“Bild löschen” im Profil.
danke
Genau den letzten Punkt würde ich auch hervorheben. Die Admins engagieren sich in vorbildlicher Weise, niemand wir das hier in Frage stellen!
Möglicherweise ist schlicht übersehen worden, dass hier bis dato unproblematische Einzeldaten in der Gesamtheit ein Profil erzeugen.
Die Presseberichte zu PRISM und TEMPORA, wonach die Dienste google maps Nutzungsdaten im Zuge ihrer Rasterfahnung auswerten, hinterlassen einfach ein ungutes Gefühl.
Wenn es allein darum geht Fragen zur Nutzung von osm.org zu beantworten, wäre zunächst eine Umsetzung der Landesdatenschutzempfehlungen sinnvoll:
Das im Bericht erwähnte Anonymisierung-IP-Plugin installieren und fertig is… Oder eben, wie weiter oben erwähnt, auf Statistiken anstatt Tracking zurückzugreifen.
Um noch einmal aufs Technische zurückzukommen:
Nachdem viele der Vorredner bereits wertvolle Hinweise gegeben haben, versuche ich die noch einmal die einzelnen Puzzlestücke zusammenzutragen:
- Bei jedem Besuch von openstreetmap.org wird die vollständige IP-Adresse gespeichert.
- Die Daten werden per piwik-Default-Einstellung für 30 Tage gespeichert. Ob osm.org die Default-Einstellung verwendet ist ungeklärt.
- Neben der IP-Adresse werden diverse, an sich unkritische Informationen wie Bildschirmauflösung, Browser, installierte Plugins, Betriebssystem usw. gespeichert
- In Summe ermöglichen diese Informationen eine eindeutige Identifierung des Users bei folgenden Besuchen. Cookies werden hierfür nicht benötigt.
- Das Tracking erfolgt durch einen Aufruf eines image-Tags. Hierbei wird meinem Verständnis nach der referrer, d.h. die aktuelle Kartenposition inkl. Zoomlevel an piwik übertragen.
Wenn dem tatsächlich so ist (korrigiert mich gerne), geht aus den gesammelten Daten hervor für jeden User hervor, welche Kartenabschnitte er sich in den letzten 30 Tagen angeschaut hat, was ihn besonders interessiert hat (d.h. wo er von hohem auf niedrigen Zoom-Level bewegt hat), wie er sich über die Karte bewegt hat, usw.
Nahmd,
Wenn Scripting abgeschaltet ist, wird die unsichtbare Graphik einmalig beim Laden der Seite aufgerufen (). Ohne Scripting funktioniert aber die Karte nicht.
Wenn Scripting eingeschaltet ist, überträgt das nachgeladene http://piwik.openstreetmap.org/piwik.js die erfassten Daten per XMLHttpRequest(POST) an den Server. Das JS kann sich an praktisch jede Komponente der Seite andocken, so z.B. auch das Anklicken von Links melden, und wohl auch weitere Komponenten vom Server nachladen, das ist sehr weit konfigurierbar. Neben dem Referrer kann auch Bildschirmgröße und die Geschwindigkeit des Seitenaufbaus gemeldet werden.
Das Skript reagiert auf “DoNotTrack” und nutzt dann keine Cookies, die Datenübertragung an den Server bleibt bestehen.
Einfachste Abwehrmaßnahme ist die Aufnahme von http://piwik.openstreetmap.org/ in die Sperrliste von Adblocker&Co. Alternativ ein “127.0.0.1 bad.server.tld”-Eintrag in der /etc/hosts. Daten, die nicht übertragen werden, können weder gespeichert noch (später) missbraucht werden.
Auch das Log des Kachelservers enthält diese Daten – ganz ohne Schnüffeltool.
Gruß Wolf
Danke für die Infos. Aber ist das für openstreetmap.org wirklich wichtig? Bei einer großen kommerziellen Webseite, die tatsächlich darauf angewiesen ist, das der Nutzer (beispielsweise) schnell den korrekten (Treiber-)Download findet, sehe ich das ein. Aber bei OSM?
Eventuell interessant wäre noch “wie lange surft jemand auf der Webseite, bis er a) was editiert, b) JOSM runterlädt oder c) ein Nutzerkonto eröffnet”, aber das ist halt auch mehr Spielerei, ich kann mir nicht vorstellen wieso man das unbedingt wissen muss…
Wenn die vollen DS-Empfehlungen umgesetzt werden, die hier schon verlinkt wurden, habe ich auch nicht wirklich was (bzw. nichts fundiertes, ein gschmäckle bleibt) gegen piwik.
Gerade wegen der Größe lohnt es sich die kostenlosen Dienste zu beschränken und nach und nach mehr kostenpflichtig zu machen. Erst kostenlos anfixen und dann die Hand aufhalten. Ist halt auch nur ne Firma die Geld machen will.
Aber halt nur der Code. Die ganzen Bugtrackergeschichten sind da doch nicht mit drin, oder?
Christian
Nein, der ist nicht mit drin. Man könnte die über die GitHub-API aber automatisch spiegeln.
Vorab: Ich gehöre für die Welt da draußen hinsichtlich Computer zu den Paranoiden, meine Hinweise was alles so gefährlich oder unsicher ist schieben alle gerne beseite und sagen sich “jaja, der redet halt, so schlimm kann das alles gar nicht sein”. Und genau so einer schreibt nun diese Zeilen:
IP Adressen zu verbergen ist Aufgabe jenes Tools das Tracking auswertet oder Statistiken erstellt. IP Adressen so einfach wie von Datenschützern gewünscht auf den Servern direkt zu anonymisieren ist irgend was zwischen sonniger Inkompetenz und Komasaufen für Fortgeschrittene: IP Adressen sind die elementarste Information für einen Seitenbetreiber, um einen Server z.B. vor Angriffen schützen zu können. Dass die gleichen Datenbeschützer wollen, dass man künftig Angriffe melden soll, aber diese Meldung dann genau keine Information mehr enthalten kann… (wobei dann auch der Abmahn-Abschaum ausgespielt hätte - verlockend).
Serveradmins benötigen die IP Adressen - wer Statistiken oder eine Trackingauswertung liest hingegen nicht. Letzterer will diese aber gar nicht, da der nichts weiter mit anfangen kann, das transportiert keine weitere relevante Information mehr (bzw. da sollte diese fertig ausgewertet sein). Ein nicht existentes Problem.
Eine IP kann man auch keineswegs zu einer Person zurückverfolgen. Zu einem Gerät oder zu einer Wohnung mag das theoretisch möglich sein, weiter aber auch nicht. Und schon das setzt voraus, dass ich beim Netzanbieter selbst arbeite und die Daten des Providernetzwerks mit den Logdaten des Webservers abgleichen kann - ein Serveradmin tut das in nahezu 100% wohl nicht. Und schon wieder: Ein nicht existentes Problem - das existiert nur innerhalb der Telekomiker o.ä.
Die ach so bösen Cookies sind ein weiteres, sehr großes Feld. Kurz: Sie sind prinzipiell eine gute, sinnvolle und sogar notwendige Sache. Man kann aber einem Browser auch sagen diese sollen beim Beenden gelöscht werden - und fertig ists auch mit der umfangreicheren Verfolgbarkeit hierüber.
Und die übelsten Tracker kann man schmerzfrei via hosts-Datei ganz einfach komplett wegsperren - einfach schauen wer so alles Cookies ablegt, man aber gar nicht aktiv besucht hat, rein mit in die hosts Datei und Ruhe ist. Netzwolf hat das weiter oben erklärt.
Und dann noch via Autostart o.ä. die Überreste vom unsäglichen Flash wegputzen (legt seine Erkenntnisse zweifach ab - ein Ordner “adobe” und einer “macromedia”, beide gerne versteckt) - man hat gute Möglichkeiten sich gegen jedes Tracking zu wehren. Das Problem ist ja nicht vom Tisch wenn OSM kein Piwik mehr nutzen sollte… Auch kann kein Land und keine EU das Problem vom Tisch kehren, das WWW ist ja ein “Word Wide Web”.
