Psiram Forum

:-(   :rotekarte:

https://www.heise.de/newsticker/meldung/Millionen-Surf-Profile-Daten-stammen-angeblich-auch-von-Browser-Addon-WOT-3453820.html

Zitat von: Dunkelzahn am 01. November 2016, 19:52:00
:-(   :rotekarte:

https://www.heise.de/newsticker/meldung/Millionen-Surf-Profile-Daten-stammen-angeblich-auch-von-Browser-Addon-WOT-3453820.html

Hiermit sofort deinstalliert. Idioten.

dito, schade

Erste Erfolge:

https://www.mobilegeeks.de/news/vertrauensverlust-fuer-web-of-trust-nutzer-profile-aus-wot-daten/

ZitatDaten von drei Millionen Internetnutzern aus Deutschland haben Reporter von Panorama und ZAPP als ,,kostenlose Probe" erhalten. Anhand der übermittelten Daten konnten in vielen Fällen auch Personen identifiziert werden - und Interessen dieser Personen, die sie vielleicht lieber für sich behalten würden.

Hm, ich habe dem Reflex widerstanden, gleich zu deinstallieren, obwohl die Sache ziemlich
unschön ist.
Ich muss noch eine Gewichtung durchführen, wie viel mir die Bewertung von Seiten wert ist.
Die WOT-Kringel bewahren einen recht zuverlässig davor, auf dubiosen Seiten zu landen.
Ich verwende außerdem noch weitere Plugins zur Verschleierung, z.B. meldet sich mein Firefox
bei jedem Start (wahlweise alle paar Minuten) als ein anderer Browser unter verschiedenen
Betriebssystemen (derzeit behauptet er, Chrome 53 unter OSX 10.10 zu sein).

Zitat von: RainerO am 03. November 2016, 20:20:14
Ich muss noch eine Gewichtung durchführen, wie viel mir die Bewertung von Seiten wert ist.
Die WOT-Kringel bewahren einen recht zuverlässig davor, auf dubiosen Seiten zu landen.

Naja, im Zuge von Psiram-Recherchen bleibt einem eh oft nur der beherzte Klick in dunkelrote Seiten. Hauptsache Scriptblocker. Was WOT da abgezogen hat, ist m.M. definitiv unmöglich. Nicht unbedingt, dass sie Daten verkaufen, sondern wie. Offensichtlich ist darüber eine Deanonymisierung möglich. Die Seite sollte konsequenterweise vor sich selber warnen.

Zitat von: RainerO am 03. November 2016, 20:20:14
Hm, ich habe dem Reflex widerstanden, gleich zu deinstallieren, obwohl die Sache ziemlich
unschön ist.
Ich muss noch eine Gewichtung durchführen, wie viel mir die Bewertung von Seiten wert ist.
Die WOT-Kringel bewahren einen recht zuverlässig davor, auf dubiosen Seiten zu landen.
Ich verwende außerdem noch weitere Plugins zur Verschleierung, z.B. meldet sich mein Firefox
bei jedem Start (wahlweise alle paar Minuten) als ein anderer Browser unter verschiedenen
Betriebssystemen (derzeit behauptet er, Chrome 53 unter OSX 10.10 zu sein).

Naja, das mit der Bewertung ist aus meiner Sicht auch nicht so zuverlässig/fair wie es scheint. Es wird suggeriert dass alle User gleich sind, aber manche User sind dann etwas gleicher als die anderen. Es kommt sehr darauf an wer eine Bewertung abgibt, denn die User haben nicht alle das gleiche Gewicht in der Gesamtbewertung. Es gibt Stufen: Rookie, Bronze, Silver, Gold und Platinum.  Ein User mit Gold- oder Platinumstatus kann mit seiner Bewertung die Bewertungen mehrerer Rookies einfach kippen, resp. überstimmen.

Je aktiver ein User desto mehr Gewicht hat er. Über Bewertungen und Kommentare bekommt ein User Punkte auf sein Konto gutgeschrieben. Je mehr Punkte er hat desto höher rückt er in der Hierarchie nach oben auf und desto mehr Gewicht bekommen auch seine Bewertungen in der Gesamtwertung einer Seite. Um hochzusteigen muss man somit nur massenhaft Bewertungen abgeben und Kommentare verfassen um damit den Einfluß der eigenen Bewertungen um ein vielfaches zu potenzieren.

