Browser-Erweiterung "WoT" sammelt Daten und gibt sie an Dritte weiter

Mornsgrans

Help-Desk
Teammitglied
Themenstarter
Registriert
20 Apr. 2007
Beiträge
73.356
Heute bei Heise und tagesschau.de:

Reporter des NDR konnten in einer Stichprobe zeigen, dass die Browser-Erweiterung "Web of Trust" ("WOT") im großen Stile Nutzerdaten ausspäht und offenbar an Dritte weitergibt. Unter anderem mithilfe dieses sogenannten Add-Ons ist ein Datensatz erstellt worden, der die besuchten Webseiten von rund drei Millionen Deutschen beinhaltet.

Hier noch weitere Infos von Heise:
...
Rekonstruiert haben sie etwa Details zu laufenden polizeilichen Ermittlungen oder zu sado-masochistischen Vorlieben eines Richters, aber auch die internen Umsatzzahlen eines Medienunternehmens und Internetsuchen zu Krankheiten, Prostituierten und Drogen. Zu einem Manager aus Hamburg habe man einen Link zu einem von ihm genutzen Cloud-Speicher gefunden, über den Kontoauszüge, Lohnabrechnungen, eine Kopie des Personalausweises und mehr einsehbar waren...

Soviel zum Thema "Beliebte Browser-Addons"

Wer Interesse hat:
Die Sendung mit dem ganzen Bericht soll am heutigen Dienstagabend um 21:15 Uhr im NDR ausgestrahlt werden.

Wenn ich dann hier manchmal lese, dass einige User dutzende Addons installiert haben, bekomme ich das Grausen. - Bin ich paranoid, nur weil ich die Browser-Addons meide, wie die Pest?
 
Dass Addons quatsch wären sehe ich nicht so.
Grundsätzlich nicht, soweit richtig.
Aber bei einer Flut von hunderten Addons steht der Anwender selbst vor einem undurchdringlichen Wald und die so hoch gelobte freie Software wird zu einem schweizer Käse, denn das kann eben aufgrund der Masse nur schwer kontrolliert werden.
 
Wenn ich von browserspezifischen Wereblockern les, muß ich immer schmunzeln. WTF!? Wenn, dann doch für das ganze OS oder besser das komplette Netzwerk. Habt ihr (bzw. denkt ihr das) nur eine Software die auf das Web zugreift? :confused:

Natürlich. Sowohl für Firefox als auch Chrome gibt es ublock origin. Sind zwar zwei Programme, aber dafür richte ich mir keinen Proxy ein.
Da du "Web" erwähnst, ja Browser sind die einzigen Programme die darauf zugreifen, heißen ja nicht umsonst "Webbrowser".

Natürlich gibt es auch andere Programme, die greifen aber nicht aufs "Web" zu, sondern auf andere Dienste im Internet. Da bringt dir ein Proxy aber auch wenig.
 
Zuletzt bearbeitet:
Der Trend wie bei den ach so "smarten" Phones mittlerweile in jeder Anwendung Werbung anzuzeigen könnte eine Systemweite Lösung aber auch auf Desktoprechnern in Zukunft durchaus nötig machen...
 
Unter den Anwendungen die ich regelmäßig verwende: Spotify schon länger, Skype seit ein paar Monaten.
Sicher noch die Minderheit (und ich hoffe das bleibt auch noch eine Weile so...), aber in meinen Augen durchaus bedenklich.
 
Man muss sich über immer mehr Werbung und der Vermarktung von Nutzerdaten aber eigentlich nicht wundern. Die Betriebsysteme bekommt man mittlerweile "umsonst". Auch viele Programme, oder Apps, sind "kostenlos". Aus reiner Nächstenliebe machen die Softwarehersteller das sicher nicht.

Wenn wir halt kein Geld zahlen (wollen), müssen wir halt damit leben, dass wir mit unseren Daten zahlen.
 
Du benutzt keine Freeware-Software (zB Virenscanner) unter Windows?
Es gibt inzwischen wohl mehr Software, die über Werbefenster finanziert wird, als umgekehrt.

