Online-Privatsphäre - ein Experiment

Online-Privatsphäre - ein Experiment (27 Beiträge, 1323 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Nachdem Eric Smith (CEO von Google) heute wieder mal eine seiner Perlen verlautbart hat, in denen er typischerweise die perverse Aufzeichnung sämtlicher (in der Wahrnehmung des Users) privater Vorgänge, wie sie u.a. durch sein Unternehmen stattfindet, als normal und einfach hinzunehmen bezeichnet, habe ich mir mal wieder Gedanken darüber gemacht, wie man dieser Aufzeichnungswut entgehen oder sie bez. seiner eigenen Person einschränken kann.

Tag 1:

Am stärksten betroffen bzw. am sensibelsten sind aus meiner Sicht:

* e-mail (ich verwende auch Google Mail - selbst schuld, aber es ist halt bequem)
* Suchanfragen über Google (leider gibt es diese Ergebnisqualität sonst nirgends)
* Google Analytics (seit geraumer Zeit per NoScript bei mir blockiert)

Daß es für e-mail keine einfache Lösung gibt, ist klar - sicher wäre eigentlich nur eine end-to-end-Verschlüsselung und diese hat sich nach all den Jahren PGP/GPG noch immer nicht bei einem relevanten Anteil der Online-Bevölkerung durchgesetzt. Für Google-Anfragen gibt es mal ein paar Ansätze:

* eine andere Suchmaschine wie https://eu.ixquick.com/ - keine guten Ergebnisse und man müßte ihr auch "vertrauen", was keine gute Basis für Sicherheit/Privatsphäre ist
* auf jeden Fall mal ausloggen (google.com cookie auch löschen und blockieren)
* eine der Proxy-sites verwenden (http://www.scroogle.org/ ) - sofern sie funktionieren, dafür gilt aber dasselbe wie für ixquick.com
* einen sicheren anonymizer wie Tor nur für google oder generell verwenden (auch wenn Google schon die Finger im Tor-Code hatte bzw. Tor ein "summer of code"-Thema war). Google gestaltet dies freilich per regelmäßiger Captcha-Abfragen besonders mühsam, aber es ist der beste Weg meiner Ansicht nach.

=> also mal Vidalia installiert (https://www.torproject.org/vidalia/ ), Google cookies blockiert (übrigens auch recaptcha.net = Google) - langsam, aber es funktioniert. Wie sicher aktiviertes JS heutzutage ist, kann ich nicht genau sagen, aber zumindest sollte man von exploits abgesehen damit Tor nicht umgehen können (d.h. nicht die tatsächliche IP feststellen können - correct me if I'm wrong). Nun kann ich also anonym Google benutzen, wenn mich die gelegentlichen Captchas nicht stören (Vidalia bietet an, die betroffenen Suchanfragen umzuleiten). Geizhals.at mußte ich mal als proxy-Ausnahme hinzufügen, damit die Zugriffe auf unsere Website über unser VPN gehen (wir haben IP-basierte admin-Zugänge, außerdem werden Händlerklicks von unseren IPs aus natürlich nicht gezählt).

Edit: wenn man recaptcha.net blockiert, funktionieren die Google Captchas nicht mehr - das ist schlecht, weil es auch nicht viel nutzt, wenn Google per Cookie immerhin jede Nte Anfrage dem selben User zuordnen kann.

(Notiz am Rande: Geizhals betreibt auch einen Tor node, der aber kein exit node ist - das sollten sich m.E. mehr Unternehmen leisten, wenn sie dafür Kapazitäten haben)

Das Mail-Problem wird mal aufgeschoben, für Google Mail wird einstweilen ein anderer Browser verwendet. Eine Option wäre mal ein gehosteter IMAP-Server irgendwo, dabei gibt es aber wieder andere Risiken (hacks, Eingriffe durch Admins ...). Auf jeden Fall sollte ich mir mal einen neuen PGP/GPG-key zulegen (irgendwo kugelt noch ein alter herum...). Andere Mail-Anbieter wie pobox.com (denen ich viel mehr vertraue) sind auch nur theoretisch eine Option, da sie alle in ihren "privacy policies" angeben, private Daten bei einer Firmenübernahme nicht schützen zu können (ehrlich, aber ein Ausschlußkriterium).