Aus meiner sicht bedeutet dies, dass bei genauerer Betrachtung WOT-Bewertungen eigentlich alle verzerrt sind. Als Beispiel führe ich mal zwei Downloadportale an, die Nutzern Adware im grenzlegalen Bereich unterschieben, dabei aber durchweg "exzellente" dunkelgrüne Gesamtbewertungen aufweisen. Erst in den Kommentaren ist sichtbar dass die Mehrheit der Bewertugen gelb, orange oder rot eingefärbt sind und die Kommentare negativ sind.

Siehe:
https://www.mywot.com/en/scorecard/download.com
https://www.mywot.com/en/scorecard/softonic.com

Das ist nicht ganz korrekt. Das Wertungsgewicht eines Benutzers ist geheim und wird über einen Algorithmus auf Basis eines Bayesschen Netzes bestimmt.
https://de.wikipedia.org/wiki/Bayessches_Netz

Die Stufen sind Rookie, Bronze, Silver, Gold und Platinum sind davon Unabhängig und spiegeln nur die Aktivität des Benutzers. Manche Platinnutzer haben angeblich weniger "Wertungskraft" als Rookies.

Das die Wertungen trotzdem oft nicht "korrekt" sind, ist IMHO ein unbehebbares Problem. Wenn einfach 10.000 Leute es toll finden irgendwo gratis Software herunterzuladen, können die hundert, die sich Gedanken machen nicht dagegen anstinken.

ZitatDie Stufen sind Rookie, Bronze, Silver, Gold und Platinum sind davon Unabhängig und spiegeln nur die Aktivität des Benutzers. Manche Platinnutzer haben angeblich weniger "Wertungskraft" als Rookies.

Hhm, es mag sein dass ich etwas falsch interpretiere, für mich klingt was in der FAQ steht aber durchaus danach dass die Aktivität in das Bewertungsgewicht fliesst.
Siehe https://www.mywot.com/en/faq/website/rating-websites#reliableratings:

ZitatUsually in reputation systems each rating is weighted equally and reputations are computed as the average of all ratings, which makes them extremely vulnerable to automated attacks. Therefore, we decided early on to value ratings by their merit and use some of the principles of Bayesian inference for combining the ratings into reputations. The short version is that the system analyzes each user's rating behavior from several aspects in order to determine their reliability. When you start using WOT, your ratings have little weight, but if you keep rating sites consistently, your ratings will be considered more reliable over time.

Der Punkt ist: "keep rating sites consistently", es geht nicht um die Menge. Wenn man 0 Seiten gewertet hat, dann hat das natürlich wenig Wert. Aber wenn man 1 Million Seiten gewertet hat, ist das nicht zwingend besser als wenn man 10 Seiten bewertet hat.

Was zu den technischen Hintergründen
https://www.kuketz-blog.de/wot-addon-wie-ein-browser-addon-seine-nutzer-ausspaeht/ (https://www.kuketz-blog.de/wot-addon-wie-ein-browser-addon-seine-nutzer-ausspaeht/)

ZitatMit einer simplen Idee hatten wir schließlich Erfolg: Ich erstellte eine neue Subdomain (what.kuketz.de), die bisher weder existierte, noch jemand kannte. Im Anschluss setzte ich eine neue Linux Virtual Machine auf, startete Firefox und installierte mir als einziges Addon WOT. Nach knapp einer Woche tauchte mein Browser bzw. meine besuchten URLs dann schließlich in den Datensätzen des NDR auf – Jackpot!

[DATUM] 11:15:04 http://what.kuketz.de/
[...]
[DATUM] 15:49:27 https://www.ebay-kleinanzeigen.de/p-anzeige-bearbeiten.html?adId=xxx
[DATUM] 13:06:23 http://what.kuketz.de/
[...]
[DATUM] 11:22:18 http://what.kuketz.de/
[DATUM] 14:59:30 http://blog.fefe.de/
[...]
[DATUM] 14:59:36 http://what.kuketz.de/
[DATUM] 14:59:44 https://www.mywot.com/en/scorecard/what.kuketz.de?utm_source=addon&utm_content=rw-viewsc
[...]
[DATUM] 13:48:24 http://what.kuketz.de/
[...]
Hinweis: Der Mitschnitt aus dem NDR-Datensatz erstreckt sich über mehrere Tage und wurde von mir gekürzt.

