Apfelinsel
Netzwerk, Internet, Provider => Thema gestartet von: Florian am November 22, 2017, 18:20:21
-
Durch eine neue „Technik“ können manche Webseiten alle Eingaben lesen… auch die, die man nicht abgeschickt hat. Und die gesammelten Daten werden dann auch noch geteilt zu Werbe- oder sonstigen Zwecken; oft auch noch unverschlüsselt.
Beispiel wäre - wenn so etwas bei uns installiert wäre, was niemals geschehen wird! - ein Beitrag, den man eintippt, aber am Ende dann lieber doch nicht abschickt (peinlich, fehlerhaft, irrelevant?).
Oft sind es auch irrtümliche Accountdaten inkl. Passwörter, die der User gerade noch bemerkt. Beispiel jemand setzt hier im Forum sein Amazon-Passwort ein, merkt es aber, löscht es - schon zu spät.
Manche Seiten erlauben sogar generös, die gesammelten Daten mit den Personendaten zu verknüpfen. -
https://www.heise.de/newsticker/meldung/Session-Replay-Viele-beliebte-Webseiten-zeichnen-jegliche-Texteingabe-auf-3896475.html
https://freedom-to-tinker.com/2017/11/15/no-boundaries-exfiltration-of-personal-data-by-session-replay-scripts/
Die bekannten Schuldigen sind mitunter auch uns hierzulande recht bekannt, z.B. Adobe, Wordpress.com oder Microsoft.
Ein Grund mehr, stets aktualisierte Filterung durchzuführen. Es ist und bleibt Notwehr! Lasst Euch das nicht ausreden von den Seitenbetreibern. Solange inakzeptable Skripts laufen, stehen sie selbst auf der bösen Seite.
Easy List hat schon aktualisiert, womit zahlreiche Werbefilter versorgt sind.
-
Ich finde es ja schon sehr dreist, dass irgendeine, mir unbekannte Webseite meine Einstellungen überschreiben darf. Z. B. meinen Befehl "Link in neuem Tab öffnen" kann jede Webseite einfach ungefragt umändern in "öffnen". Wer baut solche Browser? Antwort: Alle bauen solche Browser, auch Apple oder Firefox. :-X
Dass Texteingaben, vor einer Autorisierung per Return Taste, technisch überhaupt ins WWW abfließen können, finde ich oberdreist!
Wo ist der von CCC und EF zertifizierte Datenschutzbrowser? Den müsste es eigentlich mindestens als Fork des Open Source Browsers (http://www.sueddeutsche.de/digital/mozilla-der-neue-firefox-koennte-das-freie-web-retten-1.3752126) Firefox geben. Wo ist er??
-
Bin mir zwar nicht 100% sicher, aber so etwa liegt wohl an Javascript - und das kann man ja deaktivieren.
Nur funktionieren dann viele Seiten nicht mehr.
Von Chromium gibt es eine google-bereinigte Version mit offensichtlich flexiblem Javascript:
https://www.srware.net/software_srware_iron.php
(Furchtbare Webseite…)
Andere basteln mit NoScript für Firefox herum. Finde ich schon extrem aufwendig.
Ebenso meine alte Liebe Privoxy. Mit diesem lokalen Proxy kann man an sich alles machen/wegfiltern/zulassen. Aber da man ja nicht nur immer die gleichen fünf Seiten ansurft, ufert das auch schnell aus. Streaming oder ähnliches geht mit solchen Dingen sowieso nicht, wenn man nicht wieder Löcher bohrt.
Ich sag's ja schon länger: Das Internet macht keinen Spaß mehr. Bräuchte ich es nicht tagtäglich, wäre ich schon offline. Ja, ich gehe noch weiter: Die ganze Technik nervt oft mehr als sie nützt und das ständige Schützen seiner Daten ist es ein Aufwand, den man eigentlich niemanden zumuten kann.
