Aktivierte Avatare in WordPress können WordPress-Betreiberinnen gefährlich werden. Zwei Gründe führe ich an, warum Site-Betreiber mit aktivierten WordPress-Avataren via gravatar.com auf dünnem Eis gehen:
Erster Grund: Tracking
Sind Avatare in WordPress aktiviert, führt der harmlose Abruf eines kommentierten Artikels dazu, dass auf Servern in Texas (dort ist secure.gravatar.com zu Hause) ungefragt:
- die IP-Adresse meiner Leserin (wer),
- die URL des Artikels, den sie liest (was),
- Datum, Uhrzeit (wann)
- nebst dem Link jener Seite im Web, über den meine Besucherin zu diesem Artikel fand (wodurch)
- sowie mögliche Kompromittierbarkeit des verwendeten Betriebssystems oder Browsers (womit)
protokolliert werden – und zwar unabhängig davon, ob die geneigte Leserin selbst den gravatar.com-Dienst nutzt oder nicht und unabhängig davon, ob sie kommentiert oder nicht. Der Aufruf einer Seite mit zumindest einem Kommentar reicht aus.
Protokollierung von Server-Zugriffen ist natürlich Server-Standard und an sich nichts Böses. Der Haken an der Sache ist, dass amerikanische Server-Betreiber amerikanischen Gesetzen zu gehorchen haben. Und letztere erlauben nun einmal das Ausspähen von Ausländern durch informationshungrige Geheimdienste.
Der deutsche Datenschutz könnte, wie schon beim Facebook-Like-Button geschehen, auf den Plan gerufen werden, denn die Kombination der oben genannten Informationen gehört wohl zu den sog. personenbezogenen Daten einer Bürgerin und darf sicher nicht ungefragt und ohne Einverständnis der Betroffenen „exportiert“ werden.
Zweiter Grund: E-Mail-Adressen öffentlich preisgegeben
Auf der PasswordCon in Las Vegas hat letzte Woche ein Schweizer Sicherheitsforscher namens Dominique Bongard erklärt, dass er mit wenig Aufwand und frei verfügbarer Software (welche er geringfügig modifizierte) imstande gewesen sei, 45% der Gravatar-ID’s eines prominenten politischen Forums in Frankreich zu entschlüsseln und die E-Mail-Adressen aus der URL der Gravatar-Bilder zu extrahieren, welche den unsicheren MD5-Hash enthält.
Schon ein Blogartikel aus dem Jahre 2009 machte bekannt, dass der Dienst gravatar.com die unsichere und kryptologisch kompromittierte Technik des sog. MD5-Hashes verwendet, um aus E-Mail-Adressen die URL zum Gravatar-Bildchen errechnen zu können. Ganz entgegen der Erwartung an einen Hash lässt sich der Vorgang beim MD5-Hash mit einigem Geschick umkehren. Der Autor jenes Artikels war seinerzeit imstande, 10% von ca. 80.000 Benutzer-ID’s zu knacken. – Dass der MD5-Algorithmus im Grunde nicht mehr verwendet werden sollte, pfeifen die Kryptologen schon lange von den Dächern, wie hier im Jahre 2008:
Do not use the MD5 algorithm
Software developers, Certification Authorities, website owners, and users should avoid using the MD5 algorithm in any capacity. As previous research has demonstrated, it should be considered cryptographically broken and unsuitable for further use.
Wie nun alle Kommentatorinnen unserer Website, gleichgültig ob auf gravatar.com registriert oder nicht, zu dem Handkuss kommen, dass nicht nur die oben in der Liste genannten Daten an texanische Server gesendet werden, sondern dazu auch noch ihre unsicher gehashte E-Mail-Adresse, das müssen wir uns somit fragen lassen. Wirklich böse an der Sache ist, dass für alle Kommentierenden die URL zum vermeintlichen Avatar zunächst konstruiert, dann im HTML-Text ausgegeben wird und schließlich über diese URL ein Zugriffsversuch erfolgt. So wird aber auch ein völlig unsicherer Hash der E-Mail-Adresse nach Texas durchgereicht, zusätzlich zur eindeutigen IP-Adresse. Protokolliert werden in der Standardeinstellung eines jeden Webservers auch Zugriffe auf nicht vorhandene Dateien, sprich: Nicht-Gravatar-Nutzerinnen. Die geloggte URL enthält den unsicheren MD5-E-Mail-Hash.
Mit aktivierten WordPress-Avataren könnte dies daher beinahe wie ein Hohn aufgefasst werden:
Deine E-Mail-Adresse wird nicht veröffentlicht.
Wir Site-Betreiber sind es, die das Versprechen leisten, dass die E-Mail-Adresse bei uns sicher sei, während wir sie tatsächlich zugleich für jene mit den richtigen Werkzeugen öffentlich publizieren und auch gleich in die USA schicken.
Ich warne daher vor dem deutlichen Risiko, mit dem Vertrauen der Leserinnenschaft zu spielen.
Fazit
Mir persönlich scheinen weder rechtliche Datenschutz-Kollisionen noch ein möglicher Vertrauensverlust durch die Leserinnen attraktiv genug, um an (grrr) Avatar-Niedlichkeiten festzuhalten. Avatare sind in meinen WordPress-Installationen deaktiviert.
Du deaktivierst Avatare in WordPress via Einstellungen >> Diskussion (dort am Fuß der Seite). Die Einstellung heißt „Zeige Avatare“. Dort musst du einfach den Haken entfernen und dann auf „Änderungen übernehmen“ klicken.
Quellen: ars technica, sonstige im Artikel verlinkt.
Nicht nötig, so einen Hash umzudrehen. Wenn du Infos zu einer Mailadresse suchst und du hast Zugriff auf die Avatardatenbank, dann guckst du bloß: md5( mailadresse ) und bingo. Prism machts möglich.
Netter Artikel.
Mr. Unbekannt
Ja, Mr. Unbekannt, da hast du eigentlich recht …
Es wurde ja von Snowden gesagt: die Eingabe einer E-Mail-Adresse genügt … und ich kann mehr über dich wissen, als deine Gattin.
Also angenommen, die NSA hat Zugriff auf die Serverlogs von secure.gravatar.com, und sei es durch Mittschnitt des Traffic, dann habe ich mit einem Schlag Zugriff auf die URLs zu allen Kommentaren, die die E-Mail-Inhaberin je auf avatarisierten Artikeln gemacht hat. Ich erzeuge den Hash aus der E-Mail und lasse einfach einen grep HASH-Befehl auf die Logs los. Das ist ja bestürzend …
Danke für deinen Hinweis!
Vielen Dank – ein sehr interessanter Artikel.
Vielleicht solltest du für deinen Blog besser nicht WordPress sondern serendipity oder nucleus CMS verwenden:
So wie du dich über diesen Service aufregst, gehe ich davon aus, dass du unter gravatar.com bestimmt die Datenschutzerklärung gefunden hast. Dann wird dir sicherlich auch aufgefallen sein, dass du durch klicken auf die Datenschutzerklärung zu automattic.com/privacy weiter geleitet wirst. Und ganz vielleicht hast du dich auch ein wenig mit WordPress beschäftigt, bevor du es installiert hast und weißt daher, dass automattic die Firma in den USA ist, die hinter der Entwicklung von WordPress steckt.
Wenn du also Automattic nicht vertraust, weshalb nutzt du dann WordPress? 😉
Ja hallo, Dunkelangst,
nun, ich nutze auch das Internet, obwohl ich dem Internet nicht traue – wie so viele inzwischen 🙂
Ich weiß zudem, wer WordPress entwickelt und wo Automattic zu Hause ist. Doch was hat das mit der Empfehlung zu tun, keine indiskreten Services zu nutzen? Automattic ist ebenso vertrauenswürdig wie jede andere amerikanische Firma, die Nutzerdaten von Abermillionen Nutzern speichert (ich nehme an, du liest Zeitung). Sie hat amerikanischen Gesetzen zu gehorchen. Automattic stellt Akismet auf eine Weise zur Verfügung, die in Deutschland rechtliche Implikationen hat. Automattic stellt auch die Jetpack Comments zur Verfügung, und ja, auch hier würde ich die Vertrauensfrage nicht stellen.
Ich kann damit ganz gut umgehen. Arglose Besucher einer Website, die allein durch den Aufruf eines kommentierten Blogartikels in Texas getrackt werden, nur weil im deutschen Blog Avatare aktiviert sind, müssen damit nicht umgehen können. Sie sollten aber dem Website-Betreiber trauen können. Es geht um das Vertrauen der Besucher deiner Website zu dir. Oder auch: um das, was du bereit bist, von deinen Leserinnen an Information weiterzugeben. Die kompromittierten Hashes der E-Mailadressen von nicht einmal auf gravatar.com registrierten Benutzerinnen sollten definitiv nicht dazugehören.
Wie schon geschrieben: nutze doch besser einfach s9y. 😉
Ich kenne das ja schon: auf Argumente einzugehen ist den meisten zu mühsam. Mir andere Software zu empfehlen macht deine Publikationen nicht rechtssicherer. Darüber würde ich nachdenken.
The best.
P.S: Welchem Spamfilter nutzt du eigentlich für deine Kommentare? 😉
Ich werde Antispam Bee einsetzen, sobald es nötig ist.
Dieser Code kann in einem eigenen Plugin leicht in die Gravatar-Ausgabe vor der Remote-Abfrage hineingehookt werden und verhindert zumindest die Weitergabe der Artikel-URL, die zum Kommentar eines Mail-Besitzers gehört:
https://gist.github.com/justinph/5197810
Aber es ist trotzdem in den Logs auf gravatar.com der Kontext zur Domain hergestellt und der Weg eines Mail-Inhabers zum Blog nachvollziehbar gebahnt.
Den Sinn verstehe ich nicht. Wie du schon sagst, Bernd, es wird innerhalb der Funktion die URL aus dem Mail-Hash gebildet und abgefragt. Und genau das ist der Punkt der Kritik. Damit werden also eben sogar nicht bei avatar.com registrierte Mail-Adressen übermittelt und sind somit kompromittiert.
(Sorry für die späte Antwort.)