Goldseiten - Quo vadis?

Wenn ich oben von GA als einem "zahlenden Spionagedienst" schrieb, dann ist das so zu verstehen, dass die Gegenleistung nicht monetärer Art ist, sondern in Form von Bewegungsprofilen an den Betreiber geleistet wird. Diese Bewegungsprofile werden kostenlos als Gegenleistung für das Verankern des GA-Tracking-Codes im Main-Template der jeweiligen Website zur Verfügung gestellt.

Das Script soll nach GA-Anweisung vom Betreiber unmittelbar vor dem </body>-Tag des Templates eingefügt werden, was im Übrigen eklatant gegen die Regeln des W3C verstößt.

Der Effekt ist nun, dass template-basierte Forensoftware, wie z.B. das Woltlab-Forum (auf dem wiederum das GSF basiert), damit auch den PN-Bereich zur Ausspähung freigibt. M.E. eine höchst bedenkliche Verfahrensweise des Betreibers, wenn man den Sinn und Zweck des Forums in Anbetracht zieht.

Wer GA nicht blockt (z.B über Firefox-Addons wie Adblock, NoScript etc.), muss sich bewußt sein, dass nicht nur seine Bewegungen aufgezeichnet werden, sondern dass auch der Inhalt von PNs zu Google übertragen wird. (*)

Der Forenbetreiber könnte leicht Abhilfe schaffen, indem er ein separates Template für PNs verwendet, das NICHT vom Main-Template eingebunden wird und in dem KEIN Tracking-Code enthalten ist.

Ich kann nur jedem raten hier nicht ohne GA-Tracking-Blocker unterwegs zu sein. Denn ... Google vergißt nie!

(*) Wer's nicht glaubt, der öffne eine beliebige PN und lasse sich den Quellcode vom Browser anzeigen. Suche nach </body>. Knapp darüber findest du das GA-Script, dass wie folgt aussieht:

<!-- Google Tracker Code - Start -->
<script  src="http://www.google-analytics.com/urchin.js"  type="text/javascript">
</script>
<script  type="text/javascript">
_uacct = "UA-984799-4"; <= das ist der GSF-spezifische Tracking-Code
urchinTracker();
</script>
<!--  Google Tracker Code - Ende -->

G8,
kw

Lieber Königswasser,

danke sehr, endlich einmal etwas substanzielles zu dem Thema.

Hat noch jemand Fragen?

Möchte evtl. der Betreiber nunmehr etwas dazu sagen?

Mit beschissener Laune,
b.o.bachter

Zitat von Königswasser

Wenn ich oben von GA als einem "zahlenden Spionagedienst" schrieb, dann ist das so zu verstehen, dass die Gegenleistung nicht monetärer Art ist, sondern in Form von Bewegungsprofilen an den Betreiber geleistet wird. Diese Bewegungsprofile werden kostenlos als Gegenleistung für das Verankern des GA-Tracking-Codes im Main-Template der jeweiligen Website zur Verfügung gestellt.

Das Script soll nach GA-Anweisung vom Betreiber unmittelbar vor dem </body>-Tag des Templates eingefügt werden, was im Übrigen eklatant gegen die Regeln des W3C verstößt.

Der Effekt ist nun, dass template-basierte Forensoftware, wie z.B. das Woltlab-Forum (auf dem wiederum das GSF basiert), damit auch den PN-Bereich zur Ausspähung freigibt. M.E. eine höchst bedenkliche Verfahrensweise des Betreibers, wenn man den Sinn und Zweck des Forums in Anbetracht zieht.

Wer GA nicht blockt (z.B über Firefox-Addons wie Adblock, NoScript etc.), muss sich bewußt sein, dass nicht nur seine Bewegungen aufgezeichnet werden, sondern dass auch der Inhalt von PNs zu Google übertragen wird. (*)

Der Forenbetreiber könnte leicht Abhilfe schaffen, indem er ein separates Template für PNs verwendet, das NICHT vom Main-Template eingebunden wird und in dem KEIN Tracking-Code enthalten ist.

Ich kann nur jedem raten hier nicht ohne GA-Tracking-Blocker unterwegs zu sein. Denn ... Google vergißt nie!

(*) Wer's nicht glaubt, der öffne eine beliebige PN und lasse sich den Quellcode vom Browser anzeigen. Suche nach </body>. Knapp darüber findest du das GA-Script, dass wie folgt aussieht:

Code

<!-- Google Tracker Code - Start --> 
<script src="http://www.google-analytics.com/urchin.js" type="text/javascript"> 
</script> 
<script type="text/javascript"> 
_uacct = "UA-984799-4"; <= das ist der GSF-spezifische Tracking-Code 
urchinTracker(); 
</script> 
<!-- Google Tracker Code - Ende -->

G8,
kw

Alles anzeigen

@ David , mach es doch mal sicherer , wenn Fremde in meine PN mitlesen dürfen kotz mich das an

nich das der Ivan mich tauscht gegen Onkel Säm im Krieg der Forum-Spione welch ein Moloch in der Forumsicherheit

Gruss

alibaba

@ b.o.bachter der Weihnachtsmann hat die Anglerfreunde Max und Moritz verscheucht

http://www.scroogle.org/

vG g.

Zitat von b.o.bachter

Lieber Königswasser,

danke sehr, endlich einmal etwas substanzielles zu dem Thema.

Hat noch jemand Fragen?

Möchte evtl. der Betreiber nunmehr etwas dazu sagen?

Alles anzeigen

Möchte mich dieser Aufforderung anschliessen.

Das, was Königswasser hier dankenswerter Weise ( )aufgezeigt hat, ist doch schon ziemlich heftig

Gruß,
Goldelefant

Zitat von Königswasser

Wenn ich oben von GA als einem "zahlenden Spionagedienst" schrieb, dann ist das so zu verstehen, dass die Gegenleistung nicht monetärer Art ist, sondern in Form von Bewegungsprofilen an den Betreiber geleistet wird. Diese Bewegungsprofile werden kostenlos als Gegenleistung für das Verankern des GA-Tracking-Codes im Main-Template der jeweiligen Website zur Verfügung gestellt.

Das Script soll nach GA-Anweisung vom Betreiber unmittelbar vor dem </body>-Tag des Templates eingefügt werden, was im Übrigen eklatant gegen die Regeln des W3C verstößt.

Der Effekt ist nun, dass template-basierte Forensoftware, wie z.B. das Woltlab-Forum (auf dem wiederum das GSF basiert), damit auch den PN-Bereich zur Ausspähung freigibt. M.E. eine höchst bedenkliche Verfahrensweise des Betreibers, wenn man den Sinn und Zweck des Forums in Anbetracht zieht.

Wer GA nicht blockt (z.B über Firefox-Addons wie Adblock, NoScript etc.), muss sich bewußt sein, dass nicht nur seine Bewegungen aufgezeichnet werden, sondern dass auch der Inhalt von PNs zu Google übertragen wird. (*)

Der Forenbetreiber könnte leicht Abhilfe schaffen, indem er ein separates Template für PNs verwendet, das NICHT vom Main-Template eingebunden wird und in dem KEIN Tracking-Code enthalten ist.

Ich kann nur jedem raten hier nicht ohne GA-Tracking-Blocker unterwegs zu sein. Denn ... Google vergißt nie!

(*) Wer's nicht glaubt, der öffne eine beliebige PN und lasse sich den Quellcode vom Browser anzeigen. Suche nach </body>. Knapp darüber findest du das GA-Script, dass wie folgt aussieht:

Code

<!-- Google Tracker Code - Start -->
<script  src="http://www.google-analytics.com/urchin.js"  type="text/javascript">
</script>
<script  type="text/javascript">
_uacct = "UA-984799-4"; <= das ist der GSF-spezifische Tracking-Code
urchinTracker();
</script>
<!--  Google Tracker Code - Ende -->

G8,
kw

Alles anzeigen

Danke Königswasser!