-
Ich finde es ja schon sehr dreist, dass irgendeine, mir unbekannte Webseite meine Einstellungen überschreiben darf. Z. B. meinen Befehl "Link in neuem Tab öffnen" kann jede Webseite einfach ungefragt umändern in "öffnen". Wer baut solche Browser? Antwort: Alle bauen solche Browser, auch Apple oder Firefox. :-X
Jein. Diese Einstellung von Dir wird nicht geändert oder überschrieben. Ich kenne auch solche Websites und das nervt mich auch jedes Mal. Allerdings bezieht sich die Einstellung auf ein "anderes" Ereignis. In den beschriebenen Fällen wird durch einen Klick auf einen Link eben nicht einfach die URL aufgerufen, sondern eben stattdessen ein JavaScript ausgeführt. Daher greift die Einstellung dort nicht.
Das Problem könnte man evtl. sogar beheben. Der Browser müsste nur auch für Änderungen des href-Attributes in der URL die Einstellungen beachten und daraus den Aufruf eine open-Methode machen. Tja, d.h. der Browser müsste das JavaSkript bei Bedarf umschreiben. Müsste gehen, könnte dann aber auch zu Problemen an anderen Stellen führen.
Dass Texteingaben, vor einer Autorisierung per Return Taste, technisch überhaupt ins WWW abfließen können, finde ich oberdreist!
Tja, das liegt an JavaScript. Diese Möglichkeit ist nicht neu! Das kann man bestimmt schon deutlich länger als 10 Jahre.
Per JavaScript kann man Tastatureingaben auswerten. Denk nur mal daran, dass z.B. angezeigt wird, wie gut ein Kennwort ist, während man es eintippt. Oder Spiele in JavaScript. Oder alle möglichen Web-Apps.
Per JavaScript kann man Daten übers Netzwerk abrufen und verschicken. Denk an alle Seiten, die Inhalte nachladen (AJAX). Also Seiten, die auf Benutzerinteraktion reagieren und nicht jedes Mal die ganze Seite neu laden.
Ich denke, dass ist nicht technisch lösbar ohne JavaScript komplett abzuschalten oder so zu beschränken, dass es nicht mehr nützlich ist.
Daher bleibt wohl nur der weg, JavaSkript komplett abzuschalten und nur für einzelne Websites und einzelne Skripte einzuschalten. Da das aber aufwändig ist, wird das nicht gemacht.
Wo ist der von CCC und EF zertifizierte Datenschutzbrowser?
s.o. Das ginge nur mit komplett deaktiviertem JavaSkript. Und das bedeutet, dass viele Websites gar nicht mehr funktionieren. Ja, ist bei vielen schlecht programmiert von den Websites her, bei einzelnen Beispielen auch nicht anders möglich.
-
Ja, ich habe mich etwas ins Thema eingelesen und auch festgestellt, dass das schon immer geht.
Neu scheint nur zu sein, dass das immer mehr Webseiten benutzen und v.a. mittels eingebundener Skripts von Drittparteien.
Wie auch immer, ich glaube an Javascript-Kontrolle geht kein Weg vorbei - an Javascript an sich leider auch nicht - und ich werde mich noch einmal mit NoScript + Firefox anzufreunden versuchen.
-
Tja, schützen kann man sich nur durch Deaktivieren von JavaScript. Damit fällt man dann in die Funktionalität von vor der Jahrtausendwende zurück, was auch keiner will. Zudem funktionieren viele Webseiten nur mit JavaScript. Manuell auswählen, welche Sites welche Skripte benutzen dürfen ist sehr sehr schwer und das macht daher nahezu niemand. Und Websites ohne JavaScript zugänglich zu machen, machen die Betreiber nicht, weil praktisch keiner ohne JavaScript kommt bzw. die es überhaupt nicht mit bekommen. Da beißt sich die Katze in den Schwanz.
Außerdem wird JavaScript auch durchaus für sinnvolle Sachen benutzt.
-
Wenn das alles technisch schon so teuflisch endbenutzerunfreundlich sein muss, dann müsste es wenigstens eine unabhängige VerbraucherInstitution grben, die JavaScript Filter für datenkriminelle bereithält.
