Skripte und Skriptblocker

Hallo Freunde,

kurz zu meinem Wissensstand: Ich habe weder tiefgründige Programmiererfahrung noch irgendwelche Hacking-Erfahrung. Ich würde mich aber trotzdem als interessiert und überdurchschnittlich hinsichtlich des Wissensstands beschreiben.
Ich weiß nicht, ob ich hier in dieser Kategorie geschweige denn dem Board richtig bin. Verzeiht mir bitte, wenn das Thema also falsch plaziert ist.

Seit einiger Zeit geht es mir auf den Zeiger, im Internet getracked zu werden. Seit kurzer Zeit beschäftige ich mich mittlerweile intensiver mit Tracking auf den Websites, die der Durchschnitt an Internetusern täglich ansurft. Mittels NoScript blocke ich derweil und habe mir mittlerweile eine individuelle Whitelist aufgebaut. Für mich stellt sich aber noch immer eine entscheidende Frage, die ich nicht durch googlen beantworten konnte (kann mir übrigens jemand sagen, wieso es so wenig aktuelle (deutschsprachige) Informationen darüber im Netz gibt?):

Angenommen, ich surfe einen Artikel einer Newspage an und NoScript zeigt mir, dass das Script eines sozialen Netzwerks eingebunden ist: Welche Informationen erhält Facebook dann? Weiß es nur, dass ich z.B. spiegel.de angesurft habe? Bekommt Facebook womöglich gar keine Information darüber, dass ich den Artikel oder die Domain angesurft habe? Oder weiß Facebook, dass ich die Domain UND den speziellen Artikel (also die URL) angesurft habe?

Genau wie bei sozialen Netzwerken verhält es sich auch bei Seiten, die Skripte wie googleapis.com oder beispielsweise fonts.google.com benutzen? Weiß Google bei jedem seiner Skripte, dass ich die URL angesurft habe oder beispielsweise nur bei Google-Analytics. Und wenn eine Domain Google Storage benutzt, bekommt Google dann auch die Informationen?

Würde mich extrem freuen und sehr dankbar sein, wenn für mich da jemand Licht ins Dunkle bringen könnte! :)
Grüße
 
hehe,
Du hast schon verloren.
Du willst nicht getrackt werden,benutzt aber Google.
Wenn du jetzt auch noch Chrome(ium) benutzt schmeiss ich mich vor Lachen weg.
Chrome update turns browsers into covert listening tools / Boing Boing
(und ich glaube nicht das das in den Google-Suchergebnissen auftaucht(schlechte PR))

Je mehr du dich damit auseinandersetzt desto mehr dürfte dir klar werden, das es sehr sehr schwer ist.
Und desto mehr begreifst du das die Politiker teilweise nur Müll reden wenn sie neue Gesetzte durchdrücken wollen und die Massen in Angst versetzten.
(Teilweise nur um Unfähigkeiten und Personalmangel zu kaschieren)
Bzgl. Deiner Frage:

Wenn das Script eingebunden, aber nicht heruntergeladen wird(weil geblockt) weiss die 3rd Party gar nichts, weil es ist vergleichbar mit dem aushändigen einer Telefonnummer ohne dort anzurufen.
Wenn das Script nun aber heruntergeladen (und höchstwahrscheinlich auch ausgeführt wird) dann weiss die 3rd Party erstmal alles was im HTTP-Request steht über dich.
Sprich Betriebssystem, Browser(-Capabilities), Plugins,Cookie, etc.
Wenn das JS ausgeführt wird, so kann die 3rd Party noch Auflösung, Sprache, BrowserFingerprinting, erstellen, und das sind Sachen der du nur mit einer VM Herr wirst.
Da hilft keine Sandbox.
Wenn man nun noch bedenkt das viele "Entwickler" die Berufsbezeichnung eigentlich gar nicht verdienen weil sie heutzutage ALLES über Google und vergleichbare Dienste laufen lassen und deren SDKs einfach blind einsetzten, hast du teilweise,Serverless-Architectures (IMHO eine Krankheit) welche ohne diese Bibliotheken nicht mehr funktionieren.
Und in dem Fall opte ich dann meistens einfach aus.
Bsp.: Wenn der Ajaxschwachsinn von apis.google.com hier auf der Seite tiefer integriert wäre, würde ich nicht hiersein(login funktioniert zB nur darüber(oder JS-Console :D)

Die FB buttons sind meistens über einen Iframe eingebunden, und der wird vom Browser immer geladen, also gibt es zumindest immer einen Cookie der übermittelt wird, egal was du für JS blockst, da hilft dann nur die Cookies regelmäßig löschen.
Und ja FB wird wissen welche Seite du angesurft hast, denn FB gibt für das Einbinden des Iframes eine ID mit.
Bei sowas wie fonts.googleapi.com sieht es schon anders aus, da müsste man dann den Browser konfigurieren immer defaultfonts zu nehmen oder Anfragen über einen CachingProxy laufen lassen, der die Antworten immer vorhält die die Anfragen vom Browser bearbeitet, da die WebComponents-API noch nicht soweit ist solche mächtigen Addons zu schreiben.

Du siehst also Otto-Normalverbrauchen hat gegenüber diesen Hyänen schon verloren, und unsereins muss sich sehr anstrengen "unterm Radar" zu fliegen. und selbst dann gibt es noch Muster die einen verraten, Bsp.: Abfrage von Emailkonten(selbst per Pop oder Imap) oder wie man nach bestimmten sachen sucht, welche Suchmaschienen man benutzt, wie man Artikel schreibt, welche Foren man benutzt, was man gut findet, wie man sich ausdrückt, welche Quellen man verlinkt, gegen was man "ranted", aber sowas wird dann doch eher von "Advanced Persistant Threads"(state-(sponsored)-actors oder Cyberkriminellen) benutzt, welche große Teile des Internet überwachen. Und solange du niemals(siehe Collect it all von NSA und GHCQ( und BND?), SORM(von den Russen)) vor hast für eine NGO tätig zu sein, oder Dissident bist, Programmierer für einige der von solchen Leuten benutzten Softwareprojekten(TOR, Tails, etc), Whistleblower oder großer/internationaler Cyberkrimineller(Entrapment/Hacking seitens des FBI/Marshals/anderer Behörden aus anderen Staaten(?)), brauchst du dir da weniger sorgen drum machen.
Sicherheit/Anonymität ist nämlich immer ein Prozess.
Gegen wenn will man sich schützten.

Ich empfehle mal das Firefox-Plugin Lightbeam(siehe Screenshot, kannste sehen was fonts.googleapi.com google alles für Daten beschert bzgl. Tracken).
Und ich empfehle auch mal die EFF-Seite Panopticlick

Aber Tracking hört dort nicht auf, es kann auch über DNS-Queries gehen, etc.

Wie Tara heute schon festgestellt hat: Ich baue Leute heute auf.

Gruß
Fluffy
 
Zuletzt bearbeitet von einem Moderator:
Hallo lieber Fluffy,

erstmal: Danke für die ausführliche Antwort!

Jetzt verstehe ich also auch die Ausführung von Tim Pritlove in Logbuch Netzpolitik (in Folge 207 ab 21:25 min) besser.
Anstatt jemandem "Lernwilligen" zu helfen, schaut man lieber belächelnd auf ihn herab.

Vielen Dank auch für die Link0 zu Panopticlick und Lightbeam.

Ich benutze zurzeit Firefox.

Heißt also, dass alle Websites, die mit jeglichen Google-Skripten laufen, Daten (angesurfte URL, Auflösung und andere "Alleinstellungsmerkmale"), ob sie wollen oder nicht, an Google weitergeben?

Könntest du mir das mit der ID, die Facebook mitliefert, genauer erklären? Verstehe ich das richtig, dass Facebook bei jeder einzelnen Seite einer Domain eine ID erzeugt? Der User verbindet sich dann mittels des FB-Skripts zu den Facebook Servern und liefert die ID mit. Die IP-Adresse wird dann mit allen Facebook bekannten IPs abgeglichen und bei einer Übereinstimmung wird die angesurfte URL der IP (und damit einem realen User) zugeteilt?


Ich habe eine essenzielle Frage, für die du mich gerne auslachen darfst: Soweit ich das verstehe, werden doch dynamische IPs verwendet. Das heißt doch eigentlich, dass sich unsere IP-Adressen mindestens einmal am Tag ändern. Damit müsste doch eine langfristige Identifizierung unmöglich sein. Ist es aber doch nicht? Wieso?

Grüße
und danke, dass du dir trotzdem Zeit nimmst!
 
Ich habe eine essenzielle Frage, für die du mich gerne auslachen darfst: Soweit ich das verstehe, werden doch dynamische IPs verwendet. Das heißt doch eigentlich, dass sich unsere IP-Adressen mindestens einmal am Tag ändern. Damit müsste doch eine langfristige Identifizierung unmöglich sein. Ist es aber doch nicht? Wieso?

Weil du anhand deines Browser-Fingerprints dennoch relativ einfach identifiziert werden kannst. Die IP ist schon lange nicht mehr für's Tracking relevant. Man kann z.B. Google Analytics auf einer Seite so einbinden, dass die IP anonymisiert wird und dennoch sind die einzelnen Besucher relativ klar identifizierbar anhand von Cookies, Browser-Fingerprint, Daten im Browser-Storage usw..
 
Jetzt verstehe ich also auch die Ausführung von Tim Pritlove in Logbuch Netzpolitik (in Folge 207 ab 21:25 min) besser. Anstatt jemandem "Lernwilligen" zu helfen, schaut man lieber belächelnd auf ihn herab. Vielen Dank auch für die Link0 zu Panopticlick und Lightbeam.

Gern geschehen.
Ich glaube Pritlove meinte damit eher das Leute ggf nur Ranten und nicht helfen.
Kann ich auch machen, ist dann aber nicht so nett, aber du würdest den Unterschied merken ;) .
Manchmal ist mir halt nicht danach es allzu sanft zu machen und manchmal geh ich halt sanft vor.
Meine Meinung ist halt, das wenn man nur am Ball bleibt wenn man Zucker in den Arsch geblasen bekommt dann kann man es auch gleich sein lassen.

Was ich hier aber sehr interessant finde ist das du die Sekunde kennst, etwas komisch in dem Bild was du darstellst.... aber egal.

Ansonsten einfach am Ball bleiben, muss vielmehr Menschen geben die sich damit beschäftigen.

BTW: Was auch noch in dem Zusammenhang interessant ist:
Es wird davon gesprochen das die Industrie tracket(Google,Samsung, Android, Suchmachine, Android, GPS) und der Staat überwacht.
Aber es gibt(abgesehen von Vorgehensweise und Regulierungen) keinen Unterschied.
Ist halt Neusprech und dient dazu Wiederstand zu brechen, bzw. Weltbilder zu prägen.
(Merkel und Neuland, tracken vs. überwachung, rechtsfreie Räume, etc. ) Beim nächsten Mal einfach darauf achten wenn du dich damit befasst.

Gruß

Fluffy
 
Zuletzt bearbeitet von einem Moderator:
Zurück
Oben