Tag 2

Einige Beobachtungen zum Leben mit Tor:

in der Default-Einstellung von Vidalia werden Google-Cookies angenommen und eine Zeit lang beibehalten. Das ist schlecht, man muß sie manuell löschen/blockieren. Dasselbe gilt für Google Analytics (sofern das nicht ohnehin per NoScript gesperrt ist).
zahlreiche Seiten mit Logins haben nun zusätzliche Abfragen wegen der wechselnden IPs, das ist etwas unbequem bis beunruhigend (Facebook: getaggte Freunde auf Beispielbildern erkennen ...). Weiters muß man sich sehr oft neu einloggen, was durchaus ein Problem ist (Eintippen von Passwörtern ist immer ein Sicherheitsrisiko wg. Beobachtern, Keyloggern, merken muß man sie sich auch, was zufällige Passwörter unattraktiv macht)
Die Geschwindigkeit von Tor ist heutzutage definitiv adäquat, aber nicht berauschend
durch die regelmäßig gelöschten Cookies muß man sich immer wieder einloggen (u.a. im GH-Forum, auch wenn man es in die Proxy-Ausnahmeliste wirft im Firefox). Das ist lästig, eine kombinierte Konfigurationsmöglichkeit für Ausnahmen wäre sinnvoll (vielleicht finde ich noch eine)
Google ist definitiv kaum benutzbar über Tor (weil die Captchas cookies verwenden), das ist schade und bedenklich. Die Begründung, es könnte sich um Bots handeln, ist zwar nicht von der Hand zu weisen, daß sie zum Schutze der User blockiert werden, ist aber eine sehr merkwürdige und nicht ernst zu nehmende Behauptung.

Solange ich mobiles Internet bzw. das iPhone nur sporadisch nutze, ist der Umstand, daß Tor bzw. überhaupt irgendwelche Einstellungen zur Privatsphäre auf solchen Geräten bislang so gut wie nicht verfügbr sind, nicht allzu tragisch. Langfristig wird das aber wohl auch relevant werden ...

Korruptionsoase Österreich

» skinflint failblog pictureisunrelated

"Problematisch dürfte eher der vorauseilende Gehorsam von manchen Staatsanwälten sein. Man weiß, welches Verhalten gewünscht wird. Und letztlich entscheidet die Politik über die Karrieren innerhalb der Staatsanwaltschaft und somit über die Zukunftsaussichten jedes Einzelnen." (diePresse.com)

20.08.2010, 13:18 Uhr - Editiert von mjy@geizhals.at, alte Version: hier

mit TOR darf man keine Paypal Aktionen durchführen, sonst stellen die einen unter Verdacht, den Account gestohlen zu haben. TOR wechselt ja nach wenigen Minuten oft schon den Exit-Node, man bekommt also eine andere IP-Adresse, noch während der aktiven Paypal-Session.

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Das ist interessant, zum Glück verwende ich Paypal nicht (Kreditkarte ist sicherer). Es ist aber verständlich, daß einige Seiten Tor ausschließen... Ich würd's ja am liebsten nur für Google verwenden.

Korruptionsoase Österreich

» skinflint failblog pictureisunrelated

Ich verwende jetzt http://www.googlesharing.net/download.html

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Hm, gute Idee, außer daß man dann wohl Erklärungsbedarf hat, wenn irgendwer über den eigenen PC eine verdächtige Anfrage schickt ...

