Blog

Content Delivery Network (CDN)

Was sind eigentlich Content Delivery Networks? Oder auch Content Distribution Networks? Manchmal erkennt man sie, wenn Domains den Zusatz cdn beinhalten. Große Webseiten bzw. deren Anbieter nutzen CDNs dazu, verteilt über die Welt Inhalte schnell bereitzustellen. Inhalte werden so auf vielen Systemen gleichzeitig für Besucher bereitgehalten. Fremd-CDNs sind die outgesourcten Flyerverteiler im Internet. Besucht Ihr bspw. die Webseite www.ätschebätschedingebumms.de und Ihr surft nicht gerade in der Nachbarschaft, ist es dem Anbieter möglich zwar die Architektur der Webseite über die Domain bzw. den Webserver bereitzustellen, aber Videos und Bilder, sowie Scripte werden bspw. über einen Server in Eurer Nähe in die Leitung gekippt.

Während der Windows 10 Umstellung ist das Thema wieder aufgefallen. Microsoft bspw. nutzt dafür Anbieter wie Akamai oder Limelight. Diese Firmen besitzen riesige Serverfarmen auf unserem Planeten und machen im Grunde nichts anderes außer Inhalte bereitstellen.

Das sieht dann ungefähr so aus:

CDNs

Was die Leistungsfähigkeit derartiger Datenverteilung betrifft, könnte man wohl geteilter Meinung sein. Ich halte von dieser Architektur nicht wirklich viel. Schlicht und einfach aus Sicherheitsgründen.

Warum?

Nun, wenn Firma A aus Deutschland Firma B aus den USA, Firma C aus U.K. und Firma D aus Deutschland beauftragt Inhalte bereitzustellen, warten die Nutzer vielleicht eine Sekunde weniger bis sich die Webseite von Firma A aufgebaut hat. Echt super Leistung! Aber was passiert bitte, wenn jene CDNs nicht mehr Herr über Ihre Systeme sind?

Ohne dass Firma A direkte Kontrolle über die Server und die Inhalte bei den gemieteten CDNs hat, weiß sie eigentlich gar nicht was dort passiert. Es reicht schon ein gekaperter Server und der Kunde, der eigentlich nur Firma A besuchen wollte, erhält Schadsoftware aus U.K. oder den U.S.A. Für Anhänger von Überwachungsideen bietet sich natürlich auch die Gefahr staatlicher Eingriffe an.

Ein harmloses Beispiel:

Wer auf die Webseite des Versandhändlers OTTO geht, lädt bspw. Inhalte von einem OTTO-eigenem CDN: assets.cdn-otto.de ! Die Inhalte liegen hier jetzt auf einem deutschen Server, aber so wirklich merkt das der Besucher nicht. Er hat ja otto.de besucht.

cdnottosource

Das CDN gehört hier tatsächlich zu OTTO. Inhaber OTTO. Standort Deutschland. Ruft man die Domain auf, erhält man eine “403 Forbidden” Meldung. Und natürlich den genutzten Servertyp: nginx 1.6.3. Würde hier eine Schwachstelle für diese Serverversion bekannt sein, hätte das CDN bereits zu viel ausgeplaudert …

cdnottosourcenginx

Der Besucher bemerkt aber auch nicht, dass bspw. Scripte von cdn.m-pathy.com geladen werden:

cdnottosource2

m-pathy.com ist wiederum ein Anbieter der das Nutzerverhalten analysiert. Zwar steht in den Datenschutzbestimmungen von OTTO, dass die erhobenen Daten vom Webtracking anonymisiert werden, aber es steht da nicht von wem. Sie verweisen auf Cookies. Aber seien wir ehrlich: Wir wissen alle, dass Cookies nicht mehr nötig sind, um an Infos über den Besucher zu kommen.

Gleichzeitig ist der Trackinganbieter m-pathy.com natürlich noch Dienstleister für andere Onlineshops. In diesem Zusammenhang werden natürlich noch mehr Daten gesammelt und eine Anonymisierung kann schnell umgekehrt werden, wenn die Besucher auch Kunden der anderen Shops sind.

Auch ein Hinweis auf Betrugsprävention verdeutlicht, dass Tracking noch weiter geht. Und auch, wenn es dort behauptet wird: An eine Anonymisierung glaube ich nicht, wenn es zu einer Vernetzung mit anderen Onlineportalen kommt. Einmal wird wieder auf Cookies verwiesen, aber auch “andere Trackingtechnologien” genannt. So genau soll es der Nutzer dann wohl nicht wissen.

Tja, so kommt man ganz schnell von CDNs zum Tracking …

Content Delivery Networks liefern nicht nur Inhalte. Sie saugen auch Informationen ab, denn Kommunikation ist keine Einbahnstraße. Und kein Anbieter kann mit 100%iger Sicherheit behaupten, dass seine genutzten CDNs bei anderen Firmen, in anderen Ländern mit anderen Gesetzen neben Inhalten nicht noch andere eigene Interessen mit erhobenen Nutzerdaten verfolgen. Es gibt schlicht keine Möglichkeit zu prüfen was Firmen in U.K. oder den U.S.A. mit (rechtmäßig oder nicht) erhobenen Daten tun. Und bei einem Hackerangriff ist das Outsourcing von Inhalt und Dienstleistung auch noch zu einem Sicherheitsrisiko geworden. Kontrollmöglichkeiten existieren nicht!

 

Mit Ausnahme des m-pathy.com-Dienstes ist OTTO mit einer eigenen CDN mal vorbildlich … kowa schickt ein Lob. 😀

Tagged , , , , , , , , , ,