Bei mir läuft No Script und der Quelltest sieht so aus:
Was sagst du dazu?

<!-- Google Tracker Code - Start -->
<script src="[url=''view-source:[url']http://www.google-analytics.com/urchin.js[/url]']http://www.google-analytics.com/urchin.js[/url]" type="text/javascript">
</script>
<script type="text/javascript">
_uacct = "UA-984799-4";
urchinTracker();
</script>
<!-- Google Tracker Code - Ende -->

danke klabauterix

für die informationen. ekelhaft! - ich bin dann weg!

Außerdem braucht man neben Noscript noch einen guten Benutzernamen, optimal wohl aus der Finanzwelt, der mehr Aufrufe bringt als jeder Forenbeitrag, habe ich gerade bei einer Gockel-Anfrage festgestellt.

Während bei meinem Namen + goldseiten-forum nur Finanzartikel auftauchen, ist es bei Ali so, dass er gleich auf der Pole-Position steht, mit einer großen Menge Beiträgen zum ausklappen.

Übrigens habe ich im Firefox bei Datenschutz den Haken auf cookies akzeptieren, dann aber bei den Ausnahmen (die cookies werden dann nicht akzeptiert) u.a. hinzu gefügt : google.de, google.net, google.com, youtube.de, youtube.com .

Zitat von b.o.bachter

Hat noch jemand Fragen?

... nicht wirklich...

+ ein leeres PN-Fach.

Zitat von Königswasser

Wer GA nicht blockt (z.B über Firefox-Addons wie Adblock, NoScript etc.), muss sich bewußt sein, dass nicht nur seine Bewegungen aufgezeichnet werden, sondern dass auch der Inhalt von PNs zu Google übertragen wird. (*)

Das bedeutet Google Analytics hat sämtliche passwords aller GSF-Mitglieder bzw umgeht die Einlog-Routine?

vG. g.

@Connor
Das GA-Script ist auf allen Unterseiten des GSF präsent, da der Webmaster es im Main Template der Site verankert hat. AdblockPlus oder NoScript filtern den vom GS-Webserver ausgelieferten Code nicht aus, sondern verhindern - mit passenden Filterregeln - lediglich, dass das dort verankerte JavaScript (urching.js) ausgeführt wird.

Milly
Das mit den Socken muss eine grobe Fehlallokation des gs-adservers sein ...

goudvis
Nein, GA kann keine Passwörter auspähen. GA kann auch nicht auf die MySQL-DB des Forums zugreifen. Das Script wird aber nach derzeitiger Lage der Dinge auf JEDER Seite und eben auch auf geschützten Seiten (PN-Bereich) ausgeführt. Wer nicht blockt, der gibt u.U. seine persönlichen Daten (PN-Text) an Google preis. Haben wir hier einen JavaScript-Experten, der das angehängte GA-Script in aller Tiefe analysieren kann? In erster Linie werden dort IMHO Tracking-Informationen gesammelt. Das Script ruft aber auch diverse Unterscripte direkt vom GA-Server auf, die zumindest den Verdacht nahelegen, dass neben Tracking-Daten auch Teile des umgebenden Contents der Seite zu Google übertragen wird. Dazu demnächst mehr.

@all
Der Betreiber erhält von GA lediglich anonymisierte Statistiken über das Userverhalten, die mehr oder weniger hilfreich bei der Fortentwicklung des Forums sind (wer hält sich wo wie lange auf, woher kommt er, wohin geht er, etc.). Das ist für den allgemeinen Forenbereich akzeptabel, für den PN-Bereich ist es das nicht, zumal man mit einfachen Maßnahmen (s.o.) das berechtigte Interesse der User nach so etwas wie Privatsphäre zumindest in Sachen Google-Analytics wahren könnte.

@ Königswasser
Ich habe meinen admin gefragt, wie es sich mit dem script verhält, das Du oben gezeigt hast und ich tatsächlich in meinen PNs gefunden habe. Admin schrieibt mir, dass das script dort zwar angezeigt, jedoch nicht ausgeführt wird. Genau wie Du sagst, schreibt er, dass der webmaster es an die "falsche" Stelle gesetzt hat.

Ich kann mal nachfragen, was er aus dem JavaScript liest.

vG. g.

http://de.wikipedia.org/wiki/Same_Origin_Policy

Zitat

Die „Same Origin Policy (SOP)“ stellt ein wesentliches Sicherheitselement in allen modernen Browsern und Webanwendungen zum Schutz vor Angriffen dar. Aus Sicherheitsgründen dürfen JavaScript und ActionScript nur dann auf Objekte einer anderen Webseite zugreifen, wenn sie aus derselben Quelle (Origin) stammen.

Heißt also kurz: Ein Script von der Domain google-analytics.com kann nicht auf die DOM (also die Inhaltsobjekte) einer HTML-Seite auf der Domain goldseiten-forum.de zugreifen.
Dieser Versuch wird von jedem Standardkonformen Browser unterbunden.
Das heißt auch, selbst wenn gsadserver.de zu den Goldseiten gehört, können Javascripte vom Gsadserver nicht auf Inhalte einer im eigenen Browser geladenen HTML-Seite von goldseiten-forum.de zugreifen.

Es gibt zwar Wege dies zu umgehen, jedoch ist hierzu das Mitwirken des Domaininhabers und Zugriffsberechtigten von goldseiten-forum.de notwendig. Er müsste also serverseitige Scripte auf der eigenen Domain programmieren/einbauen, welche dann z.B. die per PN gesendeten Informationen an Google weitergeben. Das wäre ganz klar ein ziemlicher Verstoß gegen das BDS.
ein paar Beispiele: http://www.gnucitizen.org/blog/traversing-the-web/

Allerdings hat das von Google aufgekaufte Tool Urchin womöglich Schwachstellen, ein Angreifer könnte eventuell die Logs einsehen...
http://ha.ckers.org/blog/20070…ion-disclosure-in-urchin/

Der Websitebetreiber von Goldseiten-forum.de kann also auf seinem Server alles mögliche laufen haben, doch wenn das rauskommen sollte hat er ziemliche Probleme. Daher denke ich eher nicht, dass GSAdmin mutwillig und bewusst irgendwelche serverseitigen Skripte auf dem Server ausführt, die PN-Daten an google senden.

Jetzt möchte und muss ich mal so als Neuling und GSF-süchtiger (siehe Avatar) ...

meine Verwunderung zum Ausdruck bringen. Denn hier im "GSF" gibt es anscheinend User, erster und zweiter Klasse ...

Mag ja gut gemeint sein aber ... wozu soll denn das bitte gut sein?

Ausgrenzung, innerer Kreis, User mit besonderen- und verminderten Berechtigungen ...

Pfui Taife, sog i do de zu ...

Jetzt bin ich aber wirklich enttäuscht!

Abmahnung, Verwarnungen und Sperrungen sind durchaus legitim, manchmal auch durchaus berechtigt und angebracht, aber so geht das normalerweise nicht. Ich finde das so jedenfalls nicht in Ordnung, nein vielmehr fühle ich mich diskriminiert!

Denn wenn man nicht zu dem "erlesenen Kreis" gehört, kann man nicht mal mehr eine Frage zum Thema stellen (z.B. ein Ausbruch "SKS", ja wohin den zum Kuckuck).

Nee nee nee ... das stimmt mich echt traurig ...

Peace for all!

Gruss

bettel

Zitat von David M. Reymann

Neben dem Fixing der angesprochenen Bedenken in Richtung AdSense robots - zur von bettelmann angesprochenen Einschränkung des Schreiberkreises im Chartunterforum: Dies ist ein Test und wir werden sehen, wie dieser seinen Lauf nimmt. Ist er erfolgreich, so könnte es Verwendung in anderen Bereichen finden. Ich selber mache ja kein Geheimnis daraus, dass dem Forum als solches ein gewisser Qualitätsschub ins Haus steht und dieser ggf. mit mehr persönlicher Verantwortung und weniger Moderation einher gehen könnte.

Hmm ... "AdSense robots" - finde ich eher peinlich, nein vielmehr bedenklich lieber DMR. (ich gehe davon aus, dass Du weißt was Adsense bedeutet/heißt)

Hmm ... "Ist er erfolgreich, so könnte es Verwendung in anderen Bereichen finden." - da schlage ich dann eher folgendes vor und zwar, stellt das "GSF" zum Privat Forum um. Oder anders gesagt ... schlisst das noch öffentliche "GSF".

Hmm ... "dass dem Forum als solches ein gewisser Qualitätsschub ins Haus steht" - Das Problem würde sich somit von selbst erledigen, da alle anderen unerwünscht sind. Die Konsequenz aber daraus ist, dass das Forum mehr als uninteressant für alle andern würde.

Ist jetzt nur meine Meinung, die nicht unbedingt richtig sein muss ...

Ich fände es jedenfalls schade. Leiber David, sollte ich mit zu der "unerwünschten Klientel" zählen, kannst Du es mir ruhig sagen und ich werde in Zukunft ruhig sein.

Im übrigen David und das als unbeteiligter des Problems im Chart-Faden, nur folgendes dazu ...

Das dies so ausgeartet war, wundert mich überhaupt nicht, da ich ihn aus einem anderen Forum kenne. Ich will unter keinen Umständen und niemanden zu nahe treten, aber ... da war es fast genau so. Nur mit dem Unterschied, das er jetzt keine "Resonanz" auf seine "Posts" mehr erhält.

Stichwort "Meidung".

Ich bevorzuge stehts eine Frundliche und respektvolle Unterhaltung, auch wenn es mal ein schlechter Tag sein sollte (bemühen oder zumindest, Missverständnisse aufklären).

Gruss

bettel

Zitat von David M. Reymann

Neben dem Fixing der angesprochenen Bedenken in Richtung AdSense robots - zur von bettelmann angesprochenen Einschränkung des Schreiberkreises im Chartunterforum: Dies ist ein Test und wir werden sehen, wie dieser seinen Lauf nimmt. Ist er erfolgreich, so könnte es Verwendung in anderen Bereichen finden. Ich selber mache ja kein Geheimnis daraus, dass dem Forum als solches ein gewisser Qualitätsschub ins Haus steht und dieser ggf. mit mehr persönlicher Verantwortung und weniger Moderation einher gehen könnte.

MbG
DMR

Was soll das den?

Habe ich das wirklich verpennt?

Ist das nun so, das WIR dort nicht mehr schreiben können?

Zitat von Dark-End

Heißt also kurz: Ein Script von der Domain google-analytics.com kann nicht auf die DOM (also die Inhaltsobjekte) einer HTML-Seite auf der Domain goldseiten-forum.de zugreifen.

Sehr guter Einwand, Dark-End.
SOP ist tatsächlich nicht leicht auszuhebeln und es ist eher unwahrscheinlich, dass GA hier eine wie auch immer geartete Sollbruchstelle ausnutzt um an Inhaltselemente zu gelangen. Dennoch hat der GA-Code nichts im PN-Bereich des Forums zu suchen. Das durchaus berechtigte Interesse des Betreibers, die Userbewegungen zu ergründen, sollte zumindest im PN-Bereich hinter dem Recht des Users auf Schutz der Privatsphäre zurückstehen.

Zitat von Milly

Und längst nicht jeder, der mit mehr oder weniger spitzem Lineal irgendwelche Linien fortsetzt, ist deswegen ein "Charttechniker". Wenn schon, dann bitte ein positiver Trackrekord aus 500+ Forexdeals mit echter Kohle und nicht irgendwelche Kindergartenzeichnungen

Erinnert mich irgendwie an ein anderes E-Edelmetall-Forum.