Ich habe eine Papierrechnung erhalten und als ich diese begleichen wollte, stand im Fließtext die IBAN in einem Stück, also sowas wie IBAN DE0000111222333111112224444443333, was ich jetzt nicht unbedingt leicht abzulesen fand, vor allem wenn da fünfmal eine "1" hintereinander kommt.
Also habe ich mir gedacht, geht ja vielleicht nicht nur mir so und habe eine E-Mail geschrieben:
Continue reading "Physiotherapie + Benutzerfreundlichkeit + Digitalisierung = FAIL"
Ich erhalte über die Mailserver von vodafone Spam; dummen primitiven Nigerian 419 scam, nur dass diesmal zeitgemäß ein UN-Chemiewaffen-Inspektor, der 38 Millionen USD in Syrien gefunden hat, diese mit mir teilen will.
Schlimm genug, dass deren Systeme sowas durchlassen, aber es kommt noch schlimmer. Schaut man in den Mail-Header sieht man im Klartext die Telefonnummer und damit offensichtlich den Login, der missbraucht wurde:
Received: from outgoing.email.vodafone.de (139.7.28.128)
by deleted.thinkof.de with SMTP; 20 Oct 2013 18:16:14 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed; d=vodafone.de;
h=from:to:date:message-id:subject:mime-version:content-transfer-encoding:content-type;
s=out; bh=6Y1OxxaAELiO+eIBLoYkf8l3mGc1YlXTNXB847equys=;
b=lbluI7zZ3agomkvkIOQ2ZS+iC01icymN5NgWo9pEcEiTPO52Nni6R13/uf0nofpE2eFeTt
tfcYjx80Pv9pj7bR9vhPprrfU+fCyBGG4ANXh2/6215zTQjOtv32DKOHQI2bOVaKXqbi/cuiS4ulQBIj
w+OyBgmXm7O/yXUDiEIVs=
X-Authentication-Info: Sender authenticated as 016243xxxxx@vodafone.de (using Trusted Webmail)
Received: from smtp-05.services.internal.um.d2-net.de ([41.190.2.47]
helo=Vodafone WebMail envelope-sender=<016243xxxxx@vodafone.de>)
by SMTPIN-05.smtp.email.vodafone.de with SMTPA
id 52641DA4.10796.797798; Sun, 20 Oct 2013 20:15:00 +0200
From: 016243xxxxx@vodafone.de
Ob ich da mal anrufe und ihn frage wie das läuft mit Kohle und so?
Begeisterte Piraten haben heute ein Blog-Posting von Andi Popp, Platz 3 auf der Landesliste zur Bundestagswahl beim Landesverband Bayern der Piratenpartei auf twitter verbreitet. Und wieder einmal muss ich mich fragen: "Wovon reden die?"
Unter dem Titiel "Das Recht auf Vergessen werden" lässt Andi Popp sich über das - seiner Meinung nach - "Märchen vom digitalen Radiergummi" aus und dann denkt er wohl er schreibt, was man denn so tun sollte.
Ich habe mir einige Passagen herausgegriffen:
Ich kann mich schon fast überall mit meinem Facebook- oder Google-Account anmelden und wer weiß schon noch, auf wie vielen Seiten er damit erscheint?
Was will er uns damit sagen? Abgesehen davon, dass der Satz an sich für mich schon keinen Sinn macht.
Dass man - ähnlich OpenID oder OAuth - einen der Dienste als Identitätsprovider verwenden kann ist prinzipiell ersteinmal kein Problem. Alles was passiert ist dass man sich über ein Verfahren - ohne dass man ein weiteres Passwort braucht - auf einer Website anmelden kann. Der Anbieter der Website sagt "Wenn Du Dich bei Facebook oder Google oder Twitter erfolgreich anmelden kannst und mir Deine ID (nicht das Passwort!!) gibst, dann kann ich Dich eindeutig identifizieren und dann vertraue ich Dir in gewisser Weise". Da ist noch nicht viel passiert, außer dass man selbst nicht noch ein weiteres Passwort verwalten muss.
Wenn dabei OAuth im Spiel ist, man also eine App authorisiert auf bestimmte Daten beim Identitätsprovider zuzugreifen, geht die Rechtevergabe etwas weiter. Aber genau deswegen gibt es OAuth, um das zu steuern. Darüberhinaus kann man jederzeit einsehen welche Apps man autorisiert hat und das jederzeit abstellen:
Schaltet man dort eine "App" ab, hat sie keinen Zugriff mehr auf die Accountdaten.