Dass ich als Mausschubser schlauer bin als die 3000 Vollzeit Chromium Programmierer und mit
basteln
was ausrichten könnte, gegen weltweit alle bösen Seiten, halte ich für abwegig.
Wer kümmert sich professionell um Datenschutz? Wo ist dieser Browser?
-
Wie Macflieger schon schrieb: das Hauptproblem ist Javascript.
Das einzig benutzerfreundliche sind Filter wie Ghostery usw., die wenigstens die bekannten Tracking-Skripts aussieben. Es ist eben ein ständigen Wettrüsten.
-
Wenn das alles technisch schon so teuflisch endbenutzerunfreundlich sein muss, dann müsste es wenigstens eine unabhängige VerbraucherInstitution grben, die JavaScript Filter für datenkriminelle bereithält.
Schalte doch mal JavaScript ab und schaue, was da alles nicht mehr läuft.
Klar gibt es viele Seiten, die JavaScript auch überflüssigerweise einsetzen und es auf andere Wege machen könnten. Die haben nur keine Lust oder Ahnung, es anders zu machen.
Aber man sollte auch nicht unterschätzen, dass es für viele sinnvolle(!) Dinge keine Alternative gibt.
Dass ich als Mausschubser schlauer bin als die 3000 Vollzeit Chromium Programmierer und mit
basteln
was ausrichten könnte, gegen weltweit alle bösen Seiten, halte ich für abwegig.
Das halte ich nicht nur für "Mausschubser" für abwegig. Das halte ich bei praktisch jedem für abwegig. Ich habe keine Zeit (mal abgesehen vom Können) erst auf jeder Site ständig alle Skripte zu analysieren.
Wer kümmert sich professionell um Datenschutz? Wo ist dieser Browser?
siehe Florian. Es gibt Erweiterungen, die bekannte(!) Trackingskripte blockieren. Ist aber ein Katze-undMaus-Spiel und keine prinzipielle Lösung.
Wenn dann versucht wird, so etwas fest in den Browser zu integrieren oder von einer deutschen Firma/Behörde machen zu lassen, dann sind ganz schnell die Klagen dagegen im Raum, siehe erst letztens die Klagen gegen AdBlocker.
-
Aber man sollte auch nicht unterschätzen, dass es für viele sinnvolle(!) Dinge keine Alternative gibt.
Wenn dadurch so weitgfhende Überwachung eingerichtet wir, dann ist der Nutzen unterm Strich nicht sinnvoll. Punkt. Vielmehr gehört das verboten und staatsanwaltschaftlich verfolgt. Und alle Browserhersteller wegen Beihilfe dazu.
Ich glaube ich käme mit einem html Internet gut, wenn nicht besser, zurecht.
-
Wenn dadurch so weitgfhende Überwachung eingerichtet wir, dann ist der Nutzen unterm Strich nicht sinnvoll. Punkt.
Dann schalte doch JavaScript ab.
Evtl. schreiben wir auch aneinander vorbei. Dir ist klar, wofür das alles verwendet wird?
Vielmehr gehört das verboten und staatsanwaltschaftlich verfolgt.
Da stimme ich Dir 100% zu. Da muss eine Lösung her.
Und alle Browserhersteller wegen Beihilfe dazu.
Das sehe ich nicht so. Das ist wie mit Messern, meiner Meinung nach.
Ich glaube ich käme mit einem html Internet gut, wenn nicht besser, zurecht.
Wie geschrieben, dann schalte JavaScript ab.
-
Da missverstehen wir uns. Mir ist klar, dass ohne JS mein Internet kaputt ist. Ich möchte die Funktionalität durch eine andere sicherere Technik ersetzt wissen. Wobei ich getrost suf einiges verzichten könnte. Mich nerven einige Funktionen von Webseiten. Auf das was nicht ersetzbar ist, würde ich dann aber auch gerne kollektiv verzichten.
-
Da missverstehen wir uns.
OK, das vermutete ich. :)
Ich möchte die Funktionalität durch eine andere sicherere Technik ersetzt wissen.
