XF2.2 Könnte mal bitte einer mit schauen? Vorwurf dynamische Inhalte Dritter

otto

Die 5k-Labertasche
Lizenzinhaber
Registriert
11. Dez. 2010
Beiträge
5.180
Punkte
448
XF Version
  1. 2.2.15
XF Instanz
Hosting
PHP-Version
8.2.x
MySQL/MariaDB
10.3.x
Provider/Hoster
Strato/Hetzner
Hallo,

seit ein paar Tagen geht ja so ne Email von einem Herrn O. S. rum in der er allerhand Seitenbetreibern diesen oder jenen Datenschutzverstoß vorhält.

Bei mir konkret: www.hobby-gartenteich.de

Und dass diese externen Sachen aufgerufen würden:
https://code.jquery.com/jquery-3.3.1.min.js (Typ: application/javascript; charset=utf-8)
https://content-autofill.googleapis...TI0OS4xMDMSEAlIi38nZU5h3xIFDVB9-Ww=?alt=proto (Typ: text/plain)

Nur - im XF ist es korrekt auf local gesetzt gewesen und ist es noch und ich kanns weder in den templates noch über eine Quelltext-Suche auf Anhieb finden wo der das gesehen haben will.

Wenn mal einer von euch Zeit findet und mal schauen möge, bin für jeden Tipp dankbar, da ich mir da aktuell bisher keiner Schuld bewusst bin.

Danke.

------------------------------------------

Anbei die Email - Anonymisiert:
Sehr geehrte Damen und Herren,

als ich Ihre Website besuchte (hobby-gartenteich.de), habe ich (wie gewohnt aus IT-ler Neugier) die Quellen, die diese einbezieht, mir anzeigen lassen und musste feststellen, dass diese ohne meine Zustimmung dynamisch Inhalte von Dritten nachgeladen hat.

Solche dynamische Einbindungen sind schon mit dem Verweis auf Server innerhalb der Europäischen Union nicht DSGVO konform, aus dem Grund, dass es nicht für die Webseite notwendig ist. Es muss erst mit einem Opt-In Banner zugestimmt werden und erst dann dürfen die Inhalte geladen werden.
Noch schlimmer ist es bei Inhalten, die von US-amerikanischen Anbietern geladen werden (wie zum Beispiel Google Fonts). Da deren Server auch unter anderem außerhalb der EU befinden, wo es überhaupt keine Transparenz gibt, was mit den Daten passiert, für wie lange diese aufbewahrt werden und für welche Zwecke diese letztendlich benutzt werden.

Dabei wird die IP-Adresse des Besuchers an den Server übermittelt, wodurch dieser zumindest teilweise identifizierbar ist.

Damit es auch für Sie nachvollziehbar ist, hier ist die Liste an Quellen (Stand 12.10.2022), die Ihre Webseite schon beim ersten Besuchen der Webseite aufruft, ohne die Zustimmung des Benutzers (noch vor irgendeinem Opt-In Banner).
https://code.jquery.com/jquery-3.3.1.min.js (Typ: application/javascript; charset=utf-8)
https://content-autofill.googleapis...TI0OS4xMDMSEAlIi38nZU5h3xIFDVB9-Ww=?alt=proto (Typ: text/plain)

Leider achten viele Webseitenbetreiber nicht auf den Datenschutz Ihrer Besucher und den gleichen Fall (Einbinden von Google Fonts ohne Opt-In Banner) gab es schon vor Gericht (Aktenzeichen 3 O 17493/20 (Landgericht München I).

Die oben genannten Quellen sollten entweder lokal eingebunden werden oder erst nach der Zustimmung des Benutzers geladen werden.
Um weitere Datenschutzverstoße zu vermeiden, empfehle ich Ihnen das so schnell wie möglich zu beheben.

Das Landgericht München hat auch entschieden, dass dem Nutzer ein Schadensersatz in Höhe von 100,00 Euro zusteht. Das sehe ich hier für angemessen an. Bitte überweisen Sie diesen Betrag binnen 4 Wochen auf mein Konto:
IBAN: DE45********************** (BIC: BU************)
Kontoinhaber: O******** S******

Falls meine nicht offizielle Anfrage ignoriert wird, würde ich mich an eine Abmahnkanzlei wenden.

Auf Grund meiner Arbeit bin ich meistens telefonisch nicht erreichbar, bei Fragen melden Sie sich bitte elektronisch auf meine E-mail Adresse.


Mit freundlichen Grüßen,
O*********** S*******
E-mail: **********@freigmx.de

Die IT-Recht Kanzlei sagt dazu: klick

Ach so ja - ich hab per Chrome und Entwicklerkonsole geschaut, konnte bisher beide Vorwürfe aber nicht finden... man sowas kotzt mich schon wieder an. :mad:
 
Zuletzt bearbeitet von einem Moderator:
Zumindest mit der jquery hat er recht. Die andere kommt mir allgemein komisch vor. Eventuell von einer Browser Extension?
Anhang anzeigen 11386
 

Anhänge

  • upload_2022-10-18_14-24-55.png
    upload_2022-10-18_14-24-55.png
    128,1 KB · Aufrufe: 8
Wo siehst du da das die jquery.js nicht lokal geladen wird? :wideyed:
Auf welcher Seite exakt hast du das gesehen? :writing:

Zumal das doch eigentlich die 3.5.1 sein sollte, und zwar von meinem eigenen Server:
upload_2022-10-18_14-37-8.png

Autofill würde wenn dann nur im Registrierungsformular oder beim Suchformular Sinn machen - ich konnt es halt nicht finden.

jQuery wird wie gesagt per Einstellung im ACP lokal geladen und eben nicht von nem CDN - das wundert mich halt.

Auch interessant vielleicht zu dem Thema:
Der "Vollpfosten" Oleksandr Sertiuk und seine Dummail - Diebewertung

Ok, hab das veraltete jQuery nun auch gefunden über die Konsole... :bag:

Wie komme ich der Quelle auf die Schliche?
Sprich wie find ich jetzt am einfachsten raus, wo das vermutlich hard codiert eingebaut wurde damit ichs ändern kann?

Ich mein ich würde nun nen Scan über die DB und das Filesystem machen... aber vielleicht gibts ne einfachere Möglichkeit...
 
Zuletzt bearbeitet von einem Moderator:
seit ein paar Tagen geht ja so ne Email von einem Herrn O. S
XenDach hat auch eine Mail von dem Deppen bekommen. Einfach ignorieren.

Wie komme ich der Quelle auf die Schliche?
Ich hätte im ACP eine Template Suche gemacht.

@otto dein jQuery bindest du dir per AddOn ein. Die CDN Version hat 3.3.1 und die lokale XF Version hat 3.5.1 - Hast du zufällig irgendein Timer AddOn?

EDIT: Du hast doch ein Script (b_timer.php) für die Random Werbebanner. Schau da mal rein.

Bildschirmfoto 2022-10-18 um 16.23.30.png
 
Zuletzt bearbeitet:
Email von einem Herrn O. S.

Vermutlich hat dieser "Herr" noch eine "Gas-Rechnung" offen - passt ja zur aktuellen Lage & Jahreszeit - und macht jetzt einen auf erpresserlis, bis sein "Opferstock" wieder gefüllt ist :D
 
Ich habe in der Forenübersicht, im Lexikon und in mehreren Forenthemen den Seitenquelltext aufgemacht. Jquery ist da immer lokal eingebunden. Wenn man als Gast reinschaut sieht es so aus als wäre es lokal. Benutzt du ein CDN? Vielleicht kommt es daher.
 
Atze hatte es gefunden, das (uralt) Script für die Banner lud ne ältere Version noch von einem Drittanbieterserver. Das ist behoben seit gestern.

Ich werde auf die Email nicht weiter antworten, weil:
- keinerlei Adressangaben
- schaut mal was @freigmx.de für ne Domain ist und wo die bzw. die Email gehostet wird

Wenn, dann verklage ich diesen Typ. Der hat seit 12.10. vermutlich hunderte Seiten angeschrieben, will gar nicht wissen, wie viele bezahlen bzw. bezahlt haben.


Davon ab bekam gestern eine Bekannte ne echte Abmahnung, per Postbrief und inkl. Unterlassungserklärung. Hier waren Google Fonts der Grund. Hab ihr geholfen das Thema abzustellen und geraten zum Fachanwalt zu gehen, denn auch hier scheint es kein echtes persönliches Interesse zu sein, sondern massenhafte Abmahnungen, spricht gezielte Suche nach Seite die man abmahnen kann.

Gibt halt immer mehr Arschlöcher auf der Welt...
 
sondern massenhafte Abmahnungen, spricht gezielte Suche nach Seite die man abmahnen kann.
Ja nicht schön, aber wenigstens wird dann mal ein wenig Datenschutz auf den Webseiten betrieben, predige das schon lange und darauf hat keiner gehört. Wenigstens ist das ein positiver Effekt davon.
 
Da hab ich drauf gewartet... ;)

Welches Seelisch moralische Gebrechen würde dir denn konkret entstehen, wenn jQuery vom Entwickler direkt geladen würde und bei Google Fonts? Und ehe die Frage kommt - der Hinweis das dieses genutzt wird ist in den Datenschutzhinweisen zumindest drin, wer wollte könnte sich informieren oder einfach nen Add-blocker nutzen, der hätte dann zumindest jQuery nicht geladen und damit die 3 kleinen Banner derer die den Spaß bezahlen den der geneigte Nutzer grad kostenlos zu nutzen gedenkt.

Und was Google Fonts angeht - halt bitte den Ball flach, da konnte die Dame wenig für, das war mal sauber geregelt und wurde dann durch Updates des Styles irgendwann wieder untergraben - ich bin das Changelog gestern noch durch, da ist keine Rede von. In sofern wäre die Strafe moralisch eher beim Entwickler zu addressieren... wenn man schon so anfängt.

Ja - ich schau nun wieder öfter drüber, hab auch seitens Addons dahingehend aufgerüstet. Gibt zumindest für Wordpress zwei drei brauchbare, weclhe Google Fonts und teils auch mehr zumindest treffsicher abfangen, im Fall eines Falles im Hintergrund direkt auf den Server laden dort zwischenspeichern und erst dann an den Nutzer ausliefern, damit der sich rosa fühlen kann. :D ;)


aber wenigstens wird dann mal ein wenig Datenschutz auf den Webseiten betrieben
Sorry aber da kommt mir dezent die Galle hoch. Bennene und beziffere doch mal den Schaden der dir entstanden ist. Also nicht nur so n Gefühl des Unbehagens (das hab ich auch wenn ich nen Jogurt esse der 3 Monate drüber ist ;) ) sondern was konkretes. Aber glaub soweit waren wir schon mal, da gibts halt scheinbar kaum belastbares - was ja auch gut so ist.


Zurück zum Thema - bei Google Fonts versteh ich eh nicht wieso das nötig ist. Gibt noch genug frei nutzbare Schriften die praktisch auf jedem Server oder Rechner zu finden sein sollten (Arial bspw.).

Und weil wir bei sind - wasn mit Font Awesome? Dürfte doch das gleiche Thema sein. Lokal oder lassen...
 
der Hinweis das dieses genutzt wird ist in den Datenschutzhinweisen zumindest drin
Ein Hinweis ist aber kein Schutz. Das Dokumentieren von Datenschutzprobleme behebt sie nicht oder schützt Leute davor. Und das alles auf den Verbraucher per AD-Block auszulagern, ist auch lachhaft. Klappt in der analogen Welt auch nicht, nur in der digitalen wird es geduldet.

In sofern wäre die Strafe moralisch eher beim Entwickler zu addressieren... wenn man schon so anfängt.
Da stimme ich dir zu, dass der mindestens eine Teilschuld bekommen sollte.

Sorry aber da kommt mir dezent die Galle hoch. Bennene und beziffere doch mal den Schaden der dir entstanden ist.
Es ist nicht möglich, wegen eines Aufrufs einen Schaden zu beziffern. Aber genauso könnte man sagen, welchen Schaden hast du, wenn z.B. der Staat dich 24/7 überwacht. Nur, weil es keinen direkten Schaden gibt, ist es nicht gut. Schau mal Richtung Hongkong, was alles gegen das Volk verwendet wird.
Sorry, aber das "nichts zu verbergen" Argument lässt mir die Galle hochkommen, denn dann sieht man das man nicht weiter als die nächsten 5 Minuten gedacht hat.

Gibt noch genug frei nutzbare Schriften
Ich weiß nicht, ob alle Google Fonts frei sind, aber zumindest ein Großteil, also kann man die auch problemlos lokal einsetzen. Hiermit sogar sehr einfach: google webfonts helper
Und ja das gleiche gilt für FontAwesome und Ähnliches, aber auch das kann man alles sehr einfach Lokal einbinden.
 
Ja nicht schön, aber wenigstens wird dann mal ein wenig Datenschutz auf den Webseiten betrieben, predige das schon lange und darauf hat keiner gehört. Wenigstens ist das ein positiver Effekt davon.
Vollkommener Bullshit mal wieder... :rolleyes:;)
 
Streng genommen wird nur der Datenschutz ein wenig besser, wenn die Google Fonts lokal gehostet werden. Für den Benutzer selbst bringt das noch nicht einmal Vorteile. Wenn die von Google selbst geladen werden, werden die einmal geholt und liegen längere Zeit im Browsercache und werden nicht nochmal geladen. Wenn jede Seite diese Fonts lokal hostet, hat man für jede Seite die gleichen Fonts abliegen, also x-fach. Verschwendet nur unnötig Speicherplatz und zumindest einmal pro Seite Downloadzeit. Gut, dass Speicherplatz heute nicht mehr so viel kostet. Auf Handys spielt Speicherplatz und Downloadvolumen aber sehr wohl eine Rolle.
 
