Spy in Spreadfirefox-Theme (?!?)
Eingetragen von Q-Base (339)am 09.11.2006 - 01:46 Uhr in
Hallo,
ich wollte nicht Spyware schreiben, weil ich nicht weiß, ob es beabsichtigt ist.
Ich benutze das Theme 'spreadfirefox'. Letztens habe ich bemerkt, dass mein Browser ewig nicht fertig wird, die Seite vollständig runterzuladen.
Ich habe dann in den HTML-Quellcode geschaut und ein Image-Tag gefunden, dass von http://www.gravatar.com ein Bild runterladen wollte.
Das konnte ich mir schon nicht erklären, wie das kommt.
Also habe ich geforscht, wo das IMG-Tag herkommt. Es kam aus dem Theme und bindet im comment.tpl.php einen Code ein.
<?php
$name = $comment->name;
$gravatar_url = "http://www.gravatar.com/avatar.php?gravatar_id=". ((!$comment->uid) ? md5($comment->mail) : md5("gravatar@example.com")) ."&size=32";
?> <div class="gravatar">
<img src="/<?php print $gravatar_url ?>" alt="<?php print $name ?>" />
</div>Also habe ich in die README und die LICENCE vom Theme geschaut. Dort steht nichts davon drin, dass von einem Drittanbieter von ein Dienst genutzt werden soll/kann/darf.
Ich möchte keine Panik verbreiten, aber dieser Code eigenet sich prima dafür, Personen zu tracken. Das ist so, als hätte man Google Syndicates auf seiner Webseite installiert. Nur ich wusste leider nicht, dass ich sowas haben wollte.
Worin besteht das Problem?
Ganz einfach, anhand von md5($comment->mail) kann man genau feststellen, von wem man gerade ein Comment liest. Im Allgemeinen kann man eine gültige Email-Adresse genau einer Person zuordnen. Anhand des Referrers kann der Dienstleister auch sehen, wo das das Comment gelesen wurde. Und anhand des Cookies beim Nutzer kann der Dienstleister über mehrere Webseiten hinweg beobachten, wo sich der Nutzer überall rumtreibt.
Wie gesagt, das wäre nicht das Problem, wenn es in der README oder LICENCE erwähnt würde. Da es das aber nicht ist, möchte ich an dieser Stelle darauf aufmerksam machen. Nun kann jeder für dich entscheiden, ob er den Code aus seinem Theme spreadfirefox in der Datei 'comment.tpl.php' verbannt oder nicht.
In der aktuellen Version auf dem Server, ist das comment-Template noch auf diese Weise angepasst. Ich weiß nicht wer die Code-Zeilen dort abgelegt, vielleicht ist es ja so vom Urheber gewollt.
Einem der Autoren habe ich eben auch per Mail gefragt. Mal sehn, was bei rauskommt.
Ciao, Q-Base
- Anmelden oder Registrieren um Kommentare zu schreiben
Spy oder nicht Spy, das ist hier die Frage
am 09.11.2006 - 09:39 Uhr
Nun, der Service Gravatar an sich ist mE. kein Spionage Betrieb.
Hattest Du Dir Gravatar mal angesehen? Die bieten den Service, das angelegte Benutzer ein Avatar hinterlegen und diesem eine eMail-Adresse zuordnen können. Wenn nun ein Webseitenbetreiber seine Gästebuch-, Foren oder Kommentarfunktion um diesen Gravatarlink erweitert, dann wird bei einem entsprechenden Eintrag eines Gravatarnutzers, sein Avatar angezeigt.
Das sieht man bei vielen Blogs und ist, wie ich finde, eine tolle Sache.
Ich denke aber, dass der entsprechende Code nicht stillschweigend im Theme drinstecken, sonder per Modul implemetiert sein sollte.
Natürlich kann Gravatar durch seine Logeinträge diverse Dinge rauslesen und könnte, unterstellt man böses, eine Quasispionage betreiben aber sind wir mal ehrlich, wer nutzt keine Google Analatics und da steckt ein ganz anderes Gefahrenpotential dahinter - aber das ist ein anderes Thema.
Gruß, Frank
Re: Spy oder nicht Spy, das ist hier die Frage
am 09.11.2006 - 10:20 Uhr
Ich denke aber, dass der entsprechende Code nicht stillschweigend im Theme drinstecken, sonder per Modul implemetiert sein sollte.
Ja, das wollte ich so auch ausdrücken. Ich wollte aber zugleich begründen, warum es auf diese Weise 'gefährlich' ist.
Zu der Frage, wer Google Analytics nicht nutzt -> ich ;-)
Das ist aber ein anderes Thema. Ich denke, Aufklärung ist immernoch der beste Beweis der Ehrlichkeit. Dann kann jeder selbst entscheiden, ob er paranoid reagieren will oder den Service nutzt. Mir ist aber zunächst alles suspekt, was man vor mir verstecken will und ich wüsste schon gerne, was auf meiner Webseite und meinem Rechner passiert.
Nur zur kurzen Erklärung. Ich habe mich zwei Jahre lang beruflich mit dem Thema Tracking beschäftigt. Auch ohne Cookies gibt es schon genug Möglichkeiten, Nutzer einwandfrei zu identifizieren. Die Rechner sind schnell genug und die Auswertungsalgorithmen sind ausgefeilt. Allerdings kann man ohne Cookies kein site-übergreifendes Tracking machen.
Ciao, Q
Ciao, Q
---
Running Gag der IT seit den 70er: "Machen wir eben mal schnell ...".
Re: Spy in Spreadfirefox-Theme (?!?)
am 11.11.2006 - 12:05 Uhr
Ich habe die Antwort eines Autoren bekommen. Lest selbst:
This was a feature used on the spreadfirefox site (the original theme) but i think that it is wise to remove it in the drupal spreadfirefox theme. i will do so.
MM
Ciao, Q
Ciao, Q
---
Running Gag der IT seit den 70er: "Machen wir eben mal schnell ...".