Nein. Virenscanner mit Werbung sind Malware.
Ansonsten wäre es interessant welche Software das sein soll.
 
Zuletzt bearbeitet:
Aus meiner Sicht gibt es vor allem Freeware, die im Installer Angebote im 'Bundle' anbietet die stark an Malware erinnern. Man muss diese nicht installieren, aber jemand hofft auf die Dummheit und das Ungeschick des Users sodass die Browser-Bars usw. trotzdem auf dem PC landen. Das ist pervers und wird von den Leuten, die solche Angebote einbauen irgendwie nicht gesehen oder nicht so ausgedrückt.

Werbung im Programm halte ich für harmlos; so will der Entwickler sich eben finanzieren. Meistens gibt es dann eine Free- und eine Verkaufsversion. Ich persönlich benutzte gerne Freeware, mache aber einen Bogen um Freeware mit Werbefenstern weil sie mir einfach nicht gefallen.

Hier ging es aber um was anderes: Privoxy u. Proxomitron sind Filter-Proxies, d.h. die HTTP-Verbindung wird durch sie geleitet, wenn man in den jeweiligen Programmen das Proxy so eingerichtet hat. Das nutzt aber nur für den Browser etwas, denn 'blanke Verbindungen', die andere Software zum Update-Suchen oder News einholen benutzt enthalten keine Werbung und keine Scripts. Es schadet also nicht, ist aber völlig sinnfrei. Was hier eher deinen Wünschen entsprechen würde wäre ein gut konfigurierter Firewall in Verbindung mit Privoxy im Browser. Den Vorteil eines Systemweiten 'Blockers' sehe ich nicht, ausser dem eben genannten Firewall.
 
Natürlich. Sowohl für Firefox als auch Chrome gibt es ublock origin. Sind zwar zwei Programme, aber dafür richte ich mir keinen Proxy ein.
Da du "Web" erwähnst, ja Browser sind die einzigen Programme die darauf zugreifen, heißen ja nicht umsonst "Webbrowser".

Natürlich gibt es auch andere Programme, die greifen aber nicht aufs "Web" zu, sondern auf andere Dienste im Internet. Da bringt dir ein Proxy aber auch wenig.


Nu ja, ich habe aber mehrere Laptops, Server/Workstations, Smartphone's, Tablet, TV, ... das erschlage ich mit einem Progrämmchen u. einer config, vor ca.16 Jahren einmal gemacht. Wird natürlich laufend mit neuen Regeln erweitert, ähnlich wie wie spamassassin.

z.B. dieses Forum muss ich nur einmal in die Whitelist setzen. :thumbup: Bei Dir wären es schon 2 configs.

Mit Web meine ich http. Das Protokoll leitet mensch ja an privoxy weiter. Über http connecten sich auf UNIXoiden z.B. einige der Desktop (Apps), Downloadmanager, Bittorent-clients, Mediaplayer, Paketmanager, u.a.

Starte einfach mal 'nen Packet_Sniffer auf Deinem Gateway (evtl. auf http o. Port 80 filtern) und laß einige Maschinen laufen ohne einen Webbrowser zu nutzen.

Ach ja, bei Windows gibt es doch diese Tiere (Würmer, Vieren und Trojaner) die telefonieren auch gerne über dieses Protokoll. :) Http traffic ist auf fast jeder Firewall erlaubt.
 
Starte einfach mal 'nen Packet_Sniffer auf Deinem Gateway (evtl. auf http o. Port 80 filtern) und laß einige Maschinen laufen ohne einen Webbrowser zu nutzen.

Was soll ich dann sehen?

Die anderen Programme haben ja keine Skripts oder Werbung, die du über Privoxy blocken könntest.
 
Jetzt auch Proxtube - aber mit Vorsicht genießen:
Nach NDR-Enthüllung: Der Journalist Dirk von Gehlen verdächtigt das Browser-Add-on Proxtube, seine angesurften URLs an Datenhändler übermittelt zu haben.