Ja, fände ich auch gut. Aber meiner Meinung nach kann es das nicht geben. Motto: Wasch mich, aber mach mich nicht nass.
Mich nerven einige Funktionen von Webseiten.
Ja, da stimme ich zu. Das ist immer dann der Fall, wenn die Möglichkeiten "gegen" den Benutzer ausgenutzt werden.
Ich sehe hier von der technischen Seite grundsätzlich aber nur die Möglichkeit, ganz darauf zu verzichten. Denk mal daran, dass selbst die Möglichkeit Bilder auf einer Seite darzustellen (völlig ohne JavaScript) bereits für das Tracking von Benutzern genutzt wird.
Daher sehe ich als einzige Möglichkeit neben den Filtern ein Handeln von gesetzlicher Seite.
-
Ich möchte die Funktionalität durch eine andere sicherere Technik ersetzt wissen.
Ja, fände ich auch gut. Aber meiner Meinung nach kann es das nicht geben. Motto: Wasch mich, aber mach mich nicht nass.
Ich verstehe Dich so: es ist technisch unmöglich eine Maschine zu bauen, die Texteingaben erst dann weiter übermittelt, wenn sie vom Nutzer per Return Taste autorisiert werden.
-
Ich verstehe Dich so: es ist technisch unmöglich eine Maschine zu bauen, die Texteingaben erst dann weiter übermittelt, wenn sie vom Nutzer per Return Taste autorisiert werden.
Jein.
Natürlich könnte man JavaScript derart beschneiden, aber dann würde JavaScript auch nichts mehr können und somit überflüssig sein. D.h. das käme einem Abschalten gleich.
Skripte dürften nicht mehr
- auf Tastaturereignisse reagieren können
- selber Daten/Informationen aus dem Netzwerk abrufen können
- und am allerwichtigsten: auf die dargestellte Website (DOM) zugreifen können (lesend oder schreibend), was der eigentliche Zweck von JavaScript ist. Selbst wenn die ersten beiden Punkte nicht mehr möglich wären, fallen mir auf Anhieb noch ein paar andere Wege ein, wie ich nur durch Zugriff auf die Website Deine Tastatureingaben bekomme und die weg transportiere.
Sorry, entweder man möchte, dass man mit einer Programmiersprache auf das DOM zugreifen kann, oder nicht.
Blödes Beispiel, aber das ist wie mit einem Messer: Man kann dieses nicht so produzieren, dass es nicht mehr für Böses eingesetzt werden kann, und gleichzeitig kann es noch für das normale benutzt werden.
-
Leider hat sich der Mobiltrend nicht in schlankeren Websites niedergeschlagen.
Mir persönlich reichte auch ein Web ohne Javascript. Nur verweigern halt viele Seiten sich dann komplett, was eigentlich unnötig ist. Und hier liegt doch der Hund begraben.
Natürlich ist auch nicht Javascript an sich das eigentliche Problem, sondern die problematischen bis bösartigen Skripts, die Seitenbetreiber freiwillig oder zumindest „nur“ kommerziell genötigt einbinden. Und da sind wir uns ja einig, dass dies verboten gehört.
Jetzt das nächste Problem: Filtert man, verweigern sich auch immer mehr Seiten. Man soll also gezwungen werden, die Problemskripts auszuführen. Ich klicke da natürlich weg - ein Leser weniger. Aber die Unverschämtheit vieler Website-Betreiber und Firmen ist echt kaum zu glauben.
Macflieger:
Das Beispiel Messer ist gar nicht so schlecht, denn viele Messerarten (Butterfly, zweischneidig, Springmesser…) sind ja verboten.
Das könnte man auch mit Tracking- und anderen Skripts so machen, nur ist das natürlich sehr viel schwerer umzusetzen. Mal davon abgesehen, dass es die Politik eh nicht versteht oder gar sich, mancherorts, selbst solcher Methoden bedient.
-
Nur verweigern halt viele Seiten sich dann komplett, was eigentlich unnötig ist.
