« Vernetzung optimieren - den Long Tail nicht vergessen | Start | Geschlecht oder Altersgruppe von Website-Besuchern auslesen »

06. Mai 08

Website-Besucher persönlich identifizieren - xing machts möglich

Schon immer mal gerne gewusst, welche Personen - namentlich genannt - auf Ihrer Website herumsurfen? So im Stile von "Schau an, der Peter Meier war auch hier." und "Oh, die Franziska Müller hat sich für meine Website interessiert!"? Das ist eigentlich im Internet nicht möglich, würde man meinen. Ganz sicher ist es für Web Analytics Optimierungen nicht relevant, sondern eher in die Kategorie Spitzeleien einzuordnen.

Trotzdem: Möglich ist es teilweise, und zwar über ein, naja, nicht ein Sicherheitsloch sondern über ein systematisches Privacy-Problem bei Xing.com. Dieses erlaubt es, die Besucher einer Website eindeutig zu identifizeren, falls sie einen Xing-Account haben und sich automatisch dort einloggen lassen. Dies dürfte bei einem beträchtlichen Teil der Xing-Nutzer der Fall sein, also Spitzel aufgepasst.

Und folgendermassen funktionierts:

  • Xing-Nutzer, welche bei Aufruf von xing.com automatisch auf ihre personalisierte Homepage kommen, werden vom Browser direkt bei Xing eingeloggt (Erkennung via Cookie)
  • Ein Xing-Nutzer, der das Profil eines anderen Xing-Nutzers betrachtet, erscheint bei diesem namentlich in der Besuchshistorie ("Herr XY hat mein Profil angeschaut")
  • Das Leck ist nun folgendes: Wenn ich mein eigens Xing-Profil als Iframe in meine Website einbaue, dann loggt sich jeder Besucher automatisch bei Xing ein und führt einen Aufruf auf mein Profil aus.
  • Der Besucher erscheint anschliessend namentlich in der Xing-Historie meines Accounts. Folglich weiss ich, welche namentlich genannte Person auf meiner Website war
  • Wenn ich nun den Iframe noch auf eine grösse von 1x1px verkleinere, merkt der Besucher nichts von seinem Fingerabdruck

Iframexing

Soviel zur Anonymität im Internet. Liebe Xing, ist das gut so? Was sagt der Datenschutz dazu, wo doch nach heutiger Rechtsprechung schon IP-Adressen als personenbezogene Daten gelten sollen...

Für alle die sich selbst davon schützen und anonym bleiben möchten: Automatischer Login bei Xing deaktivieren, dann besteht das Problem nicht. Für alle Website-Spitzel: Happy tracking...

Update 27.05.09: Xing hat als Reaktion auf diesen Post einen sogenannten Framebreaker installiert (siehe Xing-Blog), so dass das ganze gemäss obigem Beschrieb nicht mehr funktionieren sollte. Ziemlich schnelle Reaktion, Bravo. - Ich bin mir allerdings noch nicht sicher, ob das wirklich so funktioniert wie gedacht.

Update 28.05.09: Wie befürchtet lässt sich der Framebreaker relativ einfach mit einem DIV und etwas mehr als einem Dutzend zusätzlichen Zeichen CSS aushebeln (auf die genaue Anleitung sei hier verzichtet - mit wenig HTML- und CSS-Verständnis kommt aber jeder darauf). Fazit: Schnelle Reaktion von Xing auf den konkreten Issue, aber leider das Problem noch nicht abschliessend technisch gelöst. Um den Issue wirklich zu beseitigen, müsste Xing wohl einen Button auf der Login-Seite einbauen, den ein User kurz anklicken müsste (wie's Google z.B. macht bei Google Analytics bzw. dem Account-Login) - oder beim Framebreaker zumindest auf die Prüfung der Frame-Grösse verzichten.

TrackBack

TrackBack-Adresse für diesen Eintrag:
http://www.typepad.com/services/trackback/6a00e550582223883300e5522a11be8834

Listed below are links to weblogs that reference Website-Besucher persönlich identifizieren - xing machts möglich:

Kommentare

Feed You can follow this conversation by subscribing to the comment feed for this post.

Naja. Da man nicht tracken kann, ob der User direkt ueber XING auf mein Profil kam, oder ueber meine Webseite, ist es eher schwierig. Und das klappt ja nicht nur bei XING, sondern auch bei anderen sozialen Netzwerken, die solche Listen anbieten. Bei StudiVZ etc. kann man es abschalten, geht glaube ich bei XING nicht, oder?

Wenn jemand Xing-intern auf einen Link klickt oder eine Suche ausführt, dann wird dies als Aktion in der Besuchsliste angegeben. Wenn nichts steht, dann ist eine Direktverlinkung von ausserhalb von Xing erfolgt, z.B. über den IFrame. Es lässt sich also schon so ungefähr eruieren, welche Besucher in der Xing-Liste eine Website besucht haben.

Der Punkt ist aber auch nicht, wie genau es möglich ist, die Besucher zu identifizieren, sondern dass es überhaupt möglich ist. Das ist nämlich aus datenschutzrechtlichen Überlegungen ohne Genehmigung des betroffenen Users illegal - d.h. irgendjemand (Xing oder der Implementierer des IFrames) macht sich wohl strafbar. Bei solchen Möglichkeiten ist es für mich fast lächerlich, dass heute Gerichte darüber streiten, ob eine IP-Adresse eines Besuchers ein personenbezogenes Datum ist oder nicht und ob dessen Speicherung (z.B. in Google Analytics) illegal ist...

Das Problem wie bei Xing aufgezeigt besteht wahrscheinlich auch bei anderen Sozialen Netzen, sofern folgende drei Voraussetzungen gegeben sind:
-Ein Benutzer hinterlegt in einem Profil seine persönliche Daten
-Es gibt eine Besucherliste, bei dem ein Nutzer nachvollziehen kann welche andere Nutzer sein Profil besucht haben
-Die Plattform bietet ein "Auto-Login" an, bei welchem Nutzer automatisch eingeloggt werden.

So genau kann ich die Aufregung nicht verstehen. Wie kann man das als ein Sicherheitsleck bezeichnen, wobei es sich hier lediglich um einen einfachen Trick handelt? Vergleichbar mit Cookie Spreading bei Affiliate Programmen. Auch sagt es nichts darüber aus, ob jemand tatsächlich über die Website gekommen ist oder über Xing direkt...

Das ist einfach eine gute, kreative Idee :)
Mal sehen, ob sich XING dafür interessiert oder nicht.

Schnell mal bei google.de im Quellcode schauen ob die sich nicht auch dieser Daten bedienen. Ich frag mich gerade wie illegal das wirklich ist.

Ich will jetzt kein Spielverderber sein, aber ich halte die Anwendung des Tricks datenschutztechnisch als äußerst fragwürdig... Aber verlockend ist es natürlich :)

@David: Gemäss Datenschutzgesetzen ist es nicht erlaubt, persönliche Informationen zum Verhalten einer Person zu speichern, ohne deren Einwilligung dazu. Der persönliche Registrierung eines Besuch irgendeiner Website im Internet wär wahrscheinlich so eine Speicherung - wobei dies sicher mal ein Jurist genauer erläutern sollte

@Twinstar & Tocki: Nach meiner Rechtsauffassung ist dies illegal (entweder durch Xing oder den IFrame-Einbinder) oder zumindest sehr hart an der Grenze. Aber wie gesagt, ich bin auch kein Jurist...

Naja, es gäbe eine einfache Möglichkeit für Xing das unattraktiv zu machen. Die müssten lediglich einen Frame-Killer auf ihrer Seite einbauen. Damit würde sich beim Laden des IFrames das Xing-Profil ÜBER die eigentliche Seite legen. Damit wäre es für den Webmaster, der das anwenden möchte uninteressant :-) (die Lücke wäre damit aber natürlich nicht geschlossen).

Man müsste allerdings noch prüfen ob das Inkludieren als Image oder Object nicht ebenfalls davon betroffen ist.

Ist das dann nicht einfach ein Aufruf der xing-Webseite, deren AGB und Nutzungsbedingungen die User ja zugestimmt haben?

@Carsten: Wenn sowas in den zugestimmten AGBs drin steht, dann wär Xing rechtlich wahrscheinlich tatsächlich raus (ich hab sie - wie wahrscheinlich jeder - nicht wirklich gelesen). Trotzdem nicht schön.

Hallo Marco Hassler, hallo liebe Kommentatoren,

vielen Dank für Ihre Beobachtungen und Ihr Feedback. Wie Carsten und Marco Hassler bereits vermutet haben, ist eine entsprechende versteckte iFrame-Verwendung durch XING nicht erwünscht und auch ein klarer Verstoß gegen unsere AGB und Datenschutzrichtlinien, denen jedes Mitglied zustimmen muss.

Daher bitten wir alle Mitglieder, die auf ein solches Vorgehen stoßen, sich per Kontaktformular oder mit der "Als Spam oder Missbrauch melden"-Funktion bei eingehenden Nachrichten an unser Community Management zu wenden. Wir werden auf die entsprechenden Mitglieder dann umgehend zugehen.

Wir werden den Sachverhalt weiter verfolgen - vielen Dank auch weiterhin für Ihr Feedback!

Beste Grüße,

Christian Burtchen
Technischer Redakteur, XING AG

@Christian: Vielen Dank für die promte Stellungnahme. Wärs denn nicht eine Idee, den Auto-Login rauszunehmen bzw. ein Access-Button dazwischenzuschalten? Die Login-Daten könnten so trotzdem im Cookie gespeichert werden, aber der User müsste zuerst eine Button-Interaktion ausüben womit die IFrame-Geschichte ausgehebelt wird. So eine Lösung macht meines Wissen z.B. Google: Unter http://www.google.com/analytics/ muss ich immer zuerst auf "Access Anlaytics" klicken, obwohl mich das Google-Cookie eigentlich erkennt

Hm, na wenigsten reagieren die bei XING darauf.

@Christian Burtchen:

AGB als Mittel zur Problemlösung? Gute Nacht!

Erinnert mich an diesen Fall:

http://blog.hogenkamp.com/2007/05/30/ticket2007053010005989-offizielle-verwarnung-von-xing/

Hallo erneut,

in unserem Corporate Blog gibt es jetzt ein Update zur Thematik inkl. unserer technischen Lösung: http://tr.im/myaT

Beste Grüße,

Christian Burtchen.

@Tocki So gesehen hast du natürlich Recht. Nur kann man in diesem Fall nicht darüber sprechen, dass personenbezogene Daten gespeichert werden.

Ich habe gerade auf meiner Homepage ein Iframe platziert (natürlich in voller Größe), in dem mein Profil aufgerufen wird und bat einen Freund meine Seite zu besuchen. Das Ergebnis war genauso wie ich es mir Vorgestellt habe. Keine Infos über Herkunft etc. Mann kann nicht unterscheiden, wo der Besucher herkommt. Insofern sehe ich die Problematik nicht.

Und nebenbei bemerkt: Wenn es mit Iframes nicht gehen sollte, gibt es noch weitere Möglichkeiten - PopUps, PopDowns usw.

Die von Xing gepostete "Lösung" ist ja eher ein Schnellschuss als dass sie verhält. Wenn man den Frame vergrößert und in einen versteckten Div packt, funktioniert's weiterhin: <div style='visibility:hidden;' <iframe src='https://www.xing.com/profile/xyz' height='600px' width='600px' scrolling='no' <>/iframe> <>/div>

Danke für diese informativen Beiträge.

Tolle Infos, was schon heutzutagemöglich ist, enorm!

Hallo aus Hamburg, ich bin die Jasmine und war heute Nacht ein wenig im Internet unterwegs. Da mir diese Seite sehr gut gefallen hat musste ich einfach einen Kommentar hinterlassen.
Gruss Jasmine.

Tolle Seite mit guten Informationen und hilfreichen Kommentaren.
Ich komme gerne wieder hier vorbei. Gruß Sandra aus Darmstadt.

Bin auf grund eines Tipps zu euch gekommen. Sehr interessante Infos. Danke dafür.

Finde ich sehr interessant. Wird gleich per Twitter geshared.

Die Kommentare dieses Eintrags sind geschlossen.


Über das Blog | Impressum | Nutzungsbedingungen | Ihren Besuch aufzeichnen [?]


Web Analyticson


Das Buch zum Blog:

  • Buch
    Details zum Buch Buch bei Amazon.de bestellen

Die App zum Blog:

  • iPhone App
    Download

Über den Autor

  • Marco Hassler ist Business Unit Manager und Partner beim IT- und Web-Dienstleister Namics.

    marco.hassler (at) gmail.com

Ethik Code

  • Web Analytics Association Code of Ethics

Twitter Updates

    Web Analytics Fotos

    Web Analytics Association

    • Web Analytics Association