Super Mega Hyper Tera Giga Exa Cookies

Allmählich geht mir dieser Begriff auf den Senkel: "Supercookie". Meine Güte. Das artet aus wie mit "Superfood" seinerzeit. Dabei hat das, was immer als Supercookie bezeichnet wird, mit dem ursprünglichen Cookie zumindest technisch gesehen nichts mehr zu tun. Cookie klingt so irreführend lecker und harmlos.

Worum geht's eigentlich? Zunächst einmal sei gesagt, dass der Begriff Supercookie eher meta-artig verwendet wird. Fragt ihr unterschiedliche Leute, kriegt ihr unterschiedliche Antworten, wie Supercookies konkret technisch funktionieren. Allen Beschreibungen gemeinsam ist aber: Es handelt sich um besonders robuste Maßnahmen zum Tracking, die nur schwer entfernbare Merkmale zur eindeutigen Identifikation der User beinhalten.

Zum Thema User-Tracking im Allgemeinen habe ich immer mal wieder ein paar Zeilen geschrieben, siehe hier und hier und hier. Die gute Nachricht: 3 von 4 Supercookie-Varianten sind weitgehend obsolet bzw. weniger dramatisch:

Die schlechte Nachricht: Variante B, im Zusammenhang mit Favicons, ist aktuell noch unkaputtbar. Schutzmaßnahmen (z.B. komplette Isolation des Browsers in virtuellen Maschinen o.ä.) sind so sperrig oder alltagsuntauglich, dass sie keinen Spaß machen.

Betroffen ist offenbar alles, was Rang und Namen hat im Browsergeschäft. Nicht einmal die neueste Version vom Firefox 86 scheint immun, die nach "Super Cookie Protection" jetzt auch die "Total Cookie Protection" hat. Außer auf Linux. Phew. :)

Tolle Sache, dieser Überwachungskapitalismus.

Edit: Muss mich selbst mal wieder etwas zügeln mit meinen zynische Ausschweifungen. Ein Leser moniert zurecht: Es ist übertrieben von mir zu behaupten, dass man virtuelle Maschinen braucht, um Variante B zu mitigieren. Ich sollte etwas Hirnschmalz bemühen. Theoretisch dürfte auch eine Löschung des Browser-Profils genügen. Aber der Punkt, dass derzeit noch im Alltag unangemessen unhandliche Maßnahmen nötig sind, um die Wirksamkeit von Favicon-Supercookies zu begrenzen, bleibt bestehen. Ob dieser "Exploit" tatsächlich in freier Wildbahn schon umfassend genutzt wird, wage ich zu bezweifeln - er ist schon sehr abgefahren.

Permalink

LastPass: Good Riddance

Auch beim durchschnittlichen Internet-Nutzer ist mittlerweile angekommen, dass es nicht von Nachteil ist, bei den Zig bis Hunderten Zugängen, verteilt über Geräte, Websites und Apps, unterschiedliche Passwörter zu nutzen. Weil es bedauerlicherweise nicht mehr nur Ausnahme, sondern Normalität ist, dass Datenbanken mit Nutzerdaten abhanden kommen.

LastPass, eine Passwort-Datenbank als Browser-Erweiterung mit heißer Historie, macht gerade das hauseigene, kostenlose Modell quasi obsolet. Was an Funktionalität noch übrig bleibt, will ziemlich sicher keine Sau mehr nutzen. Details sind irrelevant, und LastPass ohnehin, aus einem einfachen Grund: Niemand sollte seine sensiblen Passwort-Daten in irgendeiner fremden Cloud speichern. Und sei sie angeblich noch so gut verschlüsselt.

Chip erklärte LastPass übrigens zum Testsieger. Im Jahr 2020. Ich weiß ja nicht, wie viel Geld geflossen ist, aber... egal. Jedenfalls:

Ein aus meiner Sicht halbwegs sicheres, vertrauenswürdiges, auch pragmatisches Modell ist:

Es gibt auch ein für mich ganz gut funktionierndes Plugin für alle gängigen Browser (ich verlinke hier nur für Firefox, die anderen Browser bewerbe ich nicht), damit man nicht die indiskutabel unsicheren, browsereigenen Passwort-Manager nutzen muss.

