2017, Blog

Session-Replay-Script, oder nenne es Keylogger.

Ooooh yes. Saftige Meldung. Scheint nur niemanden zu interessieren. Bis zu 50.000 der meist besuchtesten Webseiten nutzen mehrere Dienste, um die Tastatureingaben von Besuchern mitzuloggen. Selbst Daten, die nicht abgesendet werden. Spionage? Überwachung? Ach, nur Tracking und Werbung.

Stell Dir vor Du bist auf einer Webseite, ach was sage ich, Du bist gerne auf den bis zu 50.000 meist besuchtesten Webseiten und Du weißt, dass ALLES was Du eintippst in eine Datenbank wandert. Bei Drittanbietern, die gar nicht zu den 50.000 Anbietern gehören. Toll, oder? Die 50.000 Webseiten wollen natürlich nur das Nutzerverhalten analysieren. Du weißt schon: Wegen der Werbung! Voll cool. In der Regel nennt man das KEYLOGGER. Da gab es einige Verbote am Arbeitsplatz und bei böser Absicht. Das Ganze hat den netten Namen Session-Replay-Script erhalten. Wie der Name schon sagt, kann damit der komplette Besuch des Nutzers erneut abgespielt werden. Wie eine Videoaufnahme. Nur mit Wegpunkten, Klickpunkten und eben Tastatureingaben.

Forscher vom Centre for Information Technology Policy (CTIP) haben diese Anbieter als Bösewichte ausgemacht:

  • clicktale.net
  • decibelinsight.net
  • fullstory.com
  • hotjar.com
  • inspectlet.com
  • mouseflow.com
  • quantummetric.com
  • sessioncam.com
  • smartlook.com
  • userreplay.net
  • yandex.ru

Laut der Liste vom CTIP nutzen auch deutsche Webseiten diese Scripte. Stellen wir sie an den Pranger:

  • 1und1.de
  • chefkoch.de
  • computerbild.de
  • conrad.de
  • express.de
  • gamestar.de
  • holidaycheck.de
  • hornbach.de
  • idealo.de
  • immobilienscout24.de
  • moviepilot.de
  • stepstone.de
  • t3n.de
  • wetter.de

Hier findet Ihr das ganze Zeugs.

Wer die Blockliste von kowabit.de für uBlock Origin nutzt, oder die Blockliste für die Fritzbox – beides hier zu finden: https://blocklist.kowabit.de – war zumindest vor dreien der Bösewichte sicher.

Ich habe die Listen jetzt aktualisiert. Fritzboxnutzer müssen sie sich bitte erneut herunterladen und manuell eintragen.

Momentan wäge ich noch das Pro und Contra ab auch die deutschen Webseiten vollständig in die Blockliste einzutragen. Ein Anbieter muss manchmal beruflich genutzt werden, einen anderen Anbieter nutze ich privat. Bleibt jedoch die Frage im Raum wie lange man sich das gefallen lassen soll.

Grundsätzlich sollten wir aber das Thema Tracking und Werbung und die Schlagzeile Session-Replay-Script nicht so stehen lassen. Diese Anbieter und die Webseiten, die diese Scripte eingebunden haben, haben einen webbasierten Keylogger genutzt. Private Chats oder Meinungsäußerungen sind damit offengelegt und selbst Passwörter obsolet.

Dieser Fall ist in meinen Augen eigentlich ein richtig fetter Skandal und es bleibt defintiv eine Botschaft an alle Webseitenbetreiber die sich über Werbeblocker beschweren: Ihr habt es nicht anders verdient! Werbeblocker sind Selbstverteidigung! Ich bin zwar kein Jurist, aber sollte das nicht ein Nachspiel haben?

Tagged , , , , , , , , , ,