XF2.2 Könnte mal bitte einer mit schauen? Vorwurf dynamische Inhalte Dritter

Hallo,

seit ein paar Tagen geht ja so ne Email von einem Herrn O. S. rum in der er allerhand Seitenbetreibern diesen oder jenen Datenschutzverstoß vorhält.

Bei mir konkret: www.hobby-gartenteich.de

Und dass diese externen Sachen aufgerufen würden:
https://code.jquery.com/jquery-3.3.1.min.js (Typ: application/javascript; charset=utf-8)
https://content-autofill.googleapis...TI0OS4xMDMSEAlIi38nZU5h3xIFDVB9-Ww=?alt=proto (Typ: text/plain)

Nur - im XF ist es korrekt auf local gesetzt gewesen und ist es noch und ich kanns weder in den templates noch über eine Quelltext-Suche auf Anhieb finden wo der das gesehen haben will.

Wenn mal einer von euch Zeit findet und mal schauen möge, bin für jeden Tipp dankbar, da ich mir da aktuell bisher keiner Schuld bewusst bin.

Danke.

------------------------------------------

Anbei die Email - Anonymisiert:

Die IT-Recht Kanzlei sagt dazu: klick

Ach so ja - ich hab per Chrome und Entwicklerkonsole geschaut, konnte bisher beide Vorwürfe aber nicht finden... man sowas kotzt mich schon wieder an.

 

Zumindest mit der jquery hat er recht. Die andere kommt mir allgemein komisch vor. Eventuell von einer Browser Extension?
Den Anhang 11386 betrachten

 

Wo siehst du da das die jquery.js nicht lokal geladen wird?
Auf welcher Seite exakt hast du das gesehen?

Zumal das doch eigentlich die 3.5.1 sein sollte, und zwar von meinem eigenen Server:


Autofill würde wenn dann nur im Registrierungsformular oder beim Suchformular Sinn machen - ich konnt es halt nicht finden.

jQuery wird wie gesagt per Einstellung im ACP lokal geladen und eben nicht von nem CDN - das wundert mich halt.

Auch interessant vielleicht zu dem Thema:
Der "Vollpfosten" Oleksandr Sertiuk und seine Dummail - Diebewertung

Ok, hab das veraltete jQuery nun auch gefunden über die Konsole...

Wie komme ich der Quelle auf die Schliche?
Sprich wie find ich jetzt am einfachsten raus, wo das vermutlich hard codiert eingebaut wurde damit ichs ändern kann?

Ich mein ich würde nun nen Scan über die DB und das Filesystem machen... aber vielleicht gibts ne einfachere Möglichkeit...

 

XenDach hat auch eine Mail von dem Deppen bekommen. Einfach ignorieren.

Ich hätte im ACP eine Template Suche gemacht.

@otto dein jQuery bindest du dir per AddOn ein. Die CDN Version hat 3.3.1 und die lokale XF Version hat 3.5.1 - Hast du zufällig irgendein Timer AddOn?

EDIT: Du hast doch ein Script (b_timer.php) für die Random Werbebanner. Schau da mal rein.

 

hab ich ... Ergebnis Null - daher auch erst danach hier die Frage...

Dammich... ne halbe Code Leiche.
Danke, habs gleich korrigiert.

 

Vermutlich hat dieser "Herr" noch eine "Gas-Rechnung" offen - passt ja zur aktuellen Lage & Jahreszeit - und macht jetzt einen auf erpresserlis, bis sein "Opferstock" wieder gefüllt ist

 

Ich habe in der Forenübersicht, im Lexikon und in mehreren Forenthemen den Seitenquelltext aufgemacht. Jquery ist da immer lokal eingebunden. Wenn man als Gast reinschaut sieht es so aus als wäre es lokal. Benutzt du ein CDN? Vielleicht kommt es daher.

 

Atze hatte es gefunden, das (uralt) Script für die Banner lud ne ältere Version noch von einem Drittanbieterserver. Das ist behoben seit gestern.

Ich werde auf die Email nicht weiter antworten, weil:
- keinerlei Adressangaben
- schaut mal was @freigmx.de für ne Domain ist und wo die bzw. die Email gehostet wird

Wenn, dann verklage ich diesen Typ. Der hat seit 12.10. vermutlich hunderte Seiten angeschrieben, will gar nicht wissen, wie viele bezahlen bzw. bezahlt haben.


Davon ab bekam gestern eine Bekannte ne echte Abmahnung, per Postbrief und inkl. Unterlassungserklärung. Hier waren Google Fonts der Grund. Hab ihr geholfen das Thema abzustellen und geraten zum Fachanwalt zu gehen, denn auch hier scheint es kein echtes persönliches Interesse zu sein, sondern massenhafte Abmahnungen, spricht gezielte Suche nach Seite die man abmahnen kann.

Gibt halt immer mehr Arschlöcher auf der Welt...

 

..ich würde hier bereits von einer Arschloch Pandemie sprechen

 

Ja nicht schön, aber wenigstens wird dann mal ein wenig Datenschutz auf den Webseiten betrieben, predige das schon lange und darauf hat keiner gehört. Wenigstens ist das ein positiver Effekt davon.

 

Da hab ich drauf gewartet...

Welches Seelisch moralische Gebrechen würde dir denn konkret entstehen, wenn jQuery vom Entwickler direkt geladen würde und bei Google Fonts? Und ehe die Frage kommt - der Hinweis das dieses genutzt wird ist in den Datenschutzhinweisen zumindest drin, wer wollte könnte sich informieren oder einfach nen Add-blocker nutzen, der hätte dann zumindest jQuery nicht geladen und damit die 3 kleinen Banner derer die den Spaß bezahlen den der geneigte Nutzer grad kostenlos zu nutzen gedenkt.

Und was Google Fonts angeht - halt bitte den Ball flach, da konnte die Dame wenig für, das war mal sauber geregelt und wurde dann durch Updates des Styles irgendwann wieder untergraben - ich bin das Changelog gestern noch durch, da ist keine Rede von. In sofern wäre die Strafe moralisch eher beim Entwickler zu addressieren... wenn man schon so anfängt.

Ja - ich schau nun wieder öfter drüber, hab auch seitens Addons dahingehend aufgerüstet. Gibt zumindest für Wordpress zwei drei brauchbare, weclhe Google Fonts und teils auch mehr zumindest treffsicher abfangen, im Fall eines Falles im Hintergrund direkt auf den Server laden dort zwischenspeichern und erst dann an den Nutzer ausliefern, damit der sich rosa fühlen kann.

Sorry aber da kommt mir dezent die Galle hoch. Bennene und beziffere doch mal den Schaden der dir entstanden ist. Also nicht nur so n Gefühl des Unbehagens (das hab ich auch wenn ich nen Jogurt esse der 3 Monate drüber ist ) sondern was konkretes. Aber glaub soweit waren wir schon mal, da gibts halt scheinbar kaum belastbares - was ja auch gut so ist.


Zurück zum Thema - bei Google Fonts versteh ich eh nicht wieso das nötig ist. Gibt noch genug frei nutzbare Schriften die praktisch auf jedem Server oder Rechner zu finden sein sollten (Arial bspw.).

Und weil wir bei sind - wasn mit Font Awesome? Dürfte doch das gleiche Thema sein. Lokal oder lassen...

 

Ein Hinweis ist aber kein Schutz. Das Dokumentieren von Datenschutzprobleme behebt sie nicht oder schützt Leute davor. Und das alles auf den Verbraucher per AD-Block auszulagern, ist auch lachhaft. Klappt in der analogen Welt auch nicht, nur in der digitalen wird es geduldet.

Da stimme ich dir zu, dass der mindestens eine Teilschuld bekommen sollte.

Es ist nicht möglich, wegen eines Aufrufs einen Schaden zu beziffern. Aber genauso könnte man sagen, welchen Schaden hast du, wenn z.B. der Staat dich 24/7 überwacht. Nur, weil es keinen direkten Schaden gibt, ist es nicht gut. Schau mal Richtung Hongkong, was alles gegen das Volk verwendet wird.
Sorry, aber das "nichts zu verbergen" Argument lässt mir die Galle hochkommen, denn dann sieht man das man nicht weiter als die nächsten 5 Minuten gedacht hat.

Ich weiß nicht, ob alle Google Fonts frei sind, aber zumindest ein Großteil, also kann man die auch problemlos lokal einsetzen. Hiermit sogar sehr einfach: google webfonts helper
Und ja das gleiche gilt für FontAwesome und Ähnliches, aber auch das kann man alles sehr einfach Lokal einbinden.

 

Vollkommener Bullshit mal wieder...

 

Streng genommen wird nur der Datenschutz ein wenig besser, wenn die Google Fonts lokal gehostet werden. Für den Benutzer selbst bringt das noch nicht einmal Vorteile. Wenn die von Google selbst geladen werden, werden die einmal geholt und liegen längere Zeit im Browsercache und werden nicht nochmal geladen. Wenn jede Seite diese Fonts lokal hostet, hat man für jede Seite die gleichen Fonts abliegen, also x-fach. Verschwendet nur unnötig Speicherplatz und zumindest einmal pro Seite Downloadzeit. Gut, dass Speicherplatz heute nicht mehr so viel kostet. Auf Handys spielt Speicherplatz und Downloadvolumen aber sehr wohl eine Rolle.

 

Gut dagegen könnten Browser aber auch leicht etwas machen, einfach den Hash der vorhandenen Fonts mit den benötigen abgleichen. Hätte ich eigentlich erwartet, dass es das schon gibt.
Weil die Fonts lädst du auch mehrmals runter, da viele Links auf bestimmte Versionen verweisen.

 

Ja, die könnten auch per default ALLE cookies ablehnen und ebenso Javascript. Dann könnte der Nutzer beim betreten einer Seite selbst entscheiden ob er es wagt oder nicht dies oder das zu erlauben. Für Website Betreiber wäre es hingegen eine Erleichterung und die Abmahngefahr deswegen dürfte gegen Null tendieren.

Browser könnten so vieles, wenn Hersteller und Nutzer es in der breiten Masse auch wollten. Scheint aber nicht der Fall zu sein. ;-)

 

Ich persönlich keinen. Weils mich nicht juckt, solange es mich nicht einschränkt. Zumal ich recht sicher bin das "der Staat" das eh schon tut wenn er das für nötig hält... ich gehöre aber auch zu jenen, die sich weder von Funkmasten noch Windrädern gestört fühlen bzw. stören lassen. Ist vielleicht ne Gemühtsfrage...

Nur zur Erinnerung - wir leben nicht in China. ;-)

Keine Ahnung wo du das Argument her haben willst - von mir kams in der Diskussion noch nicht. Aber ja, ich hab nicht zu verbergen - zumindest nichts, was nicht meine Nachbarn auch tun würden.

Zu lasten des Anwenders - hier sogar konkret bezifferbar wenn man wollte. (Zeit, Speicherplatz)

Und hat dann keinen Mehraufwand es aktuell zu halten? Ja - klar könnte man das automatisieren usw. Aber mal im Ernst... wofür eigentlich? Immer noch für einen imaginären möglicherweise möglichen Schaden der noch nicht eingetreten ist?

Hmm... das seh ich anders. Zumindest bei heißem Kaffee to go reicht der Hinweis doch auch? (wobei ich mich da schon frage wie verblödet die Menschheit geworden ist um das nötig zu haben).
Eine Ampel ist auch nur ein Hinweis und kann jederzeit überfahren werden mit möglicherweise entsprechenden Konsequenzen. Deine Sicht hier weiter gedacht, sollten an allen Ampeln und Stoppschildern vermutlich bewachte Schranken installiert werden - könnte ja sein das einer die Hinweise nicht sehen konnte/wollte... ;-)
Auch hier noch mal - will sich ein Onlinehypochonder schützen: erstmal Javascript und Cookies per Browser verbieten.

 

Warum willst du FA aktualisieren? Außer, du benötigst Icons aus dem nächsten Update.

Cookies ist mit Firefox's "Total Cookie Protection" größtenteils irrelevant geworden, gibt es sogar eine schöne Grafik dafür:
https://img.adminforge.de/j2Ea5V7b/BzluINmy.image

 

Na ist doch optimal und wie schon so oft von mir vorgeschlagen: Browser-seitige Lösung.
Jeder der will kann, keiner muss.

Wenn dann mal FF auch noch auf nem Mobilephone gescheit funktionieren würde... würde ich nach Jahren der Abstinenz mal wieder nen Blick riskieren.
Hoffe der FF läuft heute besser als damals, wo er ein einziger Speicherfresser war und bei vielen offenen Tabs immer mehr in die Knie ging. Das war damals für mich der Punkt wo ich zu Chrome wechselte - der war damals schneller, und eingängiger nutzbar dazu auf allen Geräten ähnlich gut und flott nutzbar. FF-Mobile war da noch ne echte Krücke...

 

Ok, ein erster Blick auf den aktuellen FF (Win64 und Android) macht nen besseren Eindruck als der letzte vor ein paar Jahren. Wenn ich mal was Zeit hab, bekommt er ne zweite Chance.