Permalink

Ihr habt mit Facebook nix am Hut, sagt ihr? Ziemlich sicher doch.

Für den Fall, dass ihr euch löblicherweise entschieden habt, Facebook nicht (mehr) zu benutzen, weil euch der Laden letzthin oder schon immer gegen den Strich ging, möchte ich einen Glückwunsch aussprechen - für eure (wahrscheinlich fruchtlose) Bemühung, diesem asozialen Netzwerk aus dem Weg zu gehen.

Denn bestimmte Daten über euch fließen auch weiterhin zu Facebook, ohne dass ihr es wisst oder wollt, sofern ihr zu den Nutzern von einigen weit verbreitenen Web- und App-Angeboten gehört.

Zwei typische Szenarien:

  1. Ihr ruft eine Website auf, die Facebook-Widgets eingebunden hat und ihr akzeptiert mehr oder weniger aus Faulheit und/oder Ignoranz einfach alles im Banner für Cookie- und Content-Consent (sofern überhaupt eines geboten wird).
  2. Ihr benutzt Apps auf eurem Smartphone. Hier wird euch in der Regel keine Wahl gelassen, ihr werdet auch nicht oder nicht angemessen klar verständlich davon in Kenntnis gesetzt, dass Tracking via Facebook stattfindet.

Punkt 1 kommt sicherlich häufig vor (habe auf die Schnelle keine belastbaren, statistisch signifikanten Zahlen, aber die persönlichen Erfahrungen aus dem Kollegen- und Bekanntenkreis lassen es mich vermuten). Wenigstens wird einem auf rechtskonformen Websites noch die Wahl gelassen. Publikationen, die einem keine Wahl lassen, sollte man ohnehin meiden. Siehe auch die NoSurfList.

Punkt 2 ist perfider, dreckiger. Sehr beliebte Apps (z.B. Spotify, HereWeGo, Kindle, Zattoo, Shazam...) haben Tracking via Facebook integriert, bemühen sich aber nicht im Geringsten, die User davon in Kenntnis zu setzen oder gar ein Einverständnis einzuholen. Siehe auch eine etwas ältere Untersuchung zum Thema.

Facebook sieht sich, was Privatsphäre und Datenschutz angeht, sowieso nicht im Geringsten in der Verantwortung. Wenn die App-Entwickler es für eine gute Idee halten, Tracking einzubauen, dann sei das deren Sache. Genauso das eventuelle Einholen von User Consent. Und Facebook kann hintenraus mit den Daten machen, was es will. Die Entwickler wissen ja nicht mal wirklich, was Facebook konkret mit den Daten macht. Also sind die App-Bastler im Zweifel auch nicht in der Lage, klare Einverständniserklärungen zu formulieren, die ein User bestätigen müsste.

Ausgehend von technischen Fakten, z.B. der Tatsache, dass eindeutige Werbe-IDs sowie Geräte-IDs existieren (siehe auch Facebook Graph API), dürft ihr davon ausgehen, dass Facebook sehr viel über euch weiß - und ein entsprechendes Profil zusammenstellen kann. Welche Apps ihr wie und wann verwendet, mit wem ihr euch vernetzt und welche Inhalte ihr teilt, sagt extrem viel über euch aus.

Apple macht ja gerade Anstalten, dieses Tracking (zumindest mittels Drittplattformen) auf dem iOS-Ökosystem einzudämmen, was zu abstrusen Dikussionen und Statements insbesondere seitens Facebook führt.

Was sich wirklich im Rahmen von iOS zuträgt, kann ich nicht verifizieren, da ich kein Apple-User bin. Auf Android kann ich hingegen beobachten und beurteilen, was passiert. Und da wird munter mit graph.facebook.com kommuniziert, ohne jegliches vorheriges Einverständnis der User.