Gut dagegen könnten Browser aber auch leicht etwas machen, einfach den Hash der vorhandenen Fonts mit den benötigen abgleichen. Hätte ich eigentlich erwartet, dass es das schon gibt.
Weil die Fonts lädst du auch mehrmals runter, da viele Links auf bestimmte Versionen verweisen.
 
Gut dagegen könnten Browser aber auch leicht etwas machen,
Ja, die könnten auch per default ALLE cookies ablehnen und ebenso Javascript. Dann könnte der Nutzer beim betreten einer Seite selbst entscheiden ob er es wagt oder nicht dies oder das zu erlauben. Für Website Betreiber wäre es hingegen eine Erleichterung und die Abmahngefahr deswegen dürfte gegen Null tendieren.

Browser könnten so vieles, wenn Hersteller und Nutzer es in der breiten Masse auch wollten. Scheint aber nicht der Fall zu sein. ;-)
 
welchen Schaden hast du, wenn z.B. der Staat dich 24/7 überwacht.
Ich persönlich keinen. Weils mich nicht juckt, solange es mich nicht einschränkt. Zumal ich recht sicher bin das "der Staat" das eh schon tut wenn er das für nötig hält... ich gehöre aber auch zu jenen, die sich weder von Funkmasten noch Windrädern gestört fühlen bzw. stören lassen. Ist vielleicht ne Gemühtsfrage...

Schau mal Richtung Hongkong, was alles gegen das Volk verwendet wird.
Nur zur Erinnerung - wir leben nicht in China. ;-)

Sorry, aber das "nichts zu verbergen" Argument lässt mir die Galle hochkommen, denn dann sieht man das man nicht weiter als die nächsten 5 Minuten gedacht hat.
Keine Ahnung wo du das Argument her haben willst - von mir kams in der Diskussion noch nicht. Aber ja, ich hab nicht zu verbergen - zumindest nichts, was nicht meine Nachbarn auch tun würden. :D ;)

also kann man die auch problemlos lokal einsetzen.
Zu lasten des Anwenders - hier sogar konkret bezifferbar wenn man wollte. (Zeit, Speicherplatz)

Und ja das gleiche gilt für FontAwesome und Ähnliches, aber auch das kann man alles sehr einfach Lokal einbinden.
Und hat dann keinen Mehraufwand es aktuell zu halten? Ja - klar könnte man das automatisieren usw. Aber mal im Ernst... wofür eigentlich? Immer noch für einen imaginären möglicherweise möglichen Schaden der noch nicht eingetreten ist?

Ein Hinweis ist aber kein Schutz.
Hmm... das seh ich anders. Zumindest bei heißem Kaffee to go reicht der Hinweis doch auch? (wobei ich mich da schon frage wie verblödet die Menschheit geworden ist um das nötig zu haben).
Eine Ampel ist auch nur ein Hinweis und kann jederzeit überfahren werden mit möglicherweise entsprechenden Konsequenzen. Deine Sicht hier weiter gedacht, sollten an allen Ampeln und Stoppschildern vermutlich bewachte Schranken installiert werden - könnte ja sein das einer die Hinweise nicht sehen konnte/wollte... :) ;-)
Auch hier noch mal - will sich ein Onlinehypochonder schützen: erstmal Javascript und Cookies per Browser verbieten.
 
Na ist doch optimal und wie schon so oft von mir vorgeschlagen: Browser-seitige Lösung.
Jeder der will kann, keiner muss. :pardon:

Wenn dann mal FF auch noch auf nem Mobilephone gescheit funktionieren würde... würde ich nach Jahren der Abstinenz mal wieder nen Blick riskieren.
Hoffe der FF läuft heute besser als damals, wo er ein einziger Speicherfresser war und bei vielen offenen Tabs immer mehr in die Knie ging. Das war damals für mich der Punkt wo ich zu Chrome wechselte - der war damals schneller, und eingängiger nutzbar dazu auf allen Geräten ähnlich gut und flott nutzbar. FF-Mobile war da noch ne echte Krücke...
 
Ok, ein erster Blick auf den aktuellen FF (Win64 und Android) macht nen besseren Eindruck als der letzte vor ein paar Jahren. Wenn ich mal was Zeit hab, bekommt er ne zweite Chance.
 
Zurück
Oben