Das allwissende, gierige Auge Saurons
JavaScript ist für dieses Szenario verantwortlich. Eine Programmiersprache, die in Webseiten eingebettet wird und die – mehr als jede andere Technologie – das WWW von einer Sammlung an Dokumenten zu einer Kollektion von interaktiven Apps verwandelt. Die betagte, funktionsreiche und etablierte Werkzeugtasche beult sich mit so nützlichen Sachen, wie: clientX und clientY Tools, die die exakte Lokalisierung des Cursors erfassen. Das onkeypress-Ereignis, das jeden Tastendruck verfolgt. Die value-Eigenschaft, die den Inhalt von Formularfeldern festhält. Und darüber hinaus unzählige Objekte, Eigenschaften und Ereignisse, die Webseiten Zugang zu allem möglichen geben, vom aktuellen Aufenthaltsort bis zum Akkustatus des Laptops.
JacaScript Funktionen lassen sich verbinden, so dass sich jede winzige Aktion, die man auf der Webseite macht, aufgenommen wird. Das Skript, dass die Session wiedergibt, operiert wie ein stiller Kameramann. Diese Skripte sind nicht sinnfrei. Sie existieren, um den Webseiten-Betreibern bei der Verbesserung ihrer Seite zu helfen, indem sie das User-Verhalten beobachten. Aber: wie viele Webseiten-Nutzer realisieren, dass da gerade gigantische Mengen an Daten gesammelt werden und dass ihre Entscheidung, die Ware im virtuellen Einkaufskorb nun zur Kasse zu bringen oder die Seite zu verlassen, völlig egal ist, und sämtliche geernteten Daten unter den Fittichen von ausgelagerten Tracking-Firmen sind?
Abhilfe schaffen
Eine aktuelle Studie von Wissenschaftlern der Princeton Universität zur Exfiltration von persönlichen Daten durch Session-Replay Skripte zeigte, in welchem Ausmaß dieser Code auf ganz normalen Webseiten eingesetzt wird, darunter bei hp.com, intel.com, costco.com und gap.com. Zwar sollte jeder Webseitenbetreiber darauf achten, dass die persönlichen Daten der Besucher nicht vom alles verschluckenden Auge Saurons gesehen werden. Bislang kann man sich darauf jedoch nicht verlassen. Aber Nutzer des Internets haben Möglichkeiten, sich vor solchen Machenschaften zu schützen und es kommt vielleicht sogar Hilfe von offizieller Seite:
- Vor Session-Aufnahmen kann man sich auf die gleiche Art verabschieden, wie man das auch mit anderen Formen unerwünschten Trackings macht: indem man Browser Plugins verwendet, wie Ghostery oder Privacy Badger. Diese Tools können das Abgreifen von Informationen verhindern.
- Die Datenschutz-Grundverordnung regelt ab Mai 2018, wie Daten gesammelt, gelagert, zugänglich und genutzt werden dürfen. Auch wie Nutzer darüber informiert werden müssen und was bei Zuwiderhandlungen droht. Zwar kann die falsche Datenlagerung sehr teuer werden aber in Anbetracht einer weltweiten Vernetzung, ist diese europäische Regelung vielleicht nicht durchgängig wirkungsvoll.
Mehr Details dazu steht auf Naked Security unter:
https://nakedsecurity.sophos.com/2017/11/24/a-gargantuan-all-seeing-eye-is-watching-you-on-popular-websites/