In meinem Haushalt gibt es Menschen, die z.B. gerne Spotify nutzen. Ich würde es gern abschaffen, aber ... wissenschon. Spotify ist zum Beispiel ein Kandidat, der sich um Datenschutz nicht schert. Edit: Erkennt sogar Stiftung Warentest. :-)

Wenn ihr mal schauen wollt, so ganz unverbindlich, was sich an Traffic von eurem Android-Smartphone in die Welt rausbewegt: TrackerControl installieren (basiert auf dem bekannten NetGuard) und staunen. Man kann auch ausprobieren, was sich an Tracking-Traffic wegblocken lässt, ohne die Funktionalität der App zu sehr einzuschränken. Rude awakening.

Permalink

Gegen biometrische Massenüberwachung

https://reclaimyourface.eu/de/

Gern vorher intensiv durchlesen und informieren, dann mitmachen. Derzeit noch nur 15.000 Teilnehmer. Wäre schön, wenns ein paar Millionen würden.

Permalink

Die aktualisierte ePrivacy-Verordnung

Ich zitiere den Bundesbeauftragten für Datenschutz und Informationsfreiheit, Professor Ulrich Kelber, die neue Version der ePrivacy-Verordnung betreffend, die der EU-Rat unter dem Vorsitz Portugals verhandelt hat:

Die Verordnung sieht die Wiedereinführung der Vorratsdatenspeicherung vor, die schon vor so vielen Gerichten gescheitert ist. Auch bei den Regeln im Internet gäbe es Rückschritte, denn mit der Verordnung wären sogenannte „Cookie Walls“ zulässig. Es wurden außerdem einige wichtige Garantien für Nutzer, wie beispielsweise das Widerspruchsrecht und die Datenschutz-Folgenabschätzung gestrichen. Auch ein Rückgriff auf die Garantien der Datenschutz-Grundverordnung ist ausgeschlossen. Nicht zuletzt ermöglicht diese Version der ePrivacy-Verordnung, dass personenbezogene Daten ohne Einwilligung der Nutzenden zu anderen Zwecken weiterverarbeitet werden können. Es macht mich fassungslos, wie schwerwiegend hier in Grundrechte der europäischen Bürgerinnen und Bürger eingegriffen wird.

Na dann.

Permalink

Präventive Kommunikationsüberwachung

Ein neuer Entwurf für das Bundespolizeigesetz. Erarbeitet von wem? Genau, vom christlich-sozialdemokratischen Regierungskomplex.

Ein wichtiger Punkt darin: die präventive Kommunikationsüberwachung. Man muss also nicht mal mehr was verbrochen haben, damit man zur Hacking-Zielscheibe wird. Ich zitiere auszugsweise:

Die präventive Telekommunikationsüberwachung soll hier eine Erkenntnislücke der Bundespolizei schließen und sich gegen Personen richten, gegen die noch kein Tatverdacht begründet ist und daher noch keine strafprozessuale Maßnahme nach § 100a StPO angeordnet werden kann. Überdies ermöglicht eine Telekommunikationsüberwachung neben der Erlangung inhaltlicher Erkenntnisse zu dem geplanten Vorhaben, dass neben der bereits anvisierten Zielperson weitere Beteiligte bekannt werden.

[...]

Absatz 2 erweitert die herkömmliche Telekommunikationsüberwachung um die Möglichkeit der Quellen-TKÜ, welche das Abhören verschlüsselter IP-Telefonie ermöglicht, [...]

Es gibt großen Salbader wegen Prävention von Menschenschleuserei, Angriffen auf Bahn- und Flugverkehr, etcpp. - übrigens als "Beispiel" genannt, und ich kann mir gut vorstellen, welche Beispiele man zukünftig noch finden kann, um diese neuen Überwachungsfreiheiten zu genießen.

Übrigens bringt euch die kommende Bundestagswahl zumindest akut nichts, denn das Gesetz wird wohl schon vorher verabschiedet.

Permalink

Tracking in E-Mails

Ich bin im Rahmen eines neuen Projekts mal wieder damit konfrontiert, dass eine Entität mit kommerziellen Interessen via E-Mail-Newsletter (potenzielle) Kunden darüber informieren will, wenn es z.B. neue Produkte oder Dienstleistungen gibt.

Tracking ohne aktiv eingeholten User-Consent ist bekanntlich nicht erlaubt. Will heißen, bei Newslettern muss ein Empfänger vorher zustimmen, dass Maßnahmen zur statistischen Erhebung in ein Newsletter-Versandobjekt eingebaut werden.

