Web of Trust Plugin späht Nutzer aus

[Dunkelzahn]

:-(   

https://www.heise.de/newsticker/meldung/Millionen-Surf-Profile-Daten-stammen-angeblich-auch-von-Browser-Addon-WOT-3453820.html

[Groucho]

:-(   

https://www.heise.de/newsticker/meldung/Millionen-Surf-Profile-Daten-stammen-angeblich-auch-von-Browser-Addon-WOT-3453820.html

Hiermit sofort deinstalliert. Idioten.

[Nogro]

dito, schade

[celsus]

Erste Erfolge:

https://www.mobilegeeks.de/news/vertrauensverlust-fuer-web-of-trust-nutzer-profile-aus-wot-daten/

Daten von drei Millionen Internetnutzern aus Deutschland haben Reporter von Panorama und ZAPP als ,,kostenlose Probe" erhalten. Anhand der übermittelten Daten konnten in vielen Fällen auch Personen identifiziert werden - und Interessen dieser Personen, die sie vielleicht lieber für sich behalten würden.

[RainerO]

Hm, ich habe dem Reflex widerstanden, gleich zu deinstallieren, obwohl die Sache ziemlich
unschön ist.
Ich muss noch eine Gewichtung durchführen, wie viel mir die Bewertung von Seiten wert ist.
Die WOT-Kringel bewahren einen recht zuverlässig davor, auf dubiosen Seiten zu landen.
Ich verwende außerdem noch weitere Plugins zur Verschleierung, z.B. meldet sich mein Firefox
bei jedem Start (wahlweise alle paar Minuten) als ein anderer Browser unter verschiedenen
Betriebssystemen (derzeit behauptet er, Chrome 53 unter OSX 10.10 zu sein).

[Groucho]

Ich muss noch eine Gewichtung durchführen, wie viel mir die Bewertung von Seiten wert ist.
Die WOT-Kringel bewahren einen recht zuverlässig davor, auf dubiosen Seiten zu landen.

Naja, im Zuge von Psiram-Recherchen bleibt einem eh oft nur der beherzte Klick in dunkelrote Seiten. Hauptsache Scriptblocker. Was WOT da abgezogen hat, ist m.M. definitiv unmöglich. Nicht unbedingt, dass sie Daten verkaufen, sondern wie. Offensichtlich ist darüber eine Deanonymisierung möglich. Die Seite sollte konsequenterweise vor sich selber warnen.

[Omikronn]

Hm, ich habe dem Reflex widerstanden, gleich zu deinstallieren, obwohl die Sache ziemlich
unschön ist.
Ich muss noch eine Gewichtung durchführen, wie viel mir die Bewertung von Seiten wert ist.
Die WOT-Kringel bewahren einen recht zuverlässig davor, auf dubiosen Seiten zu landen.
Ich verwende außerdem noch weitere Plugins zur Verschleierung, z.B. meldet sich mein Firefox
bei jedem Start (wahlweise alle paar Minuten) als ein anderer Browser unter verschiedenen
Betriebssystemen (derzeit behauptet er, Chrome 53 unter OSX 10.10 zu sein).

Naja, das mit der Bewertung ist aus meiner Sicht auch nicht so zuverlässig/fair wie es scheint. Es wird suggeriert dass alle User gleich sind, aber manche User sind dann etwas gleicher als die anderen. Es kommt sehr darauf an wer eine Bewertung abgibt, denn die User haben nicht alle das gleiche Gewicht in der Gesamtbewertung. Es gibt Stufen: Rookie, Bronze, Silver, Gold und Platinum.  Ein User mit Gold- oder Platinumstatus kann mit seiner Bewertung die Bewertungen mehrerer Rookies einfach kippen, resp. überstimmen.

Je aktiver ein User desto mehr Gewicht hat er. Über Bewertungen und Kommentare bekommt ein User Punkte auf sein Konto gutgeschrieben. Je mehr Punkte er hat desto höher rückt er in der Hierarchie nach oben auf und desto mehr Gewicht bekommen auch seine Bewertungen in der Gesamtwertung einer Seite. Um hochzusteigen muss man somit nur massenhaft Bewertungen abgeben und Kommentare verfassen um damit den Einfluß der eigenen Bewertungen um ein vielfaches zu potenzieren.

Aus meiner sicht bedeutet dies, dass bei genauerer Betrachtung WOT-Bewertungen eigentlich alle verzerrt sind. Als Beispiel führe ich mal zwei Downloadportale an, die Nutzern Adware im grenzlegalen Bereich unterschieben, dabei aber durchweg "exzellente" dunkelgrüne Gesamtbewertungen aufweisen. Erst in den Kommentaren ist sichtbar dass die Mehrheit der Bewertugen gelb, orange oder rot eingefärbt sind und die Kommentare negativ sind.

Siehe:
https://www.mywot.com/en/scorecard/download.com
https://www.mywot.com/en/scorecard/softonic.com

[Dunkelzahn]

Das ist nicht ganz korrekt. Das Wertungsgewicht eines Benutzers ist geheim und wird über einen Algorithmus auf Basis eines Bayesschen Netzes bestimmt.
https://de.wikipedia.org/wiki/Bayessches_Netz

Die Stufen sind Rookie, Bronze, Silver, Gold und Platinum sind davon Unabhängig und spiegeln nur die Aktivität des Benutzers. Manche Platinnutzer haben angeblich weniger "Wertungskraft" als Rookies.

Das die Wertungen trotzdem oft nicht "korrekt" sind, ist IMHO ein unbehebbares Problem. Wenn einfach 10.000 Leute es toll finden irgendwo gratis Software herunterzuladen, können die hundert, die sich Gedanken machen nicht dagegen anstinken.