Betrachte ich den heutigen Surfer, dann ist das Abschieben des Datenschutzes alleine auf die Anbieter einfach zu billig. Will ich online einkaufen muss ich akzeptieren, dass mich der Webserver beim nächsten Mausklick wiedererkennen können muss. Will ich überall auf der Welt mit meinem Handy telefonieren können, muss ich akzeptieren, dass auch mein Handy dem Ort an dem ich mich befinde zugeordnet wird. Soll ja niemand wisen, dass ich heute zum Briefkasten bin brauche ich Harry Potters Mantel usw. Und die Infos meiner Kontoauszüge würden vor einem auf Internet spezialisierten Gericht wohl 25 Jahre Zuchthaus für meine Bank bedeuten… Fresst das: Leben hinterlässt Spuren. Aber Leute, wir haben aktuell ganz andere Baustellen hinsichtlich Webseiten:
Mit HTML5 können Webseiten Daten auf Deinem Rechner speichern, “damit Du diese offline nutzen kann”. Das Argument hätte vor 10 Jahren noch bei mir gezogen, heute fühle ich mich da etwas verschaukelt - das wird Cookie 2.0 werden. Aktuell kann man das immerhin noch ohne Nachteile deaktivieren… Und Google arbeitet unermüdlich seit langem daran die Client-Server-Kommunikation zwischen Webbrowser und Webserver nimmer zustandslos zu belassen, sondern will dass der Webserver aktiv dem Browser Daten schicken kann. Da sollten alle Alarmglocken scheppern - dagegen ist alles was wir heute haben und hier diskutieren Kindergarten.
Zurück zu OSM: Von mir aus darf gerne mit Piwik getrackt werden. Ich bezweifle nur den Sinn. Und ich weiß, dass es viele ITler gibt, denen ich das mit keinem einzigen Argument näherbringen kann.
IP: Der grundlegende Mechanismus vom Internet ist Kommunikation. Es kommunizieren dabei immer mindestens zwei Parteien, ein Sender und ein Empfänger (dessen Rollen sich meistens regelmäßig abwechseln). Nun müssen sich alle diese Parteien identifizieren lassen. Wer schonmal versucht hat, einen Brief ohne Empfänger zu verschicken, kennt das Problem, was dabei entsteht. Aber hey, ich kann doch auch einen Brief ohne Absender verschicken! Ja, das geht (zu einem gewissen Grad) auch im Internet. Aber meistens möchte man ja Inhalte empfangen und dann muss man auch angeben, an wen diese geschickt werden sollen.
Normalerweise braucht die IP nicht länger gespeichert werden, als für die Bearbeitung der Anfrage gebraucht wird. In der Praxis ergibt sich jedoch eine etwas andere Situation: Wird der Dienst von einer Partei missbraucht (“Angriff auf den Server”), dann muss man dagegen etwas tun. Man kann als erstes den Zugriff dieser IPs (nach Einblick in das Log) sperren. Meistens bringt das aber nicht viel, da sich der Angreifer einfach neue IPs zuweisen lässt. Sollte ein wirklicher Schaden entstanden sein, kann allerdings über eine Anzeige und über einen Gerichtsbeschluss der Inhaber dieser IP zu diesem Zeitpunkt ermittelt werden (aber auch das hilft meistens nicht viel, siehe “Bot”).
Cookie: Das Internet ist von Natur aus zustandslos. Das bedeutet, dass es keinen Zusammenhang zwischen den einzelnen Anfragen gibt. Damit würde es aber keine Logins geben. Ebenso keine “weiter”-Links und vieles andere. Deswegen wurden Cookies erfunden, die wenige Daten speichern und bei nachfolgenden Anfragen mitgeschickt werden können (beschränkt auf die jeweilige Domain). Meistens wird dort nur ein zufällig generierter Code gespeichert, welcher die jeweilige Partei unabhängig von