Was kann man eigentlich bei Newslettern so tracken?

Nun muss man sich darüber im Klaren sein, dass das Tracking für den User in der Regel unerkennbar geschieht (wenn man nicht weiß, worauf man achten muss). Die übliche Vorgehensweise in Newslettern ist, dass ein unsichtbares / transparentes / verstecktes Bildchen oder eine andere Ressource eingebunden wird, die auf einer externen Infrastuktur existiert. Wenn man den Newsletter im E-Mail-Programm öffnet, wird automatisch diese externe Ressource geladen, was wiederum die o.g. Rückschlüsse gestattet.

Warum ist diese externe Ressource eigentlich unsichtbar, fragt ihr? Na weil das Tracken von Usern sehr creepy ist, dies jeder halbwegs bei Verstand befindliche Mensch unterbinden will und die Newsletter-Versender aber nicht wollen, dass ihr das Tracking unterbindet. Also verstecken sie es, so gut es geht. Die Tatsache, dass für das Tracking mittlerweile ein vorheriges Einverständnis eingeholt werden MUSS, geht jedem ernsthaften Newsletter-Marketer gehörig gegen den Strich.

Da es leider etliche unlauter agierende Anbieter solcher Newsletter-Services gibt, die sich um rechtliche Vorgaben (z.B. DSGVO) einen feuchten Kehricht scheren, ist es für die Empfänger immer noch am sichersten, das Tracking auf eigene Faust zu erschweren oder zu unterbinden. Nur wie, oh Henry, ja wie?!

Was kann man also tun?

  1. E-Mail-Programm nutzen, das das Einbinden der Tracking-Maßnahmen bestmöglich neutralisiert. Gibt verschiedene Optionen; eine Handvoll Beispiele ohne Anspruch auf Vollständigkeit:
    • Thunderbird, für Windows, Mac, Linux erhältlich; so ziemlich alle Linux-spezifischen E-Mail-Clients (z.B. Evolution oder KMail); auch die Mail-Anwendung von Apple (sowohl Mobile als auch Desktop) blockt per Default m.W. nach das Laden externer Ressourcen, kann ich aber nicht verifizieren, weil ich kein Mac-User bin; FairEmail auf mobilen Endgeräten mit Android-Betriebssystem
    • Vergesst bitte diese vermeintlich kostenlosen Software-Angebote wie GMail oder irgendwelche E-Mail-Clients, die providerspezifisch sind (Telekom, Web.de, GMX, Vodafone o.ä.), das wäre der Sprung vom Regen in die Traufe. Die wollen euch ja im Zweifel auch tracken.
  2. Links nicht direkt aus dem E-Mail Client anklicken sondern ggf. auf die Website des Anbieters gehen und die Information auf normalem Surf-Wege suchen. Grund: In den Links, die im Newsletter eingebettet sind, befinden sich oft zusätzliche Tracking-Parameter
  3. Am besten E-Mails nicht im HTML-Format zulassen, sondern nur die Textversion anschauen, entsprechende Einstellungen bieten alle anständigen E-Mail Clients
  4. Keine Newsletter abonnieren, hinter denen kommerzielle Interessen stehen. Stattdessen Anbieter-Websites genau dann aufrufen, wenn ihr was braucht. Und nicht euch Mist andrehen lassen, wenn der Anbieter ihn gerade loswerden will

Falls nun wieder mal die Hockey-Mums/Dads mit ihren 2,5t-Hybrid-SUVs um die Ecke düsen und maulen, dass sie auf der Arbeit Outlook nutzen, zu Hause auch und überhaupt keine Lust haben, sich umzugewöhnen, weil ohnehin viel zu wenig Zeit ist, irgendwas zu tun bei dem ganzen vollen Terminkalender, und Outlook ja echt auch ein gutes Programm ist, das alle Computer sicher macht, tja dann... dann kann ich auch nicht mehr helfen.

Permalink

Und sonst so? (Folge 2)

"Und sonst so" ist jetzt mein neuer, periodischer Abort für Kurzmeldungen, wenn mal keine Zeit für langes Geschwafel ist und/oder sich so viel angesammelt hat, dass es schade wäre, wenn was Erwähnenswertes untergeht. Erste Folge, die noch nicht wusste, dass sie mal eine Folge sein würde, sei der Vollständigkeit halber erwähnt. Also, was läuft gerade?

EDIT: Ich wurde von einem Leser darauf hingewiesen, dass es vielleicht missverständlich sei, wenn ich Parler als demokratiefördernd lobe.
Ganz ehrlich Leute... wer mein Blorrg gelegentlich liest, weiß, auf welcher Seite ich stehe. Ich verzichte daher auch zukünftig auf Ironie- / Sarkasmus- / Scherz-Tags.

EDIT2: Nach kurzem Überlegen komme ich zu dem Schluss, dass - wenn es um das Verstehen von Ironie oder Sarkasmus geht - nicht alle Menschen gleich gut ausgestattet sind, es aber dennoch angesichts der Mission dieses Blogs wichtig ist, alle Leser zu berücksichtigen. Ich rücke daher mein pikiertes Hirn zurecht und sage ausdrücklich: Ich bin selbstverständlich kein Freund von Parler. Wenngleich ich nicht glaube, dass Parler per se das Problem, sondern nur ein Symptom einer sehr starken Krankheit ist, an der unsere Gesellschaft leidet, würde ich schon allein der Gesinnung der Betreiber wegen von der Plattform Abstand nehmen wollen. Welche Gesinnung das ist, findet ihr problemlos allein heraus.

Permalink

Wieder ein Kandidat für die No-Surf-List...

... oder vielleicht besser: für eine neue No-Link-List. Oder vielleicht sollte ich einen neuen Award erfinden: Den Niedertracht-Award aus Gips für besondere Leistungen im Bereich der Beschleunigung des Niedergangs guten Journalismus.

Geht um die neueste Entwicklung zum Thema Slate Star Codes. Bin via Fefe auf die Ereignisse der letzte Tage gestoßen. Fefe berichtet ausführlicher, daher sei an dieser Stelle als erstes auf seinen Beitrag verlinkt. Ich habe inhaltlich nichts mehr zu ergänzen. Meine Verlinkung dient eigentlich nur dazu, die geringe zusätzliche Reichweite, die mein Blog hat, mit der Nase auf diese Vorgänge zu stoßen und zu hoffen, dass sinnvolle Schlüsse gezogen werden.

In einem Absatz zusammengefasst, damit ihr einen Hinweis erhaltet, worum es eigentlich geht:

Der Slate Star Codex ist ein weltweit bekanntes Blog, das von einem (ehemaligen) kalifornischen Psychiater geschrieben wurde. Was da drin alles stattfindet, lässt sich nicht in einem Satz zusammenfassen - wer es nicht kennt, schaut es sich am besten selbst an. Was geschah? Der Autor wurde von der New York Times gedoxxt. Mit Ansage. Trotz zahlreicher valider Gegenargumente und Proteste. Und die nachfolgende, weitere Berichterstattung der NYT ist von einem Standpunkt ordentlichen Journalismus gesehen dermaßen armselig, dass es erschüttert. Um zu verstehen, warum das so ist, sei an dieser Stelle jeder aufgefordert, die Historie selbst nachzulesen - sowohl auf dem Slate Star Codex, dem Nachfolge-Blog, als auch in der NYT.

In diesem Beitrag verlinke ich zum letzten auf die NYT, das Blatt hat als ernstzunehmendes Journalismusorgan in meiner Blase abgedankt. Jetzt nicht nur wegen des Slate Star Codex, gab noch etliche andere größere und kleinere Fehltritte (die es auch immer woanders gibt). Aber die neueste Nummer hat das Fass für mich um Überlaufen gebracht. Gut, das wird die nicht groß jucken in NY, wenn ein Mini-Mikro-LOL-Blog wie meines rummault. Aber wenn ich nur ein paar wenige Leute auf die Sache aufmerksam machen kann (egal, für welche Reaktion sie sich letztendlich entscheiden) hab ich mein Soll schon erfüllt.

Permalink