Korruptionsoase Österreich

» skinflint failblog pictureisunrelated

Den gleichen wie wenn jemand über Deinen TOR-Exitnode "fragwürdige" Seiten ansurft. Glücklichweise haben inzwischen sogar unsere Exekutiven langsam aber doch erkannt was TOR ist und dass es nicht's Schwarze unter'm Nagel nutzt einen TOR-Exit Betreiber zu verfolgen, weil's eh spätestens am Gutachten vor Gericht stirbt.

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

wenn jemand über Deinen TOR-Exitnode "fragwürdige" Seiten ansurft.

aus dem Grund habe ich auch keinen ...

weil's eh spätestens am Gutachten vor Gericht stirbt.

Wer will schon in einem Pseudorechtsstaat so weit kommen.

Korruptionsoase Österreich

» skinflint failblog pictureisunrelated

thx für den link.. also wenn das hält was es auf den ersten blick verspricht..

LC4 @ 9000 rpm - The Power to Surprise

lieber mit 55 PS wheelen als mit 200 km/h in den Tunnelblick schielen

Wobei

... außerdem werden Händlerklicks von unseren IPs aus natürlich nicht gezählt...

bei

...betreibt auch einen Tor node, ... - das sollten sich
m.E. mehr Unternehmen leisten...

eventuell nicht mehr funktionieren wird

Kompetenz in Silent-Lösungen, Servern und Workstations.

i-design
Online since 1999

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

...betreibt auch einen Tor node, ... - das sollten sich
m.E. mehr Unternehmen leisten...

eventuell nicht mehr funktionieren wird

Was hat das eine mit dem anderen zu tun? Wir verwenden die Tor node selbst nicht einmal. "Betreiben" heißt, daß sie auf unserem 666kb.com-Server läuft und weiter nichts.

Korruptionsoase Österreich

» skinflint failblog pictureisunrelated

Ok, das sind alles Geek Lösungen. Mach daraus ein Geschäftsmodell für DAUs die dafür 2-4 Euro im Monat zahlen und du bist ein gemacht Mann. Und das meine ich ernst.
________________________________________________________________________________

"Besiege die Angst und lebe Frei!" - Ich ´08

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Ok, das sind alles Geek Lösungen.

Die Problematik ist momentan eine Geek-Problematik, derzeit ist dem DAU nicht vermittelbar, was da an Daten über ihn gesammelt wird. Es wird noch ein paar Jahre dauern, bis man damit genug anstellen kann, daß es auch jeder versteht.

Mach daraus ein Geschäftsmodell für DAUs die dafür 2-4 Euro im Monat zahlen

Das wird nicht möglich sein, zu teurer Support für die ganzen DAUs mit ihren kaputten Windows-Konfigurationen.

Korruptionsoase Österreich

» skinflint failblog pictureisunrelated

Das wird nicht möglich sein, zu teurer Support für die ganzen DAUs mit ihren kaputten Windows-Konfigurationen.

Da ist was dran, aber glaubst nicht das das die Masse finanziert?

Muss ja keine Software sein die man installiert. Man öffnet den Browser und surft über das saubere "Portal". Oder noch besser, der Browser ist die saubere Lösung die keine Spuren im Netz hinterlässt.

Bin absolut kein EDV Spezialist, aber so stelle ich mir als Durchschnittsanwender eine Lösung vor für die ich, wie gesagt auch bereit wäre zu zahlen.
________________________________________________________________________________

"Besiege die Angst und lebe Frei!" - Ich ´08

Das schöne an TOR ist, dass der findige russische, chinesische oder sonstige Hacker einen Exit-Node hinstellt und dann fleissig mitloggt, was da so übers Netz geht. Da muss man schon höllisch aufpassen, dass jeglicher sensible Traffic gut verschlüsselt ist.

Das schöne an TOR ist, dass der findige russische, chinesische oder sonstige Hacker einen Exit-Node hinstellt und dann fleissig mitloggt, was da so übers Netz geht. Da muss man schon höllisch aufpassen, dass jeglicher sensible Traffic gut verschlüsselt ist.

