Schlagwort: datensicherheit

Einbettung von Drittinhalten im Web

Wambach, Tim, Schulte, Laura, Knorr, Konstantin (2016): Einbettung von Drittinhalten im Web. Datenschutz und Datensicherheit – DuD, 40(8), 523-527. URL: http://dx.doi.org/10.1007/s11623-016-0650-6

Abstract:

Einbettungen von Drittinhalten auf Webseiten ermöglichen aus technischer Sicht eine Benutzerverfolgung, die aus datenschutzrechtlichen Gründen kritisch zu beurteilen ist. In der vorliegenden Studie wurden Webseiten von Kliniken und Krankenhäusern auf solche Einbettungen und die damit verbundene Datenverarbeitung untersucht.

Leider sind die Autorinnen nicht nur um den Datenschutz besorgt, sondern auch darum, diesen interessanten Artikel vor einer allzu großen Leserschaft zu schützen. Ich vermute einen starken Zusammenhang zwischen der Resonanz bei den Lesern seit dem 22. Juli 2016 einerseits,

tpe49und andererseits dem Preisschild für alle, die nicht in den Genuss eines Zugangs via Hochschulnetz kommen: tpe_paywalled_science

Cloud-Leitfaden der DGF

Teil der Operation Frühjahrsputz 2014, in deren Verlauf angefangene und nie beendete Postings einfach so veröffentlicht werden.

Auch im wissenschaftlichen Bereich drängt sich damit die Frage auf, inwieweit Cloud-basierte Angebote eine Alternative oder Ergänzung zu den bisherigen IT-Lösungen darstellen. Daraus leiten sich Fragen an die Förder- und Finanzierungsmöglichkeiten von solchen Diensten ab, da hier ein Übergang von klassischen Investitionen und dem Betrieb von Geräten und Systemen zu einer Verrechnung von Dienstleistungen erfolgt. Die Nutzung von Cloud-Diensten birgt neben Vorteilen auch Risiken in Bezug auf Sicherheit, Datenschutz und Nachhaltigkeit. Daher ist eine intensivere Betrachtung dieser Angebote im Rahmen der wissenschaftlichen IT-Infrastruktur notwendig.

Siehe Mitteilung der DFG.

Wozu man Shortlinks nicht benutzen sollte!

Es wurde schon wiederholt erwähnt, nun aus aktuellem Anlass [1] Der aktuelle Anlass besteht aus Links aus etwa zwei Jahre alten Tweets, deren Ziel mir nur durch weitere Recherchen zugänglich war. noch einmal ganz explizit: Wozu man Shortlinks nicht benutzen sollte!

Shortlinks sind praktisch, wenn man sie in Medien nutzt, in denen man auf jedes Zeichen angewiesen ist. Prominentestes Beispiel ist natürlich Twitter. Dort hat man 140 Zeichen. Wenn man dort auf http://www.llanfairpwllgwyngyllgogerychwyrndrobwllllantysiliogogogoch.co.uk/ verweisen möchte, bleibt nicht mehr viel Platz, um die Qualität des dortigen Aufenthalts zu erläutern. Alles kein Problem, ab in den URL-Shortener.

Auch wenn man es sich nicht vorzustellen vermag: Sogar Webdienste sind vergänglich! Möchte man also in einem Blog, in einer Mailingliste, einem Forum oder in einem anderen Medium auf eine Webseite hinweisen, sollte man sich bei der Verwendung eines URL-Shorteners darüber klar sein, dass man seine Informationen auf wacklige Füße stellt.

Die Risiken sind längst bekannt, dennoch werden weiterhin Shortlinks auch an Stellen verwendet, wo sie einfach nichts zu suchen haben. Dass der längst eingestellte Dienst tr.im weiterhin von Spambots bei Twitter benutzt wird, ist irrelevant. Dass solche Dienste auch in Mailinglisten und Blogs (auch von “Information Professionals”, die es eigentlich besser wissen sollten) genutzt werden, ist äußerst nervig.

Wirklich bescheuert (und mir fällt wirklich kein schmeichelhafteres Wort dafür ein) ist jedoch die Verwendung von URL-Shortenern in Büchern und Zeitschriften. Beispiele gefällig?

Gab’s das schon einmal, dass das Literaturverzeichnis eines Buches durch den Aufkauf eines Start-Ups komplett wertlos werden kann?

Ein paar Links zu URL-Shortenern:
Techcrunch: URL Shorteners Slow Down The Web – Especially Facebook’s FB.me
Hilary Mason: A Data-driven Look at the Realtime Web
David Weiss: The Security Implications of URL Shortening Services
Alexander Neumann, Johannes Barnickel, Ulrike Meyer: Security and Privacy Implications of URL Shortening Services

Zum Datenschutz-Aspekt aus dem Paper von Neumann, Barnickel und Meyer, S. 5:

A shortening service can extract much data from the request for shortened URLs. This data includes the requested URL, time of request, requesting browser version, HTTP referrer, and the IP address of the user’s machine. The latter allows for discovering different Internet connections of a user and often also the user’s physical location using a Geo IP database.

In addition, like other web servers, many shortening services set a unique cookie in the user’s browser. The browser then transmit the cookie to the service every time a short URL is requested. While identifying users is not necessary for the shortening service to function, setting a unique cookie enables the service to track the user without much effort. When the validity period of the unique cookie is long enough, the service can over time build a history of accessed URLs and mine interesting data.

Medienkompetenz beinhaltet nicht nur die Fähigkeit, Dienste nutzen zu können. Sondern auch das Wissen darüber, wann man dieselben Dienste nicht nutzen sollte.

References

References
1 Der aktuelle Anlass besteht aus Links aus etwa zwei Jahre alten Tweets, deren Ziel mir nur durch weitere Recherchen zugänglich war.

Google Video wird geschlossen

Wenn man sich auf Google verlässt, dann ist man verlassen. Google Video wird kurzerhand eingestellt. In der zugehörigen Hilfefunktion heißt es:

Uploaded video content no longer available
On April 29, 2011 videos that have been uploaded to Google Video will no longer be available for playback. We’ve added a Download button to the Video Status new window page, so you can download videos that you want to save. If you don’t want to download your videos, you don’t need to do anything. (The Download feature will be disabled after May 13, 2011.)

Wieder einmal ein Beispiel dafür, wie Google eine Dienstleistung innerhalb kürzester Zeit abschaltet. Wer sich auf Google verlassen hat, um z.B. historische Videos zu archivieren, erfährt hoffentlich schnell genug von der Schließung und hat auch noch die Original-Files vorliegen. Das Archive-Team versucht, alle Videos zu sichern und ist dabei auf der Suche nach Unterstützung. Mehr Infos gibt’s im dortigen Wiki.

Dies ist übrigens auch ein deutlicher Hinweis darauf, warum Shortlinks nichts in Mailinglisten oder Blogpostings zu suchen haben. Einzelne Postings würden durch ein Abschalten entwertet, in Mailinglisten beträfe es teils ganze Threads.

[via Archivalia]

Kein "digitales Radiergummi" in Bibliotheken

Drei gebrauchte Radiergummis, CC: BY-SA von Xjaja
Drei gebrauchte Radiergummis, CC: BY-SA von Xjaja

Die Bundesministerin für Ernährung, Landwirtschaft und Verbraucherschutz Ilse Aigner sagte im Interview mit der Süddeutschen Zeitung:

Deutsche Informatiker haben mittlerweile eine Art digitalen Radiergummi entwickelt: ein System, mit dem jeder seine Dateien und Bilder mit einem Verfallsdatum versehen kann, bevor er sie ins Internet stellt. Nach Ablauf dieser Frist kann die Datei nicht mehr aufgerufen werden. Wenn es funktioniert, käme das einem Radiergummi doch sehr nahe und ließe sich auch weltweit verkaufen.

Konkret meint sie dabei das Projekt X-Pire. Das Verfahren ist so umständlich, dass es sich ohnehin nicht durchsetzen wird. Darüber hinaus finden sich bei Isotopp weitere Informationen, warum X-Pire mehr Schaden als Nutzen anrichten kann. Selbst wenn die Datenschutzaspekte wegfallen, bleibt ein wesentlicher Kritikpunkt. Das System sieht vor, Bilder zu verschlüsseln und den Schlüssel auf einem zentralen Server zu hinterlegen. Dazu Kristian Köhntopp:

Ist der Keyserver down oder nicht erreichbar, sind alle Bilddaten dieses Systems nicht mehr verfügbar.

Wer denkt, das wäre doch sehr unwahrscheinlich, möge sich bitte über Sony Connect und andere fehlgeschlagene DRM-Konzepte mit zentralisierter Infrastruktur informieren. Das Fazit kann nur sein, dass Bibliotheken und Archive die Annahme von Dokumenten mit solchen Mechanismen verweigern, da eine zuverlässige Archivierung nicht möglich ist.