[Omikronn]

Die Stufen sind Rookie, Bronze, Silver, Gold und Platinum sind davon Unabhängig und spiegeln nur die Aktivität des Benutzers. Manche Platinnutzer haben angeblich weniger "Wertungskraft" als Rookies.

Hhm, es mag sein dass ich etwas falsch interpretiere, für mich klingt was in der FAQ steht aber durchaus danach dass die Aktivität in das Bewertungsgewicht fliesst.
Siehe https://www.mywot.com/en/faq/website/rating-websites#reliableratings:

Usually in reputation systems each rating is weighted equally and reputations are computed as the average of all ratings, which makes them extremely vulnerable to automated attacks. Therefore, we decided early on to value ratings by their merit and use some of the principles of Bayesian inference for combining the ratings into reputations. The short version is that the system analyzes each user's rating behavior from several aspects in order to determine their reliability. When you start using WOT, your ratings have little weight, but if you keep rating sites consistently, your ratings will be considered more reliable over time.

[Dunkelzahn]

Der Punkt ist: "keep rating sites consistently", es geht nicht um die Menge. Wenn man 0 Seiten gewertet hat, dann hat das natürlich wenig Wert. Aber wenn man 1 Million Seiten gewertet hat, ist das nicht zwingend besser als wenn man 10 Seiten bewertet hat.

[Groucho]

Was zu den technischen Hintergründen
https://www.kuketz-blog.de/wot-addon-wie-ein-browser-addon-seine-nutzer-ausspaeht/

Mit einer simplen Idee hatten wir schließlich Erfolg: Ich erstellte eine neue Subdomain (what.kuketz.de), die bisher weder existierte, noch jemand kannte. Im Anschluss setzte ich eine neue Linux Virtual Machine auf, startete Firefox und installierte mir als einziges Addon WOT. Nach knapp einer Woche tauchte mein Browser bzw. meine besuchten URLs dann schließlich in den Datensätzen des NDR auf – Jackpot!

[DATUM] 11:15:04 http://what.kuketz.de/
[...]
[DATUM] 15:49:27 https://www.ebay-kleinanzeigen.de/p-anzeige-bearbeiten.html?adId=xxx
[DATUM] 13:06:23 http://what.kuketz.de/
[...]
[DATUM] 11:22:18 http://what.kuketz.de/
[DATUM] 14:59:30 http://blog.fefe.de/
[...]
[DATUM] 14:59:36 http://what.kuketz.de/
[DATUM] 14:59:44 https://www.mywot.com/en/scorecard/what.kuketz.de?utm_source=addon&utm_content=rw-viewsc
[...]
[DATUM] 13:48:24 http://what.kuketz.de/
[...]
Hinweis: Der Mitschnitt aus dem NDR-Datensatz erstreckt sich über mehrere Tage und wurde von mir gekürzt.

Jede URL, die ich in diesem Zeitraum besuchte, erscheint ungekürzt, inklusive Session ID, in den Datensätzen des »Datenhändlers«. Diesen Vertrauensbruch wirklich und wahrhaftig zu sehen hat mich ehrlich gesagt schockiert, auch wenn ich schon so einiges gewohnt bin. Letztendlich ist es mir gelungen, mich über die Datensätze selbst zu deanonymisieren – gruselig, einfach gruselig.

[Omikronn]

Der Punkt ist: "keep rating sites consistently", es geht nicht um die Menge. Wenn man 0 Seiten gewertet hat, dann hat das natürlich wenig Wert. Aber wenn man 1 Million Seiten gewertet hat, ist das nicht zwingend besser als wenn man 10 Seiten bewertet hat.

Ok, dann lag ich falsch. Das ergibt Sinn, danke für die Aufklärung. 

[celsus]

Meine Gewohnheitsparanoia hat mich bisher davor bewahrt, dieses Plugin zu verwenden und den meisten anderen Plugins, über die ich nicht genug weiß, stehe ich auch sehr skeptisch gegenüber.

Aber mal eine ganz doofe Frage: Was haben denn die vielen WOT-Benutzer geglaubt, was die Entwickler/Betreiber mit den vielen zwangsweise anfallenden Daten machen? Aufbewahren? Wegschließen? Löschen?

Ich will nicht sagen, dass ich das vorher gewusst hätte oder alle WOT-Nutzer für fahrlässig halte. Das Plugin hat(te) ja durchaus einen hohen Nutzwert und wirkte vertrauenerweckend. Aber für mich gilt da eher der Grundsatz: Daten, die vorhanden sind, werden genutzt - und oft genug früher oder später verkauft.

[Groucho]

Aber mal eine ganz doofe Frage: Was haben denn die vielen WOT-Benutzer geglaubt, was die Entwickler/Betreiber mit den vielen zwangsweise anfallenden Daten machen? Aufbewahren? Wegschließen? Löschen?

Ne, davon kann man ausgehen, irgend ein Geld muss ja verdient werden. Das heißt aber noch lange nicht, dass man Daten liefert, die eine Deanonymisierung erlauben.

[RainerO]

Meine Gewohnheitsparanoia hat mich bisher davor bewahrt, dieses Plugin zu verwenden und den meisten anderen Plugins, über die ich nicht genug weiß, stehe ich auch sehr skeptisch gegenüber...

Naja, wie fast überall kann man es mit der persönlichen Paranoia (die ich berufsbedingt durchaus auch selber habe)
auch übertreiben. Letztendlich weiß ein Anwender fast bei keinem einzigen Programm genau, was es eigentlich macht.