Dirk von Gehlen, Journalist bei der Süddeutschen Zeitung, war von den Enthüllungen des NDR Anfang November direkt betroffen. Einer Reporterin war es gelungen, ein umfangreiches Datenpaket zum Surfverhalten von drei Millionen Deutschen von Datenhändlern zu erwerben. Die Daten ließen konkrete Rückschlüsse auf einzelne Personen zu, darunter Politiker, ein Richter und eben auch der Journalist von Gehlen.
...

Interessant auch das Update unten auf der Seite:
...Nach seiner kurzen Analyse des Datenverkehrs fand er keine Anzeichen, dass Proxtube in der aktuellen Version angesurfte URLs weitergibt.
Dies gelte allerdings nur für die Voreinstellung. ...
 
Zuletzt bearbeitet:
Bei Proxtube gab es doch eh schon mal massive Probleme. Soweit ich weiß, wurde das Addon ursprünglich von einem deutschen Schüler geschrieben (wenn sich einer über einen Bug beklagt hat, kam auch mal als Antwort "schau ich mir am Wochenende an, heute hab ich viele Hausaufgaben auf :D). Der Trick war irgendwie, dass nur die Anfrage zur Website durch den Proxy geleitet wurde, der Stream wurde damit "entsperrt" und dann über die ganz normale Verbindung abgespielt. Nach einiger Zeit hat Youtube der Sache dann einen Riegel vorgeschoben und es musste der gesamte Stream durch den Proxy laufen. Das führte dazu, dass der Entwickler sich die Serverkosten nicht mehr leisten konnte und das gesamte Addon an eine etwas undurchsichtige Firma verkauft. Schon damals gab es Theater mit Userdaten, Werbung und so weiter und viele Nutzer haben sich gehörig aufgeregt.

Unabhängig davon: Durch die Gema-Einigung dürfte der Bedarf an diesen Addons doch eh zurückgehen, oder?
 
Rischtisch - bleibt aber dennoch die Frage offen, auf wievielen Rechnern das Addon noch "schlummert".
 
Ja, hoffe auch, dass in Zukunft YouTube auch in Deutschland wieder sinnvoll nutzbar wird. ProxTube hatte bei mir regelmäßig sowieso nicht funktioniert, die dubiose Geschichte mit dem Verkauf an eine Firma hat mich dann dazu veranlasst das Ding einfach ganz aus dem Browser zu kicken.

Im Kontext dieses Threads kann ich das übrigens ganz allgemein empfehlen: Add-Ons die durch eine Firma "entwickelt" werden meiden!
Im Wesentlichen kenne ich da nämlich nur drei Gründe weshalb das eine Firma tun sollte, die alle nicht sonderlich vertrauenerweckend sind:

  • Im besten Fall ist es tatsächlich ein rentables Add-On, das auch aktiv weiterentwickelt wird etwa AdblockPlus. Offensichtlich will der Hersteller aber Geld damit verdienen, d.h. es kommt dann irgendwann soetwas wie "unaufdringliche Werbung" dabei heraus.
  • Das Add-On ist lediglich ein Mittel um einfacher auf ein kommerzielles/werbefinanziertes Angebot des Herstellers im Internet zugreifen zu können (etwa Browser-Toolbars von Mailanbietern)
  • Im schlimmsten Fall handelt es sich um ein einstmals seriöses Add-On, dass vom Entwickler (aus welchen Gründen auch immer) verkauft wurde. Oftmals wird das Add-On dann nicht mehr weiterentwickelt, jedoch nachträglich noch Addware eingebaut (etwa "Preisvergleich"-Tools und Ähnliches).

Der letzte Punkt passiert leider viel zu oft.
Tatsächlich bin ich selbst Add-On Entwickler und habe schon solche Mails von Firmen bekommen:
We’ve spent the last six months with our heads down building "XXX", a user-friendly, opt-in monetization solution for web and browser application developers. At your size (over 1k users FYI) you can earn thousands of dollars per month with a quick ten-minute integration.
 