Ja, das ist die dritte Variante, der unnötige Einsatz von JavaScript, der jeden, der mal ein Leben ohne JavaScript probiert, schnell wieder zum Einschalten bringt.
Ich habe das auch manchmal abgeschaltet und dann bleiben einige Seite komplett weiß. Absolut gar nichts zu sehen. Das ist natürlich Quatsch und völliger Missbrauch von JavaScript. Oft aus Unkenntnis, aber auch aus Ignoranz ("Wer hat schon JavaScript aus?"...)
Das könnte man auch mit Tracking- und anderen Skripts so machen, nur ist das natürlich sehr viel schwerer umzusetzen. Mal davon abgesehen, dass es die Politik eh nicht versteht oder gar sich, mancherorts, selbst solcher Methoden bedient.
Da stimme ich zu. Dazu kommt noch, dass die Lobbygruppen dafür arbeiten, dass solche Sachen erlaubt sind. siehe Klage gegen Adblocker.
-
auf die dargestellte Website (DOM) zugreifen können (lesend oder schreibend), was der eigentliche Zweck von JavaScript ist
Welche nützlichen Funktionen entfallen denn, wenn js den "DOM" nicht mehr manipulieren darf?
-
Naja, ist halt praktisch alles, was man an einer Website dynamisch machen kann (nur ganz wenige Sachen gehen eingeschränkt mit CSS alleine). Fängt damit an, das Formulare vor dem Abschicken oder schon beim Eingeben validiert werden bzw. der Benutzer Hinweise zur Eingabe bekommt (z.B. Anzeige der Kennwortstärke). Dann alles was irgendwie aufgrund von Nutzereingaben (Mausbewegung-/klick etc.) reagieren soll. In diesem Forum z.B. der Spickzettel neben dem Antwortenformular oder der Button "Zitat einfügen". Ebenso alle Buttons (Fett, etc. Smilies) über dem Antworten-Formular. Dann natürlich die Webfrontends von verschiedenen Geräten, die sich fast wie ein Desktop bedienen lassen (z.B. Synology). Sämtliche Diashows und Videos in Webseiten (dafür bräuchten wir dann wieder sowas wie Flash), diese typischen Lightbox-Effekte (ein Bild einer Galerie anklicken, diese kann man groß anschauen und dann durch Klicken durch die Bilder durchwechseln). Vorschaubilder in Webshops, Reaktion einer Seite auf das Verändern von Formularelementen (z.B. Auswahl im Popupmenü oder Auswahl einer Farbe), Webmail/-kalender/-adressbuch nur noch ganz rudimentär und nicht ähnlich komfortabel wie eine Desktopapp.
Nützliche Sachen wie der Printliminator.
Es gibt noch jede Menge anderer Sachen. Im Prinzip immer dann, wenn auf der Seite irgendetwas passiert (als Reaktion auf Mausbewegung, -klick oder Tastatureingabe) ohne das die Seite komplett neu geladen wird.
Eigentlich wüßte ich keinen Einsatzzweck von JavaScript ohne Zugriff aufs DOM. Im Endeffekt hätte man also das gleiche, wenn man JavaScript abschaltet, als wenn man JavaScript den Zugriff aufs DOM verbietet.
-
Also JavaScrip verrichtet potentiell, wie real, gefährliches Teufelswerk, dafür bekommt man zu 30 % Komfortfunktionen und zu 70 % Nervfunktionen und insgesamt einen schnell überlasteten = lahmen Browser, u.U. mit lautem Lüfter ::) Ich vermute ich könnte mit Gewinn auf JavaScript verzichten. Nicht in dem Sinn, dass ich es abschalten könnte, denn dann sind ja viele Funktionen tot, sondern, dass viele Funktionen durch einfachere Techniken ersetzt werden könnten.
Im Detail:
Fängt damit an, das Formulare vor dem Abschicken oder schon beim Eingeben validiert werden bzw. der Benutzer Hinweise zur Eingabe bekommt (z.B. Anzeige der Kennwortstärke).
Es ist doch auch heute Gang und Gäbe, daß Hinweise zu gemachten Eingaben erst nach dem Abschicken eines Formulars (= nach meinem Verständnis ein kompletter Reload) angezeigt werden.
Dann alles was irgendwie aufgrund von Nutzereingaben (Mausbewegung-/klick etc.) reagieren soll. In diesem Forum z.B. der Spickzettel neben dem Antwortenformular
Als extra Seite, z. b. in einem Hintergrundtab, fände ich den Spickzettel nicht weniger komfortabel.
oder der Button "Zitat einfügen". Ebenso alle Buttons (Fett, etc. Smilies) über dem Antworten-Formular.
Das würde ich allerdings vermissen.
Videos in Webseiten
Man kann ohne js keine Videos einbetten??
diese typischen Lightbox-Effekte (ein Bild einer Galerie anklicken, diese kann man groß anschauen und dann durch Klicken durch die Bilder durchwechseln).
Mich nervt diese Funktion. Kann ich getrost drauf verzichten. Mein Favorit: Thumbnailübersichten von direkt anklickbaren JPGs.
Vorschaubilder in Webshops, Reaktion einer Seite auf das Verändern von Formularelementen (z.B. Auswahl im Popupmenü oder Auswahl einer Farbe), Webmail/-kalender/-adressbuch nur noch ganz rudimentär und nicht ähnlich komfortabel wie eine Desktopapp.
Ich denke, es gäbe auch hier komfortable Alternativen. Die Bedienung wäre halt etwas anders und mit dem jetzigen Zustand nicht direkt zu vergleichen.
Nützliche Sachen wie der Printliminator.
Ich hab ja technisch keine Ahnung, aber ich würde sagen, dann macht man den Beschnitt eben nicht auf Webseitenebene, sondern im Druckdialog auf Quartz- oder PDF-Ebene.
Ich bin überzeugt, es würden sich fast überall andere komfortable Lösungen finden lassen.
-
Also JavaScrip verrichtet potentiell, wie real, gefährliches Teufelswerk, dafür bekommt man zu 30 % Komfortfunktionen und zu 70 % Nervfunktionen und insgesamt einen schnell überlasteten = lahmen Browser, u.U. mit lautem Lüfter ::)
Ganz meine Meinung.
Sicher kann man auch super Sachen machen, die nützlich sind und komfortabel. Aber um welchen Preis! Das viele Seiten ohne JS gar nicht mehr funktionieren, ist die reine Frechheit fauler Webentwickler bzw. sogar Gängelung hin zu Tracking und Ausspionieren.
Die ganzen aufwendigen Webseiten braucht auch niemand. Web-Apps sind ein Graus!
Das eigentliche Problem sind natürlich die Website-Betreiber, die immer skrupelloser versuchen, Geld auf Kosten der Privatssphäre der Nutzer zu verdienen.
-
Im zweiten Teil (https://freedom-to-tinker.com/2017/12/27/no-boundaries-for-user-identities-web-trackers-exploit-browser-login-managers/) der Artikelserie beschäftigt sich Freedom to Tinker mit einer bekannten Schwäche von Login-Managern, die sich nun Tracking-Scripts zunutze machen.
Das geht so: Der User erlaubt dem Browser (oder auch 1Password etc.) das automatische Ausfüllen des Passwort auf Seite XY. Auf der ersten Seite ist kein böses Skript. Auf der zweiten Seite ist dann ein verstecktes Eingabefeld einer Trackingfirma und der Browser füllt auch dieses aus - das die Daten nun woanders hingehen, merkt der Browser nicht. Die übertragen dann zwar - soweit bekannt! - nur Hashes von Eamil-Adressen, aber die sind natürlich wertvolle Daten.
Als User kann man sich behelfen, indem man das automatische Ausfüllen deaktiviert.
Sehe gerade, dass in Safari ein Ausschalten des auto. Ausfüllens dazu führt, dass man dann tatsächlich einzeln reinkopieren muss. Dachte, dass ist wie bei 1P, dass man erst anklicken muss und dann auswählt.