Ja und ?
Er kann nicht sagen, von wem der Verkehr kommt...
Und heikler Verkehr ist doch eh seit Ewigkeiten verschlüsselt - wie zB HTTPs, oder ?

Wenn es um "sicher" geht, würde ich mit einer kleinen Linux Boot CD arbeiten.

Und zwar einfach in einer VMware als Bootmedium mounten und nur im virtuellen Speicher halten. Sogar wenn die CD mal veraltet ist und beim Surfen von Viren attackiert wird, ist beim nächsten Reboot alles weg - alle anderen Daten eben auch.

Grund ist vor allem, dass unabhängig von TOR usw. der eigene Browser erstaunlich oft trotzdem unique ist, anhand von Plugins, Einstellungen, Versionen usw.
https://panopticlick.eff.org/

Wenn man eine Boot-CD benutzt, die andere auch benutzen, fällt das wenigstens weg.

meine idee um mein onlineprofil wertlos zu machn war, einen mini-computer (http://www.marvell.com/platforms/plug_computer ) per script nach wahllosen wörtern aus einem rss-feed diverser tageszeitungen suchen zu lassen, so nach dem motto, besser ein wertloses profil als keines (keines ist heutzutage fast unmöglich und wär wohl enorm auffällig).

Dadurch sind auch die Google-Searches kein Problem.

Kein Gmail. Bei Versand an gmail adressen keine signatur (wo ich meinen namen etc. drinnen hab).

Google Cookies werden geblockt (allerdings war mir das mit repatcha neu --> danke).

mfg

Penguin

ich sehe es so, das früher oder später ein Umdenken stattfinden muss, spätestens dann wenn viele Leute höchstpersönlich betroffen sind, also entweder durch eine Datenpanne oder durch Datenmissbrauch.

Der einzelne mag ja denken er hätte nix zu verbergen, vergisst aber dass sich Machtverhältnisse schnell ändern können - und dann auch Gesetze.
Wie schön dass man dann schon die Infrastruktur hat um alle politisch andersdenkenden schnell aufzuspüren.
hätte Hitler die technischen Möglichkeiten von heute damals gehabt, ...."

Das Meldewesen mit der Abfrage von Religionszugehörigkeit ist eine von vielen unnötigen Daten die erhoben werden. Es ist Datenmissbrauch wenn man kurz nach seiner Anmeldung einen Zahlschein der Kirche vorfindet, aber er könnte ja noch schlimmer kommen.

Unnötig das Google die IP von Usern speichert und dann an Behörden herausgibt. Pech wer dann nach den "falschen" Wörtern gegoogelt hat.
Die sicherersten Daten sind die nicht erhobenen.

Wer traut sich noch auf eine Demo zu gehen, wenn er damit rechnen muss mit IMSI Catchern und Kameras "gefangen" zu werden, und sich dannach bespitzeln lassen zu müssen? Je mehr Leute vorbeugend kuschen umso leichter macht die Obrigkeit (Staat, Hausverwaltung, ....) was sie will.

“ Die ehemalige Präsidentin des dt. Bundesverfassungsgerichts, Frau Prof. Dr. Limbach, wird noch deutlicher: „Eine demokratische politische Kultur lebt von der Meinungsfreude und dem Engagement der Bürger. Das setzt Furchtlosigkeit voraus. Diese dürfte allmählich verloren gehen, wenn der Staat seine Bürger biometrisch vermisst, datenmäßig durchrastert und seine Lebensregungen elektronisch verfolgt.“

Jeder der bewußt den Kopf in den Sand steckt wünsche ich, dass er auch mal die "falschen Freunde" hat und so in den Genuss von Telefonüberwachung, Rufdatenrückerfassung, Hausdurchsuchung, Besuchen am Arbeitsplatz usw. hat.
Gerade mal wieder aktuell, siehe Ernst H. der leider den Prikopil kannte. Echt eine arme Sau.

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung