qrios

IT ist kurios!

Archive for the ‘web’ Category

/* TBL */

without comments

Die letzte Folge der dritten Staffel von Halt and Catch Fire wurden grade ausgestrahlt. Wer die Serie bisher nicht kennt, sollte sie unbedingt ansehen, wenn er sich auch nur marginal für Computer und deren Entstehungsgeschichte interessiert.

In einem wunderschönen und wunderschön schlichten Moment des Staffelfinales – und der IT-Geschichte – treffen sich die Hauptprotagonisten zu einem Meeting in der es um die Frage geht, ob sich aus der Entwicklung dieses Hyptertext-Systems vom Cern irgendwas für die Zukunft machen liesse.

Wie so oft ist es Joe MacMillan (Lee Pace), der die Bedeutung einer Erfindung – diesmal das “WWW” – erkennt. Er argumentiert, dass dies die Befreiung der vernetzten Welt aus den umzäunten Vorgärten der AOLs, CompuServes, etc. ist. Um dies zu verdeutlichen schreibt er den Code des Browsers an das Whiteboard.

www-small

John MacMillan vor dem originalen Browser-Code von Tim Berners-Lee (aus Europe!)

Man findet den Code heute auf dem Internet Archive in einer Browser-Collection. Interessant an dem Code ist, dass der erste Browser im wesentlichen eigentlich nur ein Wrapper zu dem RTF(D)-Framework von NEXTSTEP war. Die wichtigsten Zeilen der Datei WorldWideWeb.m befassten sich mit den Einstellungen für die PostScript-Darstellung wie PaperType, LeftMargin, etc.

In der Serie wurde der Code fast fehlerfrei geschrieben. Allerdings zeigt die Archive-Version, dass zwei Zeilen auskommentiert wurden (NXArgc & NXArgv). In vielen Zeilen findet sich der Kommentar /* TBL */ – ganz offensichtlich von Tim Berners-Lee selbst.

Den original Browser kann man sich übrigens auf oldweb.today ansehen und ausprobieren.

Written by qrios

October 17th, 2016 at 8:31 pm

Posted in code,web

Domain-übergreifende Hilfs-Cookies mit “window.name”

without comments

Die aktuelle Diskussion über Canvas-Fingerprints hat wieder gezeigt, dass sowohl Browser als auch HTML und JavaScript viele Einfallstore für Datensammler bieten. Viele Funktionen, die den Nutzern eigentlich den Umgang mit dem Web erleichtern sollen stellen sich früher oder später als Privacy-Lücke heraus (z.B. kann das Caching für einen ausgezeichneten Cookie-Ersatz verwendet werden).

Für Datensammler stellt sich jedoch immer auch das Problem der Domaingrenze. D.h. die Browser verhindern inzwischen den Zugriff auf Informationen oder Funktionen, die von einer anderen Domain im Browser angelegt wurden.

“window.name” funktioniert Domain-übergreifend

Allerdings gibt es mit dem Objekt window.name einen Store für beliebige Inhalte, die von einer Domain zur nächsten übermittelt werden können. Ein einfacher Test in der Browserconsole zeigt, wie es funktioniert:


> window.name
< ""
> window.name = "id"
< "id"

Ruft man nun in der aktuellen Seite einen Link auf, der auf eine andere Domain verweist und fragt wiederum window.name ab erhält man weiterhin “id”:


> window.name
< "id"

Die Ursprungsseite kann also Informationen an die Zielseite weiterleiten. Und dies obwohl bei in verschiedenen Domains liegen. Der Speicherplatz in der Variable kann dabei mehrere hundert KByte große sein.

Privacy-Lücke auch in Tor

Prinzipiell eignet sich das Verfahren damit für die Erkennung und Rekonstruktion von Nutzern insbesondere in anonymisierenden Umgebungen wie etwa Tor oder hinter privoxy. Tatsächlich überschreibt auch der Tor-Browser die Variable nicht, wenn eine neue Seite aufgerufen wird. Ein interessierter Angreifer kann Code auf bestimmte Seiten platzieren und den window.name setzen und auf anderen Seiten diesen wieder auslesen. Dabei muss die Variable nicht permanent gesetzt sein. Es genügt eine Funktion bei “unload” aufzurufen, die gewünschten Informationen in die Variable zu schreiben und beim Aufruf der neuen Seite wieder auszulesen und zu löschen.

Cross-Domain-Angriff möglich

Da in der Variable window.name nicht nur Strings sondern auch Code gespeichert werden kann, lässt sich so prinzipiell auch schadhafter Code auf fremden Seiten einschleusen. Das offensichtlichste Einfallstor sind weit verbreitete JavaScript-Frameworks, die auf das Objekt zugreifen. Wenn darin dann statt des erwarteten Strings Methoden stecken, kann das Framework dazu gebracht werden, diese fremden Funktionen auszuführen.

Ein kompromittiertes Banner zu einer Bankenseite kann dorthin Code deployen und dann unter anderer Domain und sogar https Zugangsdaten und PINs abgreifen oder gar gleich den Empfänger manipulieren.

Tatsächlich wird mit der Technik schon eine Weile rumgespielt. Auf github findet sich zum Beispiel ein jQuery-Plugin, das window.name explizit für Cross-Domain-Messageing verwendet.

Wie in so vielen Fällen schützt auch hier wieder nur JavaScript abzuschalten. Prinzipiell stellt sich aber die Frage, ob der window.name überhaupt noch zeitgemäß ist. Immerhin sind die Zeiten der Framesets und damit die Notwendigkeit der Frame-Namen glücklicherweise vorbei.

Written by qrios

July 25th, 2014 at 3:17 pm

Posted in analytics,privacy,web

#Krautreporter – Oder: Haltet den Dieb!

with 2 comments

Aktuell haben die Krautreporter noch zwei Tage Bangen vor sich. Noch fehlen dem Projekt mehr als 5000 Unterstützer, die mindestens 60€ für eine Jahresmitgliedschaft investieren. Sie fördern damit ein alternatives Marktmodell für journalistische Produkte. Mit knapp 1 Mio € für ein Jahr wäre das Projekt gut ausgestattet. Und 60€ pro Jahr sind für einen anspruchsvollen Medienkonsumenten auch nicht viel.

Noch ein zartes Pflänzchen: Weißkohl

Noch ein zartes Pflänzchen: Weißkohl

Aber 60€ sind – zumindest für mich – zu viel für ein Projekt, das auf weitgehend falschen Annahmen basiert. Es wurde von Journalisten initiiert, die nach meiner Meinung schon an ihrem Arbeitsplatz selbst einen beschränkten Horizont ein sehr fokussiertes Blickfeld haben.

Buhmann Onlinemarketing

Zu meinen regelmäßigen Kunden gehören seit vielen Jahren große Online-Publisher. Sie erwarten von mir, dass ich ihnen zeige, wie sie aus den Webanalytics-Daten erfahren können, wie man mehr Klicks erreichen kann. Dabei spreche ich sowohl mit der Redaktion, mit dem Vertrieb als auch mit Technik und Produktmanagement.

In den meisten Fällen erwarten meine Gesprächspartner, dass die Nutzerdaten ihnen besser sagen können, was und wie sie zukünftig schreiben sollen. Die Zahlen sollten es ihnen besser sagen als es ihr Gefühl oder die Chefredaktion kann.

Insbesondere die Redaktionen wirken häufig verunsichert. Ihnen ist die Aufmerksamkeitsökonomie der Nutzer ein Buch mit sieben Siegeln. Sie schauen tagtäglich, oft sogar mehrmals stündlich auf die Artikelperformance bei Chartbeat. Longtail halten sie für ein Mythos aus der guten alten Zeit.

Als gelernter Journalist habe ich noch eine tägliche Redaktionskonferenz für ein monatlich erscheinendes Magazin erlebt. Ja, täglich für eine Monatsausgabe. In diesen Konferenzen kämpften die Redakteure mit/gegen der/die Chefredaktion für ihre Inhalte, für ihre Sicht der Dinge, für ihre Meinung. Es war immer Platz für Nischenthemen. Es war weitgehender Konsens bei den Redakteuren, dass eben diese Nischen es den Lesern erleichterten den Mainstream der Inhalte einzuordnen. Die Chefreaktion hat gemeinsam mit den Redakteuren und den Autoren die Inhalte kuratiert.

Nicht ein mal habe ich es in einer solchen Konferenz erlebt, dass die Chefredaktion etwas über den Anzeigenverkauf hat verlauten lassen. Natürlich musste die Heftplanung die verkauften Anzeigen berücksichtigen. Verkaufszahlen wurden nur genannt, wenn wiedermal ein Rekord gebrochen wurde.

Wenn ein Artikel geschoben wurde war das entscheidende Argument nicht, dass zu wenig Anzeigen verkauft wurden sondern, dass das Thema grade nicht passt oder noch weiter ausgearbeitet werden sollte. Die Chefredaktion fungierte als Firewall gegen die Wünsche der Anzeigenabteilung. Und sie musste sicher viel aushalten. Denn die Anzeigenabteilung in einem Verlag ist mächtig und gefräßig. (Das liegt unter anderem daran, dass sie im Gegensatz zur Redaktion sehr stark Bonus-getrieben ist.)

Bei allen mir bekannten Online-Redaktionen gibt es diese “Chefredaktions-Firewall” nicht mehr, oder nur noch sehr eingeschränkt. Die Redaktionen haben direkten Zugriff auf die Nutzungszahlen. Statt gesteuerter Kuration nutzen die Managementebenen nun den direkten Wettbewerb in der Redaktion als Instrument der Entwicklung des verlegerischen Profils.

Wenn die Krautreporter also implizieren, dass Redaktionen heute nur noch Futter für die Klickviehtröge liefern, haben sie durchaus Recht. Aber es sind eben diese Redaktionen und Chefredaktionen, die diesen Wettlauf überhaupt veranstalten. Es sind die Redakteure, die mit den WebAnlytics-Zahlen in die Redaktionskonferenz gehen und die Heftplanung mit Milchmädchenrechnungen in ihrem Sinne manipulieren.

Die strategische Themenplanung im eigentlichen verlegerischen Sinne ist daher heute ungleich schwerer. Plastisches Beispiel für diese Hypothese ist Spiegel Online: inzwischen verdrängt der Fussball an mehreren Tagen in der Woche weite Teile der Nischenthemen und oft sogar die Kernthemen. Offensichtlich ein Effekt der positiven Rückkopplung. Mehr Fussball bringt mehr Fussballinteressierte. Die Klickzahlen liefern den Sportredakteuren dann die notwendigen Argumente für immer mehr Fussball. Ähnlich dürfte die Entwicklung vor einigen Jahren beim Stern abgelaufen sein. Vor zehn Jahren war Panorama eher selten unter den Top-5-Themen auf der Homepage. Heute sind es mitunter mehrere Panorama-Artikel auf der Bühne gleichzeitig.

Aber Online-Marketing ist nicht gleich Online-Marketing. Es gibt Beispiele in denen eine geschickter Vertrieb signifikant höhere Preise erzielen kann. Große Sportseiten erreichen bei Markenherstellern Preise von denen AdServer-Betreiber und Bookingagenturen nur träumen können. Die Kooperation der Zeit mit dem Uhrenhersteller Nomos Glashütte lohnt sich offensichtlich für beide Partner.

Solche Partnerschaften und Vertriebskonzepte funktionieren allerdings nur, wenn man ein verlegerisches Profil hat. Dann und nur dann hat man auch eine attraktive Leserschaft und Zielgruppe. Dabei kann man sogar für Anzeigenkunden kritische Themen ausbreiten und dennoch gutes Geld verdienen. Ein schönes Beispiel, wie das funktioniert zeigen die Prenzlauer Berg Nachrichten. Während man ein umfangreiches Dossier über Gentrifizierung pflegt, verkauft man gleich noch das Immobilienprojekt. Chefredakteur und Geschäftsführer des Onlinemagazins ist übrigens Philipp Schwörbel, ein Krautreporter.

Publikumsbeschimpfung

Wenn die Krautreporter nun Vorschuss von ihren Lesern haben möchten, dann machen sie den Gärtner zum Bock:

Du,

lieber Leser,

bist mit Deinem nervösen Finger Schuld an unserer Misere. Immer wenn Du auf eine catchy Überschrift klickst, stirbt ein Qualitätsjournalist einen kleinen Tod. Mit jeder Bilderstrecke in die Du Dich fallen lässt, verhinderst Du wieder einen Pulitzer-Preis-trächtigen Artikel.

Andere kritisieren das Projekt aus anderen Gründen. Insbesondere die Kampagne selbst wird als arrogant betrachtet. Die Macher scheinen von der Kritik überrascht worden zu sein. Nachbesserungen sollten wohl den Wind aus den Segeln nehmen. Doch es fällt immer wieder auf, dass die Krautreporter das Modell der werbefinanzierten journalistischen Produkte für einen Verfall der journalistischen Qualität verantwortlich machen. Als ob Werbung eine Erfindung für das Internet wäre.

ps: Ich persönlich bin übrigens der Meinung, dass wir zu wenig Meinungsjournalismus haben und nicht zu viel. Aber das ist noch ein ganz anderes Thema.
pps: Den drohenden Misserfolg der Kampagne als eine Schlappe der Netzgemeinde zu menetekeln halte ich übrigens für vollkommen daneben. Denn das Projekt ist sowas von Old School.

Written by qrios

June 10th, 2014 at 6:20 pm

Posted in netzpolitik,web

Der Content in den Zeiten des Internet

with one comment

Eine interessante Diskussion entspannt sich grade über den Begriff und die Bedeutung von “Content-Marketing”. Angefangen hat es vor zwei Wochen mit einem Interview von Jeff Jarvis im Internet Magazin das mit dem Titel “Content Marketing ist der falsche Weg” überschrieben ist. Thomas Knüwer befragt den bekannten Post-Privacy-Apologeten unter anderem über dessen Einstellungen zu Google und der Google-Strategie. Es wird sehr schnell deutlich, dass Jarvis ein lupenreiner Vertreter der Solutionism-Vertreter ist von denen Evgeny Morozow redet. Im Kern sagt er, dass Google es sehr gut schafft, Bedürfnisse von Kunden zu sehen, auch, wenn diesen solche Bedürfnisse nicht bewusst sind.

Ab der 16 min. kommen sie zu dem Thema Content und Content-Marketing. Auf die Frage von Knüwer, ob Firmen einen Fehler machen, wenn sie Content-Marketing betreiben antwortet Jarvis, dass Journalisten eigentlich keinen Content produzieren. What? Nach seiner Auffassung sind Bücher und Filme, die der Unterhaltung dienen, Content. Demgegenüber wäre Journalismus laut Jarvis ein Service. Sie setzen den Kontext des Adressaten in Beziehung zu Informationen und bereiten diese Informationen so auf, dass sie wertvoll für den Konsumenten sind. Und durch diesen Kontext könnten diese Medienanbieter dann auch gezielt Werbung vermarkten (Targeting).

Und an dieser Stelle wird eigentlich schon sehr deutlich, dass Jarvis ein Modell vertritt, dass man als überholt betrachten muss. Sein Taschenspielertrick mit der Unterscheidung zwischen Content und Informationsservice fällt in sich zusammen, wenn man etwas Abstand vom Gegenstand der Betrachtung nimmt. Firmen wie Amazon, Zalando oder HRS haben in nur wenigen Jahren einen großen Teil der Intermediates ersetzt. Zwischen dem Autoren und dem Leser eines Buches gab es früher immer mehrere Zwischenhändler: Agent des Autoren, Verlag, Großhändler und Buchhändler. Hinzu kommen Zulieferer wie Druckerei, Werbeagentur, Anzeigenabteilung und Logistik. Davon sind in vielen Fällen heute mehrere weggefallen. In manchen Fällen (eBook Selbstverlag) sind alle verschwunden. 3D-Drucker und Drohnen-Zustellung werden die Reste dort eliminieren, wo sie heute noch unabdingbar sind.

Kickstarter-Projekt PowerUp: Produkt oder Content?

Kickstarter-Projekt PowerUp: Produkt oder Content?

Allerdings ist Amazon ja kein Produzent von Content oder Produkten. Es ist ein Hub. Deutlicher sieht man dies an Kickstarter. Content (und Produkte) werden von Nutzern der Plattform kreiert und suchen sich dann einen Kanal über den sie vertrieben werden können, respektive ihre Konsumenten finden. Ist Kickstarter nun aber nur Großhändler für Businessideen? Nein, es ist eine Unterhaltungsplattform mit einer sehr hohen Relevanz- und Kontextbezogenheit. Es befriedigt wohl in den seltensten Fällen ein echtes Produktbedürfnis. Sehr schön zu sehen ist das an dem grade laufenden Projekt PowerUp, einem Motor für Papierflieger. Nach nur einem fünftel der Zeit hat das Projekt schon zehn mal mehr Geld eingesammelt als die gedachten $50.000.

Die Transformation durch das Internet ist daher immer am besten zu beschreiben, wenn man berücksichtig, dass Zwischenhändler überflüssig werden. Und das liegt vor allem an der Fähigkeit des Internet, den ja auch von Jarvis beschriebenen Kontext zu dem Adressaten herzustellen. Dieser Kontext bestand früher in der Fähigkeit eines Verkäufers auf den Kunden individuell zu reagieren. Mit Argumenten, mit Preisen und mit Empathie. Das sind aber Eigenschaften, die sich nicht skalieren lassen. Ein Verkäufer in einem Laden kann eben an einem Tag nur eine begrenzte Anzahl von Kunden bedienen.

Im Netz können beliebig viele Kunden durch eine Empfehlungsengine mit Kontext versorgt werden. Unendlich vielen Kunden können vermeintliche Preisvorteile angeboten werden und jeder Kunde kann mit persönlichen Worte angesprochen werden: “Dein Facebook-Freund Thomas hat sich das Produkt letzte Woche gekauft, er gibt ihm fünf Sterne!”.

Vor diesem Hintergrund wird deutlich, dass auch Journalisten Intermediates sind. Eine Information hat nur dann Informationsgehalt, wenn sie erstens beim Adressaten ankommt, wenn sie zweitens für ihn relevant ist und wenn sie drittens neu ist. Übersetzt bedeutet dies, dass der Journalist der Verkäufer eines Produktes (Nachricht) ist, dass irgendwo in der Welt hergestellt wurde. Sei es durch eine Naturkatastrophe, ein Sportereignis oder eine wissenschaftliche Studie. Die Aufgabe des Journalisten ist es nun, diese Nachricht für seine gedachten Kunden aufzubereiten und in die jeweiligen Kanäle zu distribuieren. Was daran genau sollte eine Empfehlungsengine nicht können? Medien und Journalisten sind nur dann überhaupt noch existenzfähig, wenn sie selbst Nachrichten produzieren, also Meinung. Und das verträgt sich nach bisheriger Meinung vieler Journalisten nicht mit der Ethik ihrer Branche.

Demgegenüber ist Content-Marketing nichts anderes als die – möglichst algorithmisch gesteuerte – gezielte Verbreitung von Nachrichten, die von Firmen produziert werden. Diese Nachrichten konkurrieren mit anderen Nachrichten über Naturkatastrophen, ein Sportereignisse oder eine wissenschaftliche Studien um unsere Aufmerksamkeit. Idealerweise wird sie Menschen mit Meinung berücksichtigen, die offensichtlich einen Einfluss auf meine Aufmerksamkeitsökonomie haben. Und an der Stelle kann man dann auch Henning Grote folgen, der in seiner Antwort auf Jeff Jarvis vom Relationship Business spricht. Es beginne schon vor der Content-Produktion und basiere auf echter Beziehungsarbeit. Bezogen auf das Beispiel von Kickstarter ist es das, was die Anbieter machen, wenn sie ihre Freunde in den gesamten Prozess  der Projektentwicklung einbeziehen.

Das Paradebeispiel für gelungenes Content-Marketing dürfte ladyada von Adafruit sein. Obwohl es sich “nur” um einen Anbieter von Bastlerelektronik handelt ist sie eine Galionsfigur einer ganzen Homebrew-Generation und liefert neben Produkten eben auch kontinuierlich Content der Menschen inspririert und unterhält. Und das ganz ohne Medien, ursprünglich nur verbreitet von begeisterten Anhängern, die durch ihre Begeisterung zu “Influencern” werden.

Written by qrios

December 6th, 2013 at 2:11 pm

Posted in web

“Einschaltquoten” von Online-Video-Angeboten

without comments

Die Messung der deutschen TV-Einschaltquoten ist aus Sicht eines halbwegs statistisch gebildeten Betrachters extrem fragwürdig. Wenige tausend Haushalte werden mit speziellen Geräten ausgestattet, die Teilnehmer werden geschult im Umgang mit Fernbedienungen (was übrigens die exorbitante Nutzung von Videotext erklärt) und am Ende des Jahres erhalten sie Kaffeemaschinen als Belohnung. Das Verfahren dient aber auch nur der Vergleichbarkeit der Quoten untereinander. Es bestimmt letztlich den Mediamix und damit wie viel Geld die Häuser ARD/ZDF, ProSieben und RTL bekommen.

Blind ist die GFK-Methode schon immer gegenüber der Mediennutzung abseits von TV und Radio. Man weiß aus Untersuchungen und vor allem aus eigener Erfahrung, dass der Trend weg vom programmgesteuerten Berieseln hin zur aktiven Bestimmung der Inhalte geht. Komplette Serienstaffeln werden an einem Stück angeschaut, Filme werden im Store geliehen oder gekauft oder gleich aus der Piratenbucht befreit. Aber wie hoch ist der Anteil der Nutzer, die ihren Medienkonsum selbst bestimmen?

Analyse

Das DE-CIX veröffentlicht ab und zu Charts über den Traffic auf den deutschen Internetknoten. Danach fliessen zu Spitzenzeiten über 2,5 Terabit durch die Leitungen. Interessant an dieser Zahl ist jedoch nicht der Wert selbst, sondern, wann er typischerweise stattfindet: zwischen 19:00 und 22:00 Uhr, zur besten Sendezeit.

Am gleichen Tag (3.11.2013) zur typischen Mittagspause in Deutschland lag der Wert ein Viertel niedriger. Ein solcher Verlauf ist auch in den anderen Charts des DE-CIX zu sehen. Der abendliche Peak ist jedoch nicht in den Zugriffszahlen eines durchschnittlichen deutschen Portals zu sehen. Manche Angebote schaffen es, zum Abend die Spitzenzahlen vom Mittag oder Nachmittag marginal zu übertreffen. Im Normalfall fällt die Kurve nach dem Kaffee-Peak gg. 15-16 Uhr langsam ab um dann spätestens zum Beginn des Hauptfilms stärker abzusacken.

Zur besten (TV-)Sendezeit steigt auch der Internettraffic ohne, dass die deutschen Portale davon etwas abbekommen.

Zur besten (TV-)Sendezeit steigt auch der Internettraffic ohne, dass die deutschen Portale davon etwas abbekommen.

Zur Hochzeit (am 3.11. wurden die Uhren zurückgestellt) um 19:30 fliessen etwa ein Drittel mehr Daten durch die deutschen Netze, die nicht von den großen deutschen Angeboten kommen. Es liegt nahe, die Nutzung von Youtube, Youporn und Serienportalen dafür verantwortlich zu machen. Denn weder Whatsup noch Email oder Facebook können bei intensivster Nutzung signifikante Bandbreite verbrauchen.

Ausgehend von einem Terabit kann man grob schätzen, wie viele Menschen, grade nicht vor dem Fernseher sitzen, sondern sich ein Video im Netz ansehen. Im Durchschnitt dürfte die Übertragungsrate eines Videos bei unter 500 kbit/sec liegen. In diese Schätzung fliesst sowohl die Tatsache ein, dass das Angebot von HD-Videos nach wie vor gering ist (insbesondre bei Serienportalen) und dass immer wieder Pausen entstehen, weil der Nutzer sich ein anderes Video sucht oder die Leitung stockt. Aus dieser Schätzung ergibt sich eine Zahl von etwa 2 Mio gleichzeitigen Streams zu Spitzenzeit.

Verglichen mit der Einschaltquote (Quelle GFK) des Tatorts am 3.11. von über 10 Mio Zuschauern sind 2 Mio Nutzer sicher noch nicht lebensbedrohlich. Insgesamt hat das deutsche Fernsehen an diesem Abend wenig mehr als 30 Mio Menschen erreicht. Über zwei Millionen wenden sich jedoch Abend für Abend vom Fernseher ab und lieber dem Netz zu. Und dabei handelt es sich sicherlich eher um interessante Zielgruppen für die Werbetreibenden.

Written by qrios

November 15th, 2013 at 1:06 pm

Posted in analytics,web

Strategien gegen Browser-Fingerprinting

with 5 comments

Über Browser-Fingerprints wird immer häufiger berichtet und es wird möglicherweise noch viel häufiger eingesetzt. Allerdings ist es nicht so einfach, zu ermitteln, wie weit diese Technik zu Wiedererkennung eines Nutzers respektive dessen Systems wirklich verbreitet ist. Zuletzt gab (die Tochter des Axel Springer Verlages) Zanox zu, Fingerprinting zu verwenden. Die verwendeten Verfahren sind allerdings sehr vielfältig und zielen auf unterschiedliche Eigenschaften der Browser und Systeme. Eine funktionierende Strategie gegen Fingerprinting ist also abhängig von der Erhebungsmethode.

Verwendete Daten

Ausgangspunkt für alle Browser-Fingerprints sind die User Agent Strings. Darüber teilt der Browser bei jedem Request mit, zu welcher Familie er gehört und auf welchem System er läuft. Manche Browser (IExplorer) sind geschwätziger als andere (Safari). Häufig meinen auch PlugIns und Browsererweiterungen, heraus posaunen zu müssen, dass der Nutzer so nett war, die Erweiterung zu installieren. Eine solche Installation kann durchaus auch unbeabsichtigt und sogar unbemerkt vom User stattfinden. Nach wie vor installieren Firmen, wie Adobe, HP oder Oracle – gerne unbemerkt – Browser-PlugIns.

Je länger ein System genutzt und angepasst wird, desto geringer ist die Wahrscheinlichkeit, dass der User Agent String weltweit mehrfach auftaucht. Zanox behauptet zwar, dass die Daten nur wenige Tage verwendbar sind, dies gilt aber nur in Hinblick auf die Tatsache, dass Zanox das Verfahren tatsächlich auch zur Berechnung der Kosten ihrer Kunden verwendet. Effektiv dürften mindestens 2/3 aller Nutzer sicher auch über mehrere Wochen erkennbar sein. Insbesondere in Zusammenhang mit ergänzenden Techniken (z.B. Browser-Update-Informationen) lässt sich eine Historie herstellen.

Neben dem User Agent String werden Informationen über den Browser vor allem mittels JavaScript erfasst. Wichtigste Quelle für Browser-Unterschiede ist das JavaScript-Object navigator und dort besonders die Liste der unterstützten Mime-Types: navigator.mimeTypes. Mit über 100 unterschiedlich sortierten Einträgen in einem typischen Browser liefert diese Liste eine hervorragende Quelle für Differenzen. Mit ein wenig Datenanalyse lässt sich damit selbst ein Nutzer mit verschiedenen Browsern auf dem gleichen Rechner und mit der gleichen IP-Adresse erkennen.

Während die bisher beschriebenen Verfahren darauf basieren, dass der WebServer Daten abfragt, die unabhängig von ihm existieren, verwenden weitergehende Techniken Methoden, die die relevante Information zuvor auf dem Rechner ablegen. Insofern fallen diese Techniken direkt in den Bereich des Cookie-Ersatzes. Basis aller dieser Verfahren ist der Browser-Cache. Eine sehr simple Methode ist die Übermittlung von IDs als Bilder, die dann gecached werden und dem Server beim nächsten Besuch ermöglichen, die ID wiederherzustellen.

Wesentlich verbreiteter ist jedoch die Verwendung von ETags. Dabei handelt es sich um eine ID, die von den WebServern im http-Header an den Browser sendet. Das Protokoll sagt, dass diese ETag-ID bei einem Aufruf an den Server senden kann, falls der Browser das entsprechende Element zuvor bereits geladen hat. Solche ETags wurden mit http Version 1.1 eingeführt und werden von allen aktuellen Browsern unterstützt. Bisher wurden sie jedoch extrem selten verwendet. Sie bedeuten aus Sicht eines Content Management Systems mehr Probleme als Vorteile. Eine gute Demonstration der Funktionsweise findet sich hier.

ETag-basierte Erkennungssysteme sind schwer zu erkennen und funktionieren auch ohne JavaScript oder PlugIns. Besonders für Netzwerke, die Nutzer-Identitäten austauschen bieten sie sich an. Die beteiligten Unternehmen müssen lediglich ein IMG-Tag einbauen. Dieser kann ein Bild von einem unabhängigen Server laden. Der Server überträgt dann den Referer, die IP-Adresse und den User Agent String zusammen mit einer eindeutigen ID an die beteiligten Partner. Verbessert werden solche Daten mitunter durch Verfahren wie dem Post-Hack zur Umgehung einer möglichen Sperre von 3rd-Party-Cookies. Dabei wird das Bild nicht direkt aus der Seite aufgerufen sondern über einen Iframe, dessen URL und damit auch der Referer dann die Informationen aus dem Cookie enthält.

Schutzmöglichkeiten der Nutzer

Die Verknüpfung unterschiedlichster Identifikationsverfahren bedeutet für den Nutzer, dass lediglich einzelne Strategien zur Anonymisierung nicht ausreichen. Gegen ETags wirkt auf jeden Fall das Löschen des Browser-Caches. Gegen die Erkennung der Mimetypes und PlugIns mit Hilfe von JavaScript wirkt das Abschalten von JavaScript. Das regelmässige Löschen von Cookies ist inzwischen ebenfalls verbreitet. Der Privatsphären-Modus schützt nur vor dem dauerhaften Speichern von Cookies und den Einträgen im Local Storage. Gegen das Fingerprinting auf der Basis des User Agent Script gibt es darüber hinaus Browsererweiterungen und Einstellungen (Safari Entwicklermenü). Tools wie Ghostery sind zwar sehr interessant, weil sie zeigen, wer auf einer Seite tatsächlich Daten erheben will, sie schützen jedoch nur vor den allgemein bekannten Firmen. Partnernetze agieren häufig unter dem Radar der Öffentlichkeit und basieren auf Eigenentwicklung oder Lösungen von kleinen IT-Anbietern, die selbst nicht in Erscheinung treten. Das PlugIn für Firefox FireGlovs wird inzwischen nicht mehr verbreitet. Es war tatsächlich nicht in der Lage, den Nutzer vor kombinierten Fingerprint-Verfahren zu schützen. [Update] Gábor Gulyás von Privacy Enhancing Technologies (pet-portal.eu) wies darauf hin, dass FireGlove ein Proof of Concept und nicht für zur generellen Benutzung gedacht war. Er hat unter anderem auch die gut recherchierte und wesentlich tiefer gehende Arbeit “Tracking and Fingerprinting in E-Business: New Storageless Technologies and Countermeasures” mitverfasst.[/Update]

Die effektivste Methode ist eine Kombination aus dem Löschen von Cache und Cookies, der Verwendung eines verbreiteten User Agent Strings und dem Deaktivieren von JavaScript und PlugIns. Für Sites, die eine solche Funktion erzwingen, verwendet man am besten einen separaten Browser. Ausschalten sollte man auch die Wiederherstellung der alten Tabs. Idealerweise schliesst man auch den Browser und löscht alle Daten bevor man in ein anderes Netz wechselt oder per DSL eine neue IP-Nummer bekommt.

Falls es nicht so sehr auf die Geschwindigkeit ankommt und wem die genannten Maßnahmen zu kompliziert sind, dem empfiehlt sich natürlich ein Tor-Browser.

Written by qrios

October 2nd, 2013 at 2:42 pm

Posted in analytics,privacy,web

Mozilla löst kein Probleme, es wird selbst zu einem

with 2 comments

Quelle: http://en.wikipedia.org/wiki/File:Paris_Tuileries_Garden_Facepalm_statue.jpg

Quelle: en.wikipedia.org
cc-by-2.0

Mozilla schlägt vor, Profiling direkt im Browser einzubauen. Profiling ist die Basis für Targeting und ist ein wesentliches Feature gehobener WebAnalytics-Lösungen. Profiling ist der Kern des Geschäftes von Firmen wie nugg.ad, Wunderloop (ehemals 7d) und früher schon Yoolia. Ziel ist es, aus dem historischen Verlauf vieler/aller aufgerufenen Seiten, die Affinität zu bestimmten Themen oder Themengruppen zu ermitteln. Auf der Basis dieser Daten kann dann Werbung gezielter positioniert werden.

Mit Profiling soll das Ford’sche Dilemma gelöst werden. Henry Ford wird der Ausspruch zugeschrieben, dass er zwar wisse, dass die Hälfte der Marketingkosten zum Fenster rausgeschmissen sei, aber nicht welche Hälfte. Mit Hilfe von Profiling würde man nur noch die ansprechen, die auch tatsächlich potentielle Kunden sind.

In der klassischen Werbung gibt es einen solchen direkten Rückkanal nicht. Die Werbewirksamkeitsforschung muss sich auf krude Verfahren, wie Panelgruppen (GFK, agof) und Massenzählungen (IVW, Radioreichweite) stützen. Diese werden dann mit obskuren Sinus-Gruppen verknüpft und daraufhin wirbt dann “o.b.” bei Tele5 im täglichen Star-Trek-Slot.

Auf dem Mozilla-Blog hat der Product Manager Justin Scott nun ein System vorgeschlagen, dass es zukünftigen Firefox-Versionen ermöglichen würde, selbst ein Profil zu erstellen. Dieses soll dann (offensichtlich) anonym an den Serverbetreiber einer Seite gesendet werden. Damit wäre es dann möglich den Inhalt so aufzubereiten, dass der Nutzer nur die Themen sieht, die ihn tatsächlich interessieren.

Problem I:

Bei großen Sites ist die Anzahl der Nutzer groß genug, dass aus den Themen-Clustern eines Profils dieses wieder deanonymisiert werden kann. Dazu gibt es genügend Studien und das sollte jeder halbwegs informierte Produktmanager auch wissen. Zumal ja neben dem Profil nach wie vor genügend Daten über den Browser (User Agent String) mitgesendet werden.

Problem II:

Die Filter-Bubble, die von vielen als antidemokratisch eingeschätzt wird, verengt sich noch mehr. Statt der Möglichkeit, sich umfassend über die Welt durch verschiedenste Medien informieren zu können, werde ich – ohne es zu wissen – einer heilen Welt gefangen gehalten.

Problem III:

Die Klassifizierung der Themen kann durch einen Inhalteanbieter manipuliert werden. Gesetzt den Fall, ein Forum, deren tägliche Besucher sich über historische Landkarten austauscht, bekommt zu wenige Werbeanzeigen durch die großen Werbenetzwerke. Was liegt näher als sich dann einen Bereich auszusuchen, der häufig gebucht wird. Vielleicht Schuh-Shopping oder Versicherungen. Alle Nutzer des Forums würden dann (wg. der häufigen Besuchsfrequenz) auf anderen Seiten plötzlich nur noch Schuhe oder Versicherungen angeboten bekommen.

Problem IV:

Schon heute werden Daten durch die Sites über den Server weitergegeben. So entstehen Netzwerke, die die Cookies und Fingerprints abgleichen. Würden die Browser zukünftig noch die Profile übertragen, hätten wir es endgültig mit dem gläsernen Surfer zu tun. Und nicht nur die Werbeindustrie hat ein existentielles Interesse daran.

Und tatsächlich löst die Idee des Profiling das Problem der überbordenden Werbung gar nicht. Es wird nicht dazu führen, dass weniger Werbung erscheint und es wird nicht dazu führen, dass Publisher mehr Geld erhalten. Denn dieses Problem erwächst aus der preiswerten Schaffung und Verbreitung von Inhalten im Netz. Mehr Daten an die Werbetreibenden vermitteln diesen jedoch den Eindruck, dass sie die Hälfte der Ausgaben sparen könnten. Dies ist der Grund, warum auch heute noch die Budgets für TV, Zeitung, Aussenwerbung und Radio wesentlich höher sind als die für Onlinewerbung.

Statt sich neue Methoden auszudenken, wie man an noch mehr Daten kommt, sollten sich die Publisher mit den Browserherstellern vor die Nutzer stellen und die Erhebung und Weitergabe der Daten verhindern. Dann würde Online plötzlich ein ganz normaler Kanal im sogenannten Werbemix und dort plötzlich nicht mehr die Conversion zählen sondern wieder die gute alte Währung der Kontakte.

Wasch mich, aber mach mich nicht nass

Aber offensichtlich ist Mozilla inzwischen unterwandert von Marketing-Experten, die auf der einen Seite die Privatsphäre der Nutzer propagieren auf der anderen Seite aber die Werbeindustrie nicht vergraulen wollen. Schon Do-Not-Track – vorgeschlagen von Mozilla – muss man so interpretieren. Denn die gesamte Idee basiert auf Freiwilligkeit der Serverbetreiber und stellt nur einen kalten Abklatsch von P3P dar. Dieses wesentlich bessere System hat Mozilla übrigens 2000 aus dem Browser entfernt.

Written by qrios

July 26th, 2013 at 7:24 pm

Posted in analytics,web

Unter der Haube von Adblock Plus

without comments

Bei Mobilegeeks ist grade ein ausführlicher Artikel über Adblock Plus erschienen. Beleuchtet werden die wirtschaftlichen und personellen Verflechtungen und das intransparente Geschäftsmodell hinter dem freien Angebot. Es scheint sich um einen dicken, schmutzigen Sumpf zu handeln. Laut eigener Aussage des Geschäftsführers Till Faida können sich beispielsweise Investoren freischalten lassen. Zitat aus der Thurgauer Zeitung (Schweiz):

Seit Ende 2011 bieten Sie das Acceptable-Ads-Programm an. Beispielsweise zahlen Suchmaschinen für die Aufnahme in Whitelists? Kann sich jeder Werbetreibende bei Ihnen einkaufen?
Nein – von einigen strategischen Partnern einmal abgesehen, die darum gebeten haben, nicht genannt zu werden.

 

Written by qrios

June 26th, 2013 at 12:12 pm

Nokia “here” angetestet

with 2 comments

Nokia hat damit begonnen, alle Map-spezifischen Dienste unter einem Dach namens here zu bündeln. Darunter fallen die Web-Site für Desktops, wie für die mobile Nutzung. Später sollen noch iOS-App und ein Framework für Android hinzukommen. Die App für Windows Phone 8 gibt es ja bereits und ist wg. eines Features sehr interessant: der Nutzer kann Bereiche für die Offline-Nutzung festlegen. Falls man sich dann in der Pampa jenseits von (bezahlbaren) Onlineverbindungen befindet, stehen dann wenigstens die Karten und Sat-Ansicht zu Verfügung (kein Routing und keine POIs). Diese Funktion allein ist noch nicht einzigartig. Besonders daran ist die Tatsache, dass alle Programme, die die Map verwenden, diese Offline-Daten nutzen können.

Aktuell steht für die nicht WP8-Nutzer damit also nur die Web-View zur Verfügung. Diese muss sich mit dem Platzhirsch Google Maps vergleichen lassen. Und das Ergebnis des Vergleichs ist nach einigen Stunden auf verschiedenen Geräten: Wow! Das hätte man nach so vielen gescheiterten Versuchen von Nokia nicht erwartet.

Das Interface

Ein klares, simples Interface bietet die erwartbaren Funktionen sowohl in der Browser- als auch in der Mobilversion. Die Orientierungsfunktionen sind im Gegensatz zu Google Maps unten platziert. Die Layeroptionen sind wie dort rechts  oben angebracht. Links unten gibt es noch eine weitere Option, die man bisher bei Google Maps schmerzlich vermissen musste, “Maßstab einblenden” bedeutet in der deutschen Übersetzung anders als man annehmen könnte nicht das Ein- oder Ausblenden des daneben befindlichen Maßstabs sondern, die Möglichkeit, Distanzen zu messen. Nachdem man die Option eingeschaltet hat, erscheint bei Klick irgendwo in der Map ein kleiner Kreis und bei weiteren Klicks wird die Luftlinie zwischen den Punkten gezeichnet und die einzelnen Entfernungen eingeblendet.

Ähnlich wie Google hat auch here leider Probleme mit dem Scrollen auf Touchpad und Mausrad. Diese fallen allerdings nicht ganz so gravierend aus. Ansonsten funktioniert die Benutzung der Seite entspannt und so performant aus, wie man es erwarten kann. Auch das Verhalten auf den drei Browsern Firefox, Safari und Chrome ist identisch. Nur bei Chrome unter OSX gab es einmal einen nicht reproduzierbaren Hänger.

Absolutes Highlight der mobilen Version ist die Turn-by-turn-Navigation inklusive (englischer) Sprachausgabe. Diese ist allerdings nur für Fußgänger verfügbar. Allerdings haben die Nokia-Entwickler darauf verzichtet, die Position alle paar Sekunden zu pollen und keine weiteren Berechnungen damit anzustellen. So kommt es selbst bei guten Empfangsbedingungen zu sehr sprunghaften Ortungen. Der Sprecher kommt so nicht umhin einem in kurzen Abständen zu sagen, dass man drehen, rechts oder links gehen soll.

Derzeit verwendet gibt es noch keinen https-Zugang zu here. Das mag vielleicht daran liegen, dass die Domain über einen sehr obskuren DNS-Provider registriert ist. Ein Zustand der dringend behoben werden sollte. Denn unter den gegeben Umständen dürfte Nokia keine Freigabe für die Benutzung von irgendeiner Behörde bekommen.

Mehr nach dem Klick …

Written by qrios

November 15th, 2012 at 11:28 am

Posted in web

Klickbetrug durch Bots bei facebook? [Update]

with 2 comments

Die – mir bis dato unbekannte – Firma Limited Run hat einen Artikel auf ihrem Blog veröffentlicht in dem sie facebook indirekt Click Fraud und Erpressung* vorwerfen. Offensichtlich sind 80% der User, die über facebook-Ads auf den Service limitedrun.com kommen keine realen Nutzer sondern eigentlich Bots respektive Spider oder Crawler.

Sie waren in der Analyse ihrer Nutzer darüber gestolpert, dass ihr Analytics-Tool signifikant weniger Nutzer zeigte als die Abrechnung der facebook-Ads. Nach ein wenig Research und Coding stellten sie fest, dass erstaunlicherweise ~80% der Aufrufe die als Referer die fb-Ads angaben kein JavaScript aktiviert hatten. Ihre Erfahrung lautete aber, dass der Anteil der Nutzer mit abgeschaltetem JavaScript im unteren einstelligen Prozentbereich liegt. Das deckt sich mit meinen Erfahrungen.

Limited Run hat also 4/5 ihres Budgets für Automaten ausgegeben. Nicht unbedingt die Kernzielgruppe einer Musikplattform.

Die Frage ist also: Wer veranlasst diese Aufrufe?

1. Limited Run wollte mit dem Artikel lediglich Aufmerksamkeit erzeugen. Und/Oder Limited Run hat keine Ahnung.

2. facebook selbst hätte vordergründig ein Intresse daran. Immerhin bekommen sie Geld für die Klicks. Allerdings bekommen die das Geld ja sowieso. Sie hätten allerdings ein sehr hohes Interesse die Klickrate ihrer Werbung hochzuschrauben. Denn die ist im Vergleich mit der von Google eine Katastrophe und lässt Kunden (siehe GM) und Analysten gleichermassen zweifeln, ob facebook überhaupt eine verwertbare Plattform ist.

3. Viren-Scanner sind bekannt für ihren fahrlässigen Umgang mit Daten in Browser, Mails und Messengern. Sie schreiben gerne ihren Code in HTML-Seiten und machen Preloads um mögliche Gefährdungen vom User fernzuhalten. Allerdings würde ein Preload mit einem Blacklist-Abgleich überhaupt nichts bringen wenn die kompromittierende Webseite das fehlende JavaScript feststellen könnte und so den Aufruf als Bot identifizieren könnte.

4. Ein Konkurrent oder jemand, der Limited Run irgendwie anders schaden will schädigt die Firma durch kostenpflichtige Klicks und verhindert dadurch gleichzeitig, dass relevante User auf die Seite geführt werden. Mit Hilfe eines Botnetzes sind solche Angriffe heutzutage kein Problem. Und für Limited Run, ein Startup mit begrenzten Ressourcen wäre der Schaden tatsächlich evident. Denn ein oberflächlicher Blick in die Auswertungen vermittelt einer solchen Firma ein vollkommen falsches Bild und kann zu strategischen Entscheidungen führen, die sich nach wenigen Monaten als fatal und lebensbedrohend rausstellen.

Basierend auf den bisher bekannten Fakten lassen sich keine Aussagen über die tatsächlichen Übeltäter treffen. Und tatsächlich wird Limited Run wohl nicht umhin kommen, konkrete Daten zu liefern. Techcrunch ist sich sicher, dass sie das tun werden. Aber das Thema fängt grade erst an, die große Runde zu machen.

Tatsächlich ist facebook selbst mit dutzenden verschiedenen Bots unterwegs (wie Google auch). Und es ist sehr wahrscheinlich, dass sie (ebenso wie Google bei AdSense) eine durch einen Nutzer aufgerufene Seite gleich nochmal mit einem Bot aufrufen. Das müssen sie schon alleine um sich vor dem Vorwurf “Auf fb wird für *böse* Angebote geworben!11″ zu schützen.

[Update] Ein weiteres mir bisher unbekanntes StartUp hat eine ähnliche Story. Die Firma Wahanegi möchte Usern helfen, sich in ihrem Leben zurechtzufinden und die richtigen Entscheidungen auf der Basis ihres bisherigen Lebens zu treffen. Man könnte es Crowded Mentoring nennen. Was immer das auch heissen mag scheint mir facebook-Werbung tatsächlich eine gute Idee zu sein. Diese hat die Firma inzwischen aber eingestellt.

Der Gründer schreibt in seinem Blog seit Mai darüber, dass seine fb-Werbung von “booklicants” geklickt wird. Dabei handelt es sich um Leute oder Bots, die eine neu geschaltete Werbung innerhalb der ersten Tage massiv klicken und die Seite liken. Das machen sie aber offensichtlich sehr gerne. Teilweise bringen es diese User innerhalb eines Tages auf über 100 Likes.

Und tatsächlich konnte er einen dieser Accounts kontaktieren und es stellte sich raus, dass es tatsächlich Leute gibt, die massenhaft Ad-Likes klicken. Offensichtlich handelt es sich dabei um einen Gamefication-Effekt. Die User versprechen sich Vorteile in Bezug auf ihre soziale Reputation oder das Ad-Targeting.

Es scheint sich bei den Booklicants nicht um die gleichen User zu handeln, die für die Clicks bei Limited Run verantwortlich sind. Denn mal wird der Like-Button einer Werbung geklickt und mal die Werbung selbst. [/Update]

*) Erpressung wirft die Firma facebook vor, weil eine Namensänderung laut facebook-Ansprechnpartner nur dann möglich sei, wenn sie gleichzeitig Werbung in Höhe von $2000 schalten. Limited Run betrachtet sich selbst oder wenigstens ihren Namen als Geisel und facebook als Geiselnehmer. Sollten sich die Vorwürfe erhärten wäre das ein Fall für die Staatsanwaltschaft und die Wettbewerbshüter. (Inzwischen hat facebook sich zu diesem Vorwurf geäussert und von schlechter Kommunikation gesprochen.)

Written by qrios

July 31st, 2012 at 1:13 pm

Posted in analytics,web