich nur durch Deaktivieren von JavaScript. Damit fällt man dann in die Funktionalität von vor der Jahrtausendwende zurück, was auch keiner will. Zudem funktionieren viele Webseiten nur mit JavaScript. Manuell auswählen, welche Sites welche Skripte benutzen dürfen ist sehr sehr schwer und das macht daher nahezu niemand. Und Websites ohne JavaScript zugänglich zu machen, machen die Betreiber nicht, weil praktisch keiner ohne JavaScript kommt bzw. die es überhaupt nicht mit bekommen. Da beißt sich die Katze in den Schwanz.
Außerdem wird JavaScript auch durchaus für sinnvolle Sachen benutzt.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Manche Webseiten können alle Eingaben lesen…
Antwort #6: November 25, 2017, 13:30:45
Wenn das alles technisch schon so teuflisch endbenutzerunfreundlich sein muss, dann müsste es wenigstens eine unabhängige VerbraucherInstitution grben, die JavaScript Filter für datenkriminelle bereithält.

Dass ich als Mausschubser schlauer bin als die 3000 Vollzeit Chromium Programmierer und mit
basteln
was ausrichten könnte, gegen weltweit alle bösen Seiten, halte ich für abwegig.

Wer kümmert sich professionell um Datenschutz? Wo ist dieser Browser?
« Letzte Änderung: November 25, 2017, 13:36:04 von radneuerfinder »

Florian

  • Verderbliche Ware!
Re: Manche Webseiten können alle Eingaben lesen…
Antwort #7: November 25, 2017, 14:59:04
Wie Macflieger schon schrieb: das Hauptproblem ist Javascript.

Das einzig benutzerfreundliche sind Filter wie Ghostery usw., die wenigstens die bekannten Tracking-Skripts aussieben. Es ist eben ein ständigen Wettrüsten.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Manche Webseiten können alle Eingaben lesen…
Antwort #8: November 25, 2017, 15:13:28
Wenn das alles technisch schon so teuflisch endbenutzerunfreundlich sein muss, dann müsste es wenigstens eine unabhängige VerbraucherInstitution grben, die JavaScript Filter für datenkriminelle bereithält.

Schalte doch mal JavaScript ab und schaue, was da alles nicht mehr läuft.
Klar gibt es viele Seiten, die JavaScript auch überflüssigerweise einsetzen und es auf andere Wege machen könnten. Die haben nur keine Lust oder Ahnung, es anders zu machen.
Aber man sollte auch nicht unterschätzen, dass es für viele sinnvolle(!) Dinge keine Alternative gibt.

Zitat
Dass ich als Mausschubser schlauer bin als die 3000 Vollzeit Chromium Programmierer und mit
basteln
was ausrichten könnte, gegen weltweit alle bösen Seiten, halte ich für abwegig.

Das halte ich nicht nur für "Mausschubser" für abwegig. Das halte ich bei praktisch jedem für abwegig. Ich habe keine Zeit (mal abgesehen vom Können) erst auf jeder Site ständig alle Skripte zu analysieren.

Zitat
Wer kümmert sich professionell um Datenschutz? Wo ist dieser Browser?

siehe Florian. Es gibt Erweiterungen, die bekannte(!) Trackingskripte blockieren. Ist aber ein Katze-undMaus-Spiel und keine prinzipielle Lösung.
Wenn dann versucht wird, so etwas fest in den Browser zu integrieren oder von einer deutschen Firma/Behörde machen zu lassen, dann sind ganz schnell die Klagen dagegen im Raum, siehe erst letztens die Klagen gegen AdBlocker.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Manche Webseiten können alle Eingaben lesen…
Antwort #9: November 25, 2017, 19:35:37
Aber man sollte auch nicht unterschätzen, dass es für viele sinnvolle(!) Dinge keine Alternative gibt.

Wenn dadurch so weitgfhende Überwachung eingerichtet wir, dann ist der Nutzen unterm Strich nicht sinnvoll. Punkt. Vielmehr gehört das verboten und staatsanwaltschaftlich verfolgt. Und alle Browserhersteller wegen Beihilfe dazu.

Ich glaube ich käme mit einem html Internet gut, wenn nicht besser, zurecht.
Re: Manche Webseiten können alle Eingaben lesen…
Antwort #10: November 25, 2017, 19:43:15
Wenn dadurch so weitgfhende Überwachung eingerichtet wir, dann ist der Nutzen unterm Strich nicht sinnvoll. Punkt.

Dann schalte doch JavaScript ab.
Evtl. schreiben wir auch aneinander vorbei. Dir ist klar, wofür das alles verwendet wird?

Zitat
Vielmehr gehört das verboten und staatsanwaltschaftlich verfolgt.

Da stimme ich Dir 100% zu. Da muss eine Lösung her.

Zitat
Und alle Browserhersteller wegen Beihilfe dazu.

Das sehe ich nicht so. Das ist wie mit Messern, meiner Meinung nach.

Zitat
Ich glaube ich käme mit einem html Internet gut, wenn nicht besser, zurecht.

Wie geschrieben, dann schalte JavaScript ab.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Manche Webseiten können alle Eingaben lesen…
Antwort #11: November 25, 2017, 23:05:17
Da missverstehen wir uns. Mir ist klar, dass ohne JS mein Internet kaputt ist. Ich möchte die Funktionalität durch eine andere sicherere Technik ersetzt wissen. Wobei ich getrost suf einiges verzichten könnte. Mich nerven einige Funktionen von Webseiten. Auf das was nicht ersetzbar ist, würde ich dann aber auch gerne kollektiv verzichten.
Re: Manche Webseiten können alle Eingaben lesen…
Antwort #12: November 26, 2017, 07:00:53
Da missverstehen wir uns.

OK, das vermutete ich. :)

Zitat
Ich möchte die Funktionalität durch eine andere sicherere Technik ersetzt wissen.

Ja, fände ich auch gut. Aber meiner Meinung nach kann es das nicht geben. Motto: Wasch mich, aber mach mich nicht nass.

Zitat
Mich nerven einige Funktionen von Webseiten.

Ja, da stimme ich zu. Das ist immer dann der Fall, wenn die Möglichkeiten "gegen" den Benutzer ausgenutzt werden.
Ich sehe hier von der technischen Seite grundsätzlich aber nur die Möglichkeit, ganz darauf zu verzichten. Denk mal daran, dass selbst die Möglichkeit Bilder auf einer Seite darzustellen (völlig ohne JavaScript) bereits für das Tracking von Benutzern genutzt wird.
Daher sehe ich als einzige Möglichkeit neben den Filtern ein Handeln von gesetzlicher Seite.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Manche Webseiten können alle Eingaben lesen…
Antwort #13: November 26, 2017, 13:20:35
Zitat
Ich möchte die Funktionalität durch eine andere sicherere Technik ersetzt wissen.

Ja, fände ich auch gut. Aber meiner Meinung nach kann es das nicht geben. Motto: Wasch mich, aber mach mich nicht nass.

Ich verstehe Dich so: es ist technisch unmöglich eine Maschine zu bauen, die Texteingaben erst dann weiter übermittelt, wenn sie vom Nutzer per Return Taste autorisiert werden.
Re: Manche Webseiten können alle Eingaben lesen…
Antwort #14: November 26, 2017, 14:02:37
Ich verstehe Dich so: es ist technisch unmöglich eine Maschine zu bauen, die Texteingaben erst dann weiter übermittelt, wenn sie vom Nutzer per Return Taste autorisiert werden.

Jein.
Natürlich könnte man JavaScript derart beschneiden, aber dann würde JavaScript auch nichts mehr können und somit überflüssig sein. D.h. das käme einem Abschalten gleich.
Skripte dürften nicht mehr
- auf Tastaturereignisse reagieren können
- selber Daten/Informationen aus dem Netzwerk abrufen können
- und am allerwichtigsten: auf die dargestellte Website (DOM) zugreifen können (lesend oder schreibend), was der eigentliche Zweck von JavaScript ist. Selbst wenn die ersten beiden Punkte nicht mehr möglich wären, fallen mir auf Anhieb noch ein paar andere Wege ein, wie ich nur durch Zugriff auf die Website Deine Tastatureingaben bekomme und die weg transportiere.

Sorry, entweder man möchte, dass man mit einer Programmiersprache auf das DOM zugreifen kann, oder nicht.
Blödes Beispiel, aber das ist wie mit einem Messer: Man kann dieses nicht so produzieren, dass es nicht mehr für Böses eingesetzt werden kann, und gleichzeitig kann es noch für das normale benutzt werden.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller