Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

EU- und US-Behörden untersuchen Googles Cookie-Umgehung

Die EU-Kommission und die US-Justiz haben laut Wall Street Journal mit Untersuchungen begonnen, Googles Umgehung der Safari Cookie-Einstellungen näher zu beleuchten. Nach Recherche des Wall Street Journals war herausgekommen, dass Google wie einige andere Web-Dienste die Cookie-Einstellungen von Safari umgeht, um unabhängig davon Cookies zur Identifizierung der Nutzer abzulegen. Dabei hatte sich Google eine Sicherheitslücke von Safari zunutze gemacht, die von Apple mittlerweile sowohl in iOS als auch OS X und Windows geschlossen wurde. Die Lücke hatte zur Folge, dass Cookies von Fremdseiten zwar in den Safari-Einstellungen grundsätzlich gesperrt waren, dies aber nicht bei der Verarbeitung von Formularen galt. Mit der Umgehung hat Google möglicherweise gegen Auflagen der Behörden verstoßen, welche im Zusammenhang mit dem Google+-Vorgänger Buzz geschaffen wurden, um eine verschleierte Verarbeitung von Nutzerdaten durch Google zu unterbinden. Die Strafzahlung liegt hier bei 16.000 US-Dollar pro Vergehen und Tag, was bei der Gesamtanzahl an Nutzern zu einer sehr hohen Summe führen könnte. In einer Stellungnahme erklärt Google gegenüber dem Wall Street Journal wie schon bei der Aufzeichnung von Daten aus fremden WiFi-Netzen, dies nicht absichtlich getan zu haben.

Weiterführende Links:

Kommentare

Dirk!19.03.12 14:55
In einer Stellungnahme erklärt Google gegenüber dem Wall Street Journal wie schon bei der Aufzeichnung von Daten aus fremden WiFi-Netzen, dies nicht absichtlich getan zu haben.

Nicht absichtlich

Wie baut man aus Versehen Code, der Sicherheitslücken verwendet, um Sperren zu umgehen?
0
eiPätt19.03.12 14:59
ich will jetzt auch Kekse!
0
user_tron19.03.12 15:03
Apple soll die Push-mails wieder aktivieren
Ich erwarte von niemanden Zustimmung für meine persönlichen Ansichten ;-)
0
JesuMan
JesuMan19.03.12 15:09
Apple soll die Push-mails wieder aktivieren
, was natürlich ganz unabsichtlich wieder aktiviert wurde!
Ja, gute Idee!
0
sierkb19.03.12 15:12
Dirk!:

Weil der W3C P3P-Standard, der das vermeiden hülfe, von allen Browser-Hestellern leider nicht oder äußerst unzureichend umgesetzt worden ist und in Safari und Internet Explorer erst recht stümperhaft umgesetzt ist.
Und es nicht nur für Google in der realen Welt der täglichen Praxis nahezu unmöglich ist, eine funktionierende Lösung anzubieten mangels dieser allseits funktionierenden P3P-Lösung, sondern Google nicht alleine dasteht mit diesem Problem und diesem von Google aufgegriffenen und im Web allseits bekannten Kniffs, diesem Problem auf diese Weise zu begegnen. Das Unredliche an der Google-Schelte in diesem Punkt ist: so gut wie alle machen das so, nicht nur Google. Und Google ist auch nicht der erste, der zu diesem im freien Internet (nicht von Google) publizierten Kniff gegriffen hat. Facebook macht das so und empfiehlt es seinen Entwicklern. Microsoft macht das so und empfiehlt es seinen Entwicklern. Und viele, viele andere Unternehmen und Anbieter machen das auch. Weil es leider keine funktionierende bessere Lösung gibt derzeit!

Dass die Lösung in Bezug auf den Safari doppelt blöd ist, weil der Safari ausgerechnet da sogar eine Sicherheitslücke hat, die das Ganze auch noch unter sicherheitskritischer Betrachtung sehr bedenklich macht und das zumindest entschärft, wenn nicht sogar unterbunden wäre, wenn Safari da keine Sicherheitslücke gehabt hätte und sich richtigerweise an das gehalten hätte, was P3P vorschreibt, das ist dann eigentlich nur noch als "Verkettung unglücklicher Umstände" anzusehen. Das Problem ist aber so grundsätzlicher Natur und nicht allein Safari betreffend und nicht allein Google betreffend, dass, wenn überhaupt, hier nicht nur Google auf die Untersuchungsbank sollte, sondern gerechterweise dann die halbe Internet-Industrie, die dieses Verfahren, das Google auch nicht selbst erfunden hat, sondern nur aufgegriffen hat, ebenfalls alle tagtäglich haargenauso anwenden und empfehlen. Weil eben keine bessere Lösung da ist. Weil P3P in nahezu allen Browsern nur unzureichend umgesetzt ist.

Wäre P3P in den Browsern überall so umgesetzt wie der W3C Standard es vorgibt und verlangt, stellte sich das Problem gar nicht erst, und dann müssten weder Google noch Facebook noch Microsoft noch irgendein anderer Inhalteanbieter im Netz überhaupt zu solchen Griffen in die Trickkiste greifen...
0
mr.-antimagnetic19.03.12 15:12
@ Dirk
das lässt sich nur mit der Genialität der Entwickler erklären, die sind gleichzeitig noch so verpeilt das
so ein "Anfängercode" gar nicht auffällt , der geht
so nebenher mit ins Programm..
0
Dr. Seltsam
Dr. Seltsam19.03.12 15:13
Ich habe {hier bitte beliebige Tat eintragen} nicht aus Absicht getan. Es ist einfach über mich gekommen, echt!
0
Dr. Seltsam
Dr. Seltsam19.03.12 15:16
sierkb

Man sollte also rechts überholen, nur weil das einige (und weiß Gott nicht "so gut wie alle" Webseitenbetreiber, sondern eine sehr, sehr kleine Minderheit!) ebenso machen?

Welche Rechtfertigung bitte schön ist das denn?
0
sierkb19.03.12 15:22
Nachtrag:

Bzw. hätten die Browser-Hersteller sich über die Jahre alle dafür stark gemacht, den in die Jahre gekommenen P3P-Standard so aufzumöbeln und zu verbessern, dass er auch praxistauglich ist (Google beklagt ja, wie andere auch, dessen Praxistauglchkeit), dann würden solche Tricksereien im Sinne von Rettungsanker und Notbehelf gar nicht notwendig sein.

Siehe zu dem ganzen Themenkomplex u.a. auch:

Spiegel Online (21.02.2012): Ausgetrickster Cookie-Datenschutz -- Microsoft schwärzt Google an

Kristian Köhntopp (20.02.2012): C is for Cookie, G is for Google

Kristian Köhntopp (05.02.2012): C is for Cookie
0
Quickmix
Quickmix19.03.12 15:28
Wie umgeht man etwas nicht absichtlich?
0
sierkb19.03.12 15:28
Dr. Seltsam:

Lies mal bitte die nachgereichten Links.
Und mache diesen Unternehmen und Anbietern gegenüber gegenüber Verbesserungsvorschläge. Nicht nur sie, sondern mit ihnen auch eine ganze Reihe anderer Anbieter werden und würden Dir äußerst dankbar dafür sein und Dir die Füße dafür küssen, wenn Du denen eine umsetzbare und praxistauglichere Lösung präsentieren würdest und könntest. Aus böser Absicht hat Google, haben viele andere das ganz bestimmt nicht getan, sondern aus purer Not mangels einer besseren momentan zur Verfügung stehenden Lösung (langfristig gesehen wäre die bessere Lösung ein besserer und praxistauglicherer P3P-Standard, der dann auch zu 100% von allen Browser-Herstellern umgesetzt ist und auf den man dann als Entwickler und Anbieter von Diensten im WWW bauen und vertrauen kann. Leider existiert an dieser Front derzeit aber ein Mangel bzw. man hat's offenbar jahrelang an allen Fronten schleifenlassen).

Wie gesagt: Google steht mit dieser Problematik nicht alleine da, Google ist da umgeben von vielen, vielen anderen mit gleicher Herausforderung und gleicher Lösung der Problematik. Auf Google sind jetzt nur alle Scheinwerfer gerichtet, und ausgerechnet Konkurrenten wie z.B. Microsoft (von denen stammt evtl. sogar auch die Aufmerksammachung der EU- und US-Behörden), die genau dasselbe machen und nicht nur machen, sondern auf ihren Entwicklerseiten sogar empfehlen, zeigen gerade laut mit dem Finger auf Google (siehe Spiegel-Artikel)...
0
Dr. Seltsam
Dr. Seltsam19.03.12 15:45
Das ganze Lamentieren ist zwecklos: NIEMAND wurde gezwungen, diese Lücke zur "verschleierten Verarbeitung von Nutzerdaten" zu nutzen.

Niemand, auch Google nicht.

Es hat, wenn man die Zahl der Websites insgesamt sieht, auch so gut wie niemand gemacht. Einige wenige Webdienste, darunter auch Google.

Google hätte es auch einfach lassen können, aber Google hat sich mit dem Ziel der Mehrung des eigenen Profits durch Pushen der eigenen Dienste ganz bewusst darüber hinweggesetzt und extra dafür ein Stück Spionagecode eingebaut.

Google is evil.
0
sierkb19.03.12 16:15
Dr. Seltsam:

Deine Äußerungen sagen nur eines: Du hast obige Links, insbesondere die von Kristian Köhntopp, offenbar NICHT gelesen und/oder nicht verstanden.

U.a. verlinkt Köhntopp auf den unverdächtigen Lauren Weinstein (), der erklärt noch ein paar weitere technische Hintergründe zu dem Ganzen:

Lauren Weinstein (18.02.2012): Google, Safari, and a Clamor of Cookie Confusion

Lauren Weinstein (20.02.2012): Microsoft newly attacks Google cookie policies, but history reveals otherwise!

Ebenso ins gleiche Horn wie Spiegel, Weinstein und Köhntopp:

ZEIT.de (21.02.2012): Google trickst mit Cookies auch im Internet Explorer
Nicht nur im Safari-Browser, sondern auch im Internet Explorer umgeht Google eine Sperre gegen Cookies von Drittanbietern. Microsofts Empörung ist aber geheuchelt.

entwickler.com (21.02.2012): Microsoft schneidet sich ins eigene Fleisch: Google umgeht Privatsphäreeinstellungen von Safari und Internet Explorer

heise (21.02.2012): Google umging auch die Cookie-Einstellungen des Internet Explorer Update :
[..]
Update: Google ist keineswegs die einzige große Site, die diese Lücke einsetzte, um den Internet Explorer auszutricksen. So liefert etwa Konkurrent (und Microsoft-Partner) Facebook aktuell folgende P3P-Policy aus,

P3P: CP="Facebook does not have a P3P policy.
Learn why here: http://fb.me/p3p"

die exakt den gleichen Effekt hat, aber keine Erwähnung im IEBlog findet. Außerdem hat Microsoft die prinzipielle Vorgehensweise sogar selbst in einem Support-Dokument vorgeschlagen. Bei Problemen mit Cookies in Frames aus verschiedenen Domains könne man beispielweise eine einfache Policy wie

P3P: CP="CAO PSA OUR"

setzen, heißt es da. Eine Aufforderung, diese Policy der eigenen Datenschutz-Praxis anzupassen, findet sich dort nicht.

Microsoft Support Document kb323752: Sitzungsvariablen gehen verloren, wenn FRAMESET in Internet Explorer 6.0 verwendet wird
Dr. Seltsam
nur weil das einige (und weiß Gott nicht "so gut wie alle" Webseitenbetreiber, sondern eine sehr, sehr kleine Minderheit!) ebenso machen?
[..]
Es hat, wenn man die Zahl der Websites insgesamt sieht, auch so gut wie niemand gemacht. Einige wenige Webdienste, darunter auch Google.

Sehr sehr kleine Minderheit? Soso...
heise
[..]
Nach einer Studie (PDF) der Carnegie Mellon University aus dem Jahr 2010 benutzen 11.176 von 33.139 untersuchten Sites eine ungültige P3P-Spezifikation. In einer E-Mail an das amerikanische Magazin The Verge bezeichnet Google die Technik, die der Internet Explorer verwendet, als veraltet und nicht praxistauglich.
[..]

Quelle:
Google is evil.

Genau. Und durch Deine ständige Wiederholung wird's auch nicht wahrer. So ein selten dümmlicher Spruch entlarvt eigentlich nur einen sehr begrenzten Horizont.
Und die Erde ist eine Scheibe. Und überhaupt und sowieso ist die ganze Welt nur noch schlecht!
0
mr.-antimagnetic19.03.12 16:57
@sirkB
mal andersrum von einem Laien gefragt , welche Nachteile entstünden denn dem User wenn dieser Code nicht drinne wäre?, denn das ist doch entscheidend..
0
sierkb19.03.12 17:30
mr.-antimagnetic:

Dann können gewisse Funktionalitäten der betreffenden Webseite eben nicht oder nicht mehr so so komfortabel und benutzerfreundlich angeboten werden, z.B. Tracking über mehrere Benutzer-Sessions hinweg. Das ist aber in manchen Fällen notwendig, um dem Benutzer, der sich an verschiedene übergansfreie Vorgänge gewöhnt hat und es komfortabel findet, nicht zusätzlich irgendwelche Hürden in den Weg zu legen, die ihm das Ganze wieder unkomfortabler machen als er es bislang gewohnt ist.
0
music-anderson
music-anderson19.03.12 22:10
Na was sagt uns das wieder? Diskussionsmaraton lohnt nicht
Wenn Du nicht weisst was man Dir will, was willst n Du 8-D
0
Andreas Hofmann20.03.12 08:23
LOL

Aus versehen eine Sicherheitslücke ausgenutzt.