Jede URL, die ich in diesem Zeitraum besuchte, erscheint ungekürzt, inklusive Session ID, in den Datensätzen des »Datenhändlers«. Diesen Vertrauensbruch wirklich und wahrhaftig zu sehen hat mich ehrlich gesagt schockiert, auch wenn ich schon so einiges gewohnt bin. Letztendlich ist es mir gelungen, mich über die Datensätze selbst zu deanonymisieren – gruselig, einfach gruselig.

Zitat von: Dunkelzahn am 04. November 2016, 13:17:42
Der Punkt ist: "keep rating sites consistently", es geht nicht um die Menge. Wenn man 0 Seiten gewertet hat, dann hat das natürlich wenig Wert. Aber wenn man 1 Million Seiten gewertet hat, ist das nicht zwingend besser als wenn man 10 Seiten bewertet hat.

Ok, dann lag ich falsch. Das ergibt Sinn, danke für die Aufklärung.  :D

Meine Gewohnheitsparanoia hat mich bisher davor bewahrt, dieses Plugin zu verwenden und den meisten anderen Plugins, über die ich nicht genug weiß, stehe ich auch sehr skeptisch gegenüber.

Aber mal eine ganz doofe Frage: Was haben denn die vielen WOT-Benutzer geglaubt, was die Entwickler/Betreiber mit den vielen zwangsweise anfallenden Daten machen? Aufbewahren? Wegschließen? Löschen?

Ich will nicht sagen, dass ich das vorher gewusst hätte oder alle WOT-Nutzer für fahrlässig halte. Das Plugin hat(te) ja durchaus einen hohen Nutzwert und wirkte vertrauenerweckend. Aber für mich gilt da eher der Grundsatz: Daten, die vorhanden sind, werden genutzt - und oft genug früher oder später verkauft.

Zitat von: celsus am 04. November 2016, 15:25:45
Aber mal eine ganz doofe Frage: Was haben denn die vielen WOT-Benutzer geglaubt, was die Entwickler/Betreiber mit den vielen zwangsweise anfallenden Daten machen? Aufbewahren? Wegschließen? Löschen?

Ne, davon kann man ausgehen, irgend ein Geld muss ja verdient werden. Das heißt aber noch lange nicht, dass man Daten liefert, die eine Deanonymisierung erlauben.

Zitat von: celsus am 04. November 2016, 15:25:45
Meine Gewohnheitsparanoia hat mich bisher davor bewahrt, dieses Plugin zu verwenden und den meisten anderen Plugins, über die ich nicht genug weiß, stehe ich auch sehr skeptisch gegenüber...

Naja, wie fast überall kann man es mit der persönlichen Paranoia (die ich berufsbedingt durchaus auch selber habe)
auch übertreiben. Letztendlich weiß ein Anwender fast bei keinem einzigen Programm genau, was es eigentlich macht.

Zitat von: RainerO am 04. November 2016, 16:37:34
Letztendlich weiß ein Anwender fast bei keinem einzigen Programm genau, was es eigentlich macht.

Ich gehe nicht davon aus, dass das Plugin an sich die Spyware ist, sondern die Daten einfach am Server abgegriffen wurden.
Für die Funktion dieses Plugins ist es nötig, für jeden Seitenaufruf eine Anfrage an deren Server zu schicken. Dass Daten weitergegeben werden, wäre für den Anwender niemals zu entdecken gewesen, auch nicht durch Quellcode Audits.

Zitat von: uran am 04. November 2016, 20:21:55
Ich gehe nicht davon aus, dass das Plugin an sich die Spyware ist, sondern die Daten einfach am Server abgegriffen wurden.

Ja, wurden sie, und zwar von den Betreibern des Plugins, um sie zu verkaufen.

ZitatDie Analyse beweist: WOT protokolliert das Surfverhalten eines Nutzers nicht nur lückenlos, sondern verkauft / gibt die Daten offenbar auch noch an Drittunternehmen weiter.

Zitat von: RainerO am 04. November 2016, 16:37:34
Für die Funktion dieses Plugins ist es nötig, für jeden Seitenaufruf eine Anfrage an deren Server zu schicken.

Nicht unbedingt. Man kann die Adressen hashen und lokal beim User speichern (oder auch im Klartext speichern). Dann muss nur die Hash/URL-Liste regelmäßig aufgefrischt werden. Die Adblocker machen das ähnlich.