So einfach ist das und man hat jederzeit den kompletten Überblick, weil die App beim Identitätsprovider registriert sein muss, damit das überhaupt funktioniert. Man hat also immer eine vollständige Liste. Also ich finde das super übersichtlich.
Sollte er mit seiner Aussage meinen, dass durch die ganzen unsäglichen Social Buttons, wie von Facebook, G+, Twitter, reddit, ... die Benutzer transparent für die Dienste werden, weil die Dienste durch den permanenten Abruf ihrer Code-Schnipsel bei anderen Sites die Spur der ohnehin permanent angemeldeten Benutzer verfolgen können, so ist das genau einer der Punkte, den die Datenschützer massiv kritisieren und der ganz klar nicht konform zum BSDG ist. Hier liegt das Vergehen aber primär an den Betreiber der Sites, die diese Code-Schnipsel einbinden, denn sobald die Seite geladen wird, ist das Kind schon in den Brunnen gefallen. Dann hat der Website-Betreiber nämlich den Webbrowser veranlasst, die Daten unerlaubt an Dritte weiterzugeben.
Doch weiter im Text:
Ein vernünftiger Ansatz muss daher darauf abzielen, den Menschen die Möglichkeiten zu geben, die Veröffentlichung sensibler Daten von vornherein zu verhindern.
Das BSDG, das TKG und auch das TMG sind voll von Vorschriften um genau das zu erreichen.
Dazu kommen wir gleich im Detail.
Das beginnt bei einer gesetzlich gebotenen Datensparsamkeit. Es dürfen tatsächlich nur die Daten verlangt werden, die für einen Dienst wirklich benötigt werden. Wenn ein Webshop etwa das Geburtsdatum einer Person verlangt, dann ist das nicht in Ordnung.
Aha, er will also dass Datensparsamkeit im Gesetz verankert wird. Das ist eine gute Idee und weil es eine gute Idee ist:
BDSG § 3a Datenvermeidung und Datensparsamkeit
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.
TMG § 14 Bestandsdaten
(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind (Bestandsdaten).
Wenn also ein Betreiber "Daten sammelt" und jemand meint, das sei unverhältnismässig, darf er sich gerne an die zuständige Datenschutzbehörde wenden. In Bayern ist das für den nicht-öffentlichen Bereich das Bayerische Landesamt für Datenschutzaufsicht.
Zu der seiner Meinung nach unverhältnismässigen Erhebung von Geburtsdaten bei einem Webshop ist zu sagen, dass es nicht unverhältnismässig ist. Zum einen gibt es Artikel, die nur Personen bestimmter Altersgruppen zugänglich gemacht werden dürfen. Zum anderen ergeben sich für den Betreiber des Webshops aufgrund von beschränkter Geschäftsfähigkeit Risiken, die er durchaus mindern darf. Niemand wird einem 10jährigen Kind in einem Geschäft für Unterhaltungselektronik einen Fernseher für 500 € verkaufen, selbst wenn das Kind das Geld bar dabei hat. Wenn allerdings der Jupiter-Markt meinen Familienstand wissen will, dann geht ihn das wirklich nichts an, aber dafür gibt es eine gesetzliche Regelung (siehe oben).
Aber man muss diese Idee weiter ausbauen, zu einem gesetzlich garantierten Recht auf Anonymität.
Es gibt einen Beschluss des Ersten Senats des Bunderverfassungsgerichts vom 24. Januar 2012 - 1 BvR 1299/05. Das Ergebnis ist, es gibt kein Recht auf anonyme Kommunikation, denn
"Die hiermit erstrebte Verbesserung staatlicher Aufgabenwahrnehmung insbesondere im Bereich der Strafverfolgung, der Gefahrenabwehr und der nachrichtendienstlichen Tätigkeiten ist ein legitimer Zweck, der einen Eingriff in das Recht auf informationelle Selbstbestimmung grundsätzlich rechtfertigen kann."
Das Urteil ist auf einige Punkte des TKG zugeschnitten. Andre Meister schreibt dazu bei netzpolitik.org "Bundesverfassungsgericht urteilt: Es gibt kein Recht auf anonyme Kommunikation".
Abgesehen davon legt der Gesetzgeber durchaus Wert darauf, dass Dienste anonym oder zumindest pseudonym genutzt werden können:
TMG § 13 Pflichten des Diensteanbieters
(6) Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.
Das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat am 14. Dezember 2012 eine Anordnung gegen Facebook mit Androhung eines Zwangsgeldes in Höhe von 20.000 Euro erlassen, weil Facebook genau dieser gesetzlichen Regelung nicht nachkommt und im Gegenteil seine Benutzer zwingen will Anonymität oder Pseudonymität aufzugeben.
Völlig egal, welche Regeln wir für Datenschutz im Netz und kommerzielle Webdienste etablieren, sie helfen alle nichts, wenn der Staat seine Datensammelwut nicht einschränkt. Es nützt nichts Facebook das Datensammeln zu verbieten, wenn bei jedem aufgeregten Kommentar sofort der Anschlussinhaber der IP-Adresse ermittelt wird.
Jetzt bin ich vollends verwirrt.
Der Staat sammelt IP-Adressen bei Kommentaren irgendwo, um den Anschlusssinhaber zu ermitteln? Wie er das wohl zB. bei meinem Blog macht?
Eben! Das macht er gar nicht. Was für ein Stuss.
Also nicht der Staat sammelt, sondern die Website-Betreiber oder besser gesagt die Anbieter von Telemediendiensten. Müssen sie aber nicht. Wenn sie jedoch anderen Menschen ein Forum bieten und diese Beleidigungen einstellen (also das was Andi Popp als "aufgeregte Kommentare" bezeichnet), dann kommen bei einer Anzeige klarerweise die Ermittlungsbehörden und wollen wissen wer das war. Das ist meiner Meinung nach völlig legitim. Das bedeutet auch nicht, dass der Staat speichert oder gar wütend sammelt, sondern dass der Staat seiner Aufgabe nachkommt bei Straftaten zu ermitteln und für Recht zu sorgen.
Sollte er auf die Massenabmahnungen wegen illegaler Verwendung von Tauschbörsen abzielen, so muss klar sein, dass kein Anbieter von Telemediendiensten die IP-Adressen speichert, sondern diese für jeden anderen Teilnehmer an der Tauschbörse sichtbar ist, denn er will ja kommunizieren. Hier ist das Problem aber nicht die Speicherung, sondern die Illegalität der Handlung, wofür eine Lösung gefunden werden muss.
Und jetzt kommt mein Lieblingssatz:
Auch hier muss es ein Recht auf Anonymität geben, wenn auch natürlich kein absolutes.
Aha, ein Recht auf Anonymität also, aber kein absolutes. Was ist denn ein un-absolutes Recht auf Anonymität?
Die Antwort auf diese Frage lässt Andi Popp aber offen, wahrscheinlich weiss er selbst keine. Dabei wäre das doch gerade der interessanteste Punkt an dem ganzen Artikel. Welche Gründe hält er für legitim genug die Anonymität zu beenden?
Ich habe vor vier Jahren die Piraten gewählt, weil ich die Themen, die sie ansprachen, wichtig fand. Es war an der Zeit diese Themen ins Licht zu zerren, sie zu diskutieren und Weichen für die Zukunft zu stellen.
Ich werde die Piraten nicht wieder wählen, weil sie ein Haufen planloser Chaoten sind und das Blog-Posting von Andi Popp belegt das ein weiteres Mal sehr eindrucksvoll.
Am 01.09.2012 ist eine neue Vorschrift in Kraft getreten, § 40 Abs. 1a des Lebensmittel- und Futtermittelgesetzbuchs.
Der Paragraf 40 LFGB hat die Information der Öffentlichkeit zum Gegenstand. Die Öffentlichkeit soll informiert werden, wenn Lebens- oder Futtermittel nicht ordentlich produziert werden und die Information der Öffentlichkeit der Gefahrenabwehr dient. Dabei sollen das Lebens- bzw. Futtermittel benannt werden, sowie der Hersteller.
Satz 2 enthält eine Liste mit fünf Punkten, in welchen Fällen die Öffentlichkeit darüberhinaus entsprechend informiert werden soll und unter Punkt 4 kann man lesen:
4. ein nicht gesundheitsschädliches, aber zum Verzehr ungeeignetes, insbesondere ekelerregendes Lebensmittel in nicht unerheblicher Menge in den Verkehr gelangt oder gelangt ist oder wenn ein solches Lebensmittel wegen seiner Eigenart zwar nur in geringen Mengen, aber über einen längeren Zeitraum in den Verkehr gelangt ist,
Die neue Vorschrift des Absatz 1a lautet:
(1a) Die zuständige Behörde informiert die Öffentlichkeit unter Nennung der Bezeichnung des Lebensmittels oder Futtermittels sowie unter Nennung des Lebensmittel- oder Futtermittelunternehmens, unter dessen Namen oder Firma das Lebensmittel oder Futtermittel hergestellt oder behandelt oder in den Verkehr gelangt ist, wenn der durch Tatsachen, im Falle von Proben nach § 39 Absatz 1 Satz 2 auf der Grundlage mindestens zweier unabhängiger Untersuchungen von Stellen nach Artikel 12 Absatz 2 der Verordnung (EG) Nr. 882/2004, hinreichend begründete Verdacht besteht, dass
- in Vorschriften im Anwendungsbereich dieses Gesetzes festgelegte zulässige Grenzwerte, Höchstgehalte oder Höchstmengen überschritten wurden oder
- gegen sonstige Vorschriften im Anwendungsbereich dieses Gesetzes, die dem Schutz der Verbraucherinnen und Verbraucher vor Gesundheitsgefährdungen oder vor Täuschung oder der Einhaltung hygienischer Anforderungen dienen, in nicht nur unerheblichem Ausmaß oder wiederholt verstoßen worden ist und die Verhängung eines Bußgeldes von mindestens dreihundertfünfzig Euro zu erwarten ist.
Das Bayerische Landesamt für Gesundheit und Lebensmittelsicherheit betreibt im Rahmen der Umsetzung der Vorschrift eine »Liste der Verstöße gegen das Lebensmittel- und Futtermittelrecht nach § 40 Abs. 1a LFGB« anhand derer man sich tagesaktuell über Verstöße oder Mängelbeseitigungen informieren kann.
Eine solche »Gesetzliche Verbraucherinformationen gemäß Â§ 40 Absatz 1a des Lebensmittel- und Futtermittelgesetzbuchs« gibt es auch vom Ministerium für Ländlichen Raum und Verbraucherschutz Baden-Württemberg. In dieser Liste werden - neben derer anderer Städten und Gemeinden - auch die Ergebnisse der Überprüfungen der Stadt Pforzheim veröffentlicht.
Gegen diese Veröffentlichung hat nun ein Pforzheimer Gaststättenbetreiber geklagt, der aufgrund mangelnder Hygiene auf der Liste gelandet war, der aber nicht, und schon gar nicht mit Namen und Adresse genannt werden will.
[Update: Link zum Beschluss eingefügt]
Mit Beschluss vom 07.11.2012, 2 K 2430/12 hat der Gaststättenbetreiber vor der zweiten Kammer des VG Karlsruhe "gewonnen". Eine Kurzfassung der Urteilsbegründung findet sich in der Pressemitteilung »Pforzheim: Stadt darf über Hygienemängel in einer Gaststätte nicht im Internet informieren« vom 13.11.2012. Darin heisst es unter anderem:
Es bestünden aber - so das Verwaltungsgericht - erhebliche Zweifel, ob § 40 Abs. 1a Lebensmittel- und Futtermittelgesetzbuch die Behörde auch dazu ermächtige und verpflichte, die Öffentlichkeit über Mängel bei der Hygiene eines Gaststättenbetriebs zu informieren. Der Wortlaut des Gesetzes spreche dafür, dass die Behörde nur zur Herausgabe einer sogenannten Produktwarnung ermächtigt werde, also zur Information über ein konkretes Lebensmittel, das unter Verstoß gegen lebensmittelrechtliche Vorschriften hergestellt, behandelt oder in den Verkehr gelangt sei. Dass die Vorschrift über ihren Wortlaut hinaus die Pflicht der Behörden begründe, die Öffentlichkeit generell über hygienische Mängel in Betrieben zu informieren, die Lebensmittel verarbeiteten und/oder in den Verkehr brächten, lasse sich auch der amtlichen Begründung des Gesetzes nicht entnehmen.
Jetzt lesen wir obige zwei Zitate aus dem Gesetzestext noch einmal durch. Wenn aufgrund hygienischer Mängel (und damit Verstoß gegen lebensmittelrechtliche Vorschriften) alle Lebensmittel (sollen die Kontrolleure die komplette Speisenkarte einstellen?) zum Verzehr ungeeignet hergestellt werden, ist das im höchstem Maße ekelerregend. Und ganz sicher passiert so etwas nicht zufällig einmal für 5 Minuten, sondern die nicht zum Verzehr geeigneten Lebensmittel sind über einen längeren Zeitraum (Tage, Wochen) in den Verkehr gelangt.
Wie man also auf die absurde Idee kommen kann, dass entsprechend § 40 Abs. 1a LFGB keine Zulässigkeit besteht die Öffentlichkeit zu informieren, sondern dass sogar das Interesse des Betreibers der Nichtveröffentlichung überwiegend sei, verstehe ich als Verbraucher in keinster Weise und ich muss mich wirklich fragen, was in den Köpfen der Richter vorgeht.
Man kann sich jetzt natürlich auf den Standpunkt stellen, dass die Mängel mittlerweile beseitigt sind, keine Gefahr mehr besteht und ein fortbestehender Eintrag in der Liste einem Pranger gleich käme. Dagegen steht, dass es sich nicht um eine Person, sondern um einen Wirtschaftsbetrieb handelt, für den keine Persönlichkeitsrechte gelten und dass die Lebensmittel vorsätzlich unter unhygienischen Umständen zubereitet wurden - und ohne Beanstandung durch die Kontrolleure wohl auch noch würden - und der Betreiber vorsätzlich gesundheitliche Schäden seiner Gäste billigend in Kauf genommen hat. § 40 Abs. 1a Satz 2 LFGB ist damit mehr als hinreichend erfüllt.
Normalerweise suche ich für jeden Beitrag ein passendes Bild, das erspare ich uns diesmal.
DNS is a core technology of the Internet since 1987, when P. Mockapetris published RFC 1024: "Domain Names - Concepts and Facilities". DNS-Servers all over the Internet translate names to addresses, serve Mail eXchanger information, LOCation data and - amongst others - since 2000 there is RFC 2782: "A DNS RR for specifying the location of services (DNS SRV)".
In February 2010 Facebook opened up their WebChat via XMPP so you can have it in your instant messaging client. XMPP uses DNS SRV RRs to find servers. If your XMPP account is joe@im.example.com (yes, it looks like an email address) clients would query the DNS for a SRV RR of
_xmpp-client._tcp.im.example.com
and the answer would either be NXDOMAIN, if no such service / resource record exists or something like
_xmpp-client._tcp.im.example.com. 300 IN SRV 100 100 5222 chatserver.example.com.
The client would then connect to the host chatserver.example.com on port 5222. If no SRV records exists the client would try im.example.com as a host and the default port 5222.
Zillions of XMPP servers all over the Internet work that way.
Now let's take a look at Facebook. All chat addresses have the form user@chat.facebook.com (as mentioned on "Facebook Chat. Everywhere"). So, clients do a DNS SRV lookup for chat.facebook.com:
$ dig _xmpp-client._tcp.chat.facebook.com. srv ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34540 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0 ;; ANSWER SECTION: _xmpp-client._tcp.chat.facebook.com. 30 IN CNAME chat.facebook.com.
Woopsie! A NOERROR response with an answer type (CNAME) undefined for a SRV query. And it doesn't even make sense, either.
Using a different DNS cache server (BIND instead of djbdns) even gives:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 50544
I guess most clients can handle that, at least pidgin can. Nevertheless it is another example how Facebook is messing up their DNS and also their chat. And I thought it couldn't get worse as their XMPP server don't support SSL/TLS for secure communication.
★ Oh, for a pro! ★
Ein Tweet von Mario Sixtus, in dem es darum geht, dass das Urheberrecht mißbraucht wird, um Informationen zu unterdrücken, hat mich auf den Artikel "Loveparade-Gutachten: Die Sache mit den Fluchtwegen" verwiesen. Es scheint darum zu gehen, dass die Stadt Duisburg, unter Berufung auf das Urheberrecht, den Machern von xtranews.de verbietet irgendwelche Dokumente offenzulegen. Richtig, scheint, denn lesen kann ich es leider nicht:
Über die Gründe, Besucher zu zwingen zum Lesen eines Artikels Javascript anzuschalten, könnte ich bestenfalls spekulieren. Aber durch eine blödsinnige technische Maßnahme den Zugriff zu einem Artikel zu sperren, in dem man sich wohl über eine juristische Maßnahme einen anderen Artikel zu sperren echauffiert, ist einfach nur FAIL, und zwar sowas von.
★ Einmal mit Profis! ★
Der Abruf obiger Seite von xtranews.de bindet folgende externe Elemente ein und übermittelt damit den jeweiligen Anbietern Zugriffsdaten - wenn keine zusätzlichen Vorkehrungen getroffen wurden. Diese Daten sind die IP-Adresse, die Browserkennung, der URL obiger Seite im Referer, Datum und Uhrzeit und eventuell Cookies, die diese Sites vorher schon gesetzt haben.
Diese externen Anbieter sind (kein Anspruch auf Vollständigkeit):
Kürzlich bin ich bei einer Recherche über radabg.com / SiteAnalytics360 gestolpert. Die in Kiev (UA) beheimatete Firma schreibt über sich selbst:
The easiest way to learn more about safety of websites
Radabg.com offers free Security Advisory Widget. Widget tells visitors when website is safe and when it's not. If webmaster submit website sitemap widget will also check safety of outgoing links (especially usefull for websites with user generated content (UGC) - forums, blog comments, etc.)
Radabg.com is ranked #23,825 in the world according to the three-month Alexa traffic rankings. [...]
Das "Widget" ist natürlich wieder eines dieser unsäglichen Bilder, die man von der Site einbindet - zumindest kein Javascript.
Die Adressen der Bilder haben alle die Form
http://www.radabg.com/url/<host_domainname>/
also habe ich ein paar Sites ausprobiert um zu sehen, was der jeweilige Status ist. Und dann wurde es etwas skuril.
Das Erste, was mir aufgefallen war ist, dass alle Bilder den gleichen Zeitstempel tragen. In den Bildern steht neben dem Namen der Website "Last check: datum, uhrzeit" und diese Zeitangabe war für alle gleich. Ok, dachte ich mir, sie sammeln die Infos und dann gibt es einen job, der die Bilder anhand der gesammelten Daten rendert und da schreiben sie eben überall den gleichen Zeitstempel rein. Das ist natürlich sehr unsauber, weil niemand weiß, wann der letzte Check wirklich war. Zudem fehlt jegliche Angabe einer Zeitzone. Diese beiden Punkte machen die Zeitangabe komplett wertlos.
Bei weiterem rumprobieren bin ich dann auf eine Website einer Bekannten gestossen (siehe Bild rechts). Wie man sehen kann, haben sie diese Website (für meine Zeitzone ca. 2 Stunden) in der Zukunft überprüft und für vollkommen sicher befunden. Das eigentlich Tragische daran ist aber, dass es diese Website gar nicht (und zwar Wochen und Monate nicht mehr) gibt. Das hindert aber SiteAnalytics360 nicht daran, sie regelmäßig zu überprüfen und für sicher zu befinden.
Die Bewertung, was so eine Security Analysis und das zugehörige Site Seal wert sind, dürfte nun jeder selbst vornehmen können.
Doch das Problem ist viel breiter aufgehängt:
Soweit ich mich erinnere, haben die SSL-Zertifikatsverkäufer mit diesen sogenannten site seals angefangen. Die Anbieter verschaukeln damit ihre Kunden, indem sie ihnen suggerieren, dass damit die Website des Kunden "vertrauenswürdiger" wird. In Wahrheit ist es aber nur eine Marketingaktion, um kostenlos Werbung für ihren Firmennamen auf Websites von Kunden zu bekommen.
Eine Anfrage bei der Suchmaschine der Wahl fördert dann auch schnell eine (abgekürzte) Liste zu Tage:
und viele mehr ...
Warum das so ist erklärt keiner der Anbieter. Außer Marketinggefasel findet sich dazu nichts substanzielles, und das hat auch seinen Grund:
Solange diese Siegel nicht vom Browser selbst kommen sind sie vollkommen wertlos.
Dabei hat jeder Browser solche "Siegel". Als Beispiel liefert der Mozilla Firefox bei einem Klick auf den grün (starkes Zertifikat) oder blau (schwaches Zertifikat) hinterlegten Zertifikatsnamen in der Adreßleiste:
Natürlich hat jeder Zertifikatsverkäufer in irgendwelchen Klauseln stehen, dass man das Site Seal nicht mißbräuchlich verwenden darf, aber:
Was also passiert ist genau das Gegenteil von dem, was die SSL-Zertifikatsverkäufer suggerieren wollen:
Durch die Site Seals werden die Besucher in eine trügerische Sicherheit gewiegt. Sie werden davon abgehalten sich selbst anhand der Informationen, die ihnen ihr Browser liefert, ein reales Bild zu machen und im Zweifelsfall wird der Benutzer einem gefälschten Site Seal mehr Glauben schenken als der Warnung seines Browsers.
Hört also bitte - sowohl SSL-Zertifikatsverkäufer als auch Website-Betreiber - mit diesem Blödsinn auf.
★ Einmal mit Profis! ★