ROTFL

Ich bin kein Google-Hasser, aber hier gehört ihnen ordentlich was aufs Dach. Sich ungefragt an Nutzerdaten zu bedienen, weil keiner explizit widersprochen (aber auch nicht zugestimmt) hat ist ja schon dreist, da hat aber in der Branche aber leider keiner mehr ein schlechtes Gewissen. Aber dem ausdrücklichen Wunsch des Nutzers entgegen zu handeln ist noch mal um Klassen krimineller. Da kann man sich vorstellen , was mit Adressbüchern, die man denen freiwillig überlässt passiert. Die kriegt weder Google, Apple noch sonstirgendwer von mir, ich würde mir nur Wünsche Freunde und bekannte von mir würden das auch so handhaben, leider braucht man sich da keine Illusionen machen.
0
sierkb20.03.12 14:43
Andreas Hoffmann:

Mir scheint, Du hast nicht ganz verstanden, worum es geht. Erstens: wo bedient sich Google ungefragt Benutzerdaten? Zweitens: wenn Benutzerdaten theoretisch hätten abgegriffen werden können, dann liegt das nicht an Google, sondern dann liegt es an einem Bug in Safari, der auf Apples Konto geht und nicht auf Googles Konto.

Google hat lediglich eine fehlerhafte Implementierung der Cookie-Steuerung in Safari genutzt, um seine Dienste über Safari dem Nutzer überhaupt anbieten zu können. Und ganz nebenbei und über diese fehlerhafte Cookie-Implementierung hinaus ist diese fehlerhafte Implementierung der Cookiesteuerung in Safari dann auch noch zufällig eine Sicherheitslücke, weil darüber an weitere Benutzerdaten hätte gelangt werden können. Hätte. Konjunktiv! Dafür kann Google aber nix, denn diese Sicherheitslücke ist so oder so in Safari vorhanden und hätte so oder so eigentlich nicht vorhanden sein dürfen!

Wenn Du also jemanden unbedingt prügeln willst, dann solltest Du ZUERST Apple prügeln -- und zwar in zweierlei Hinsicht: 1. dass sie eine fehlerhafte und praxisuntaugliche Cookie-Implementierung in Safari haben. Und zweitens, dass diese fehlerhafte Cookie-Implementierung dann auch noch zusätzlich so geartet ist, dass sie darüberhinaus auch noch ein Sicherheitsrisiko war/ist. Und dann, wenn Du dann Deine Schelte verteilt hast, dann kannst Du Dir meintetwegen Google vornehmen, dass sie es gewagt haben, für Safari eine im Netz weit verbreitete Lösung anzubieten, um Apples fehlerhafte Cookie-Implementierung zu umschiffen und damit überhaupt Safari zu befähigen und den Safari-Nutzern zugänglich zu machen, Möglichkeiten im Sinne nahtloser Übergänge überhaupt mit Safari nutzen zu können.

Google hätte wie wiele andere Anbieter auch sagen können: "Safaris Cookie-Implementierung ist so dermaßen scheiße und fehlerhaft (und sie gaukelt dem Benutzer Dinge und eine falsche Sicherheit vor, die nicht den Tatsachen entsprechen und die der Browser nicht halten kannn), wir können nur davon abraten, unsere Services mit Safari zu nutzen. Nutzt stattdessen Browser XYZ, mit dem klappt kann das besser!" Hat Google aber nicht getan, hat Facebook nicht getan, hat Microsoft nicht getan, und haben ein gutes Drittel von gut 30.000 untersuchten Websites auch nicht getan. Sie alle haben Safari mithilfe dieses (bzw. im Fall von IE mithilfe eines ähnlichen) Tricks bedient, anstatt ihn trotz seiner so fehlerhaften Cookie-Implementierung zu stigmatisieren und zu ignorieren und von der Nutzung von Safari im Zusammenhang mit der Nutzung von bestimmten Google-Diensten abzuraten (was eigentlich richtig bzw. folgerichtig gewesen wäre im Sinne dessen, was man Google jetzt vorwirft).
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.