Im Kontext dieses Threads kann ich das übrigens ganz allgemein empfehlen: Add-Ons die durch eine Firma "entwickelt" werden meiden!
Im Wesentlichen kenne ich da nämlich nur drei Gründe weshalb das eine Firma tun sollte, die alle nicht sonderlich vertrauenerweckend sind:

  • Im besten Fall ist es tatsächlich ein rentables Add-On, das auch aktiv weiterentwickelt wird etwa AdblockPlus. Offensichtlich will der Hersteller aber Geld damit verdienen, d.h. es kommt dann irgendwann soetwas wie "unaufdringliche Werbung" dabei heraus.
  • Das Add-On ist lediglich ein Mittel um einfacher auf ein kommerzielles/werbefinanziertes Angebot des Herstellers im Internet zugreifen zu können (etwa Browser-Toolbars von Mailanbietern)
  • Im schlimmsten Fall handelt es sich um ein einstmals seriöses Add-On, dass vom Entwickler (aus welchen Gründen auch immer) verkauft wurde. Oftmals wird das Add-On dann nicht mehr weiterentwickelt, jedoch nachträglich noch Addware eingebaut (etwa "Preisvergleich"-Tools und Ähnliches).
Und bei privat entwickelten Add-Ons ist das anders?
Im besten Fall ist es ein Add-On, das der Entwickler selber sich wünscht und dass er der Allgemeinheit zur Verfügung stellt und aktiv weiterentwickelt.
Es kann aber auch sein, daß es vom Entwickler schnell mal zusammengeschustert wurde, nicht sicher ist, nicht weiterentwickelt wird und damit ein Einfallstor für Angriffe darstellt.
Und im schlimmsten Fall hat der Entwickler böse Absichten und hat das Add-On nur bereitgestellt, um die Nutzer auszuspähen oder Geld mittels Werbung zu verdienen.


Selbst bei von gemeinnützigen Organisationen entwickelten Add-Ons kann man sich nie völlig sicher sein, weil deren Entwickler auch nur Menschen sind, und der Organisation das Geld ausgehen kann, um Sicherheitslücken zu schliessen.
 
Und bei privat entwickelten Add-Ons ist das anders?
Nicht automatisch (hatte ich auch nicht behauptet), allerdings ist meiner Erfahrung nach die Wahrscheinlichkeit sehr viel kleiner, da eine Privatperson glücklicherweise auch andere Absichten als Gewinnmaximierung haben kann.
Meistens sind es eben Leute, die das wie du selbst schreibst freiwillig in ihrer Freizeit machen und wenn überhaupt mal eine positive Bewertung als "Lohn" haben wollen. (<- Ich kann hier wohlgemerkt nur für Firefox sprechen, bei anderen Browsern kann das anders aussehen...)

Es kann aber auch sein, daß es vom Entwickler schnell mal zusammengeschustert wurde, nicht sicher ist, nicht weiterentwickelt wird und damit ein Einfallstor für Angriffe darstellt.
Und im schlimmsten Fall hat der Entwickler böse Absichten und hat das Add-On nur bereitgestellt, um die Nutzer auszuspähen oder Geld mittels Werbung zu verdienen.

Das kann eben gerade nicht passieren!
Im Review-Prozess bei Mozilla wird ein Add-On explizit auch auf Code hin untersucht, der anfällig für Missbrauch durch dritte ist.
Wenn persönliche Daten an einen Webserver übertragen werden, dann muss das in der "Privacy Policy" des Add-Ons so vermerkt sein.

Selbstverständlich ist mir klar, dass auch mal ein Add-On unentdeckt durch den Reviewprozess schlüpfen kann und dass der durchschnittliche Nutzer blind alles installiert ohne auf "Privacy Policies" zu achten, allerdings ist die Wahrscheinlichkeit, dass das bei "privat" entwickelten Add-Ons ausgenutzt wird sehr viel kleiner, denn solange ich nur Werbung in einem einzelnen schwach verbreiteten Add-On einblende, dann werde ich damit wohl kaum den großen Reibach machen. Es rentiert sich also schlicht nicht, wenn ich das nicht systematisch mache (oder eben ein bereits verbreitetes Add-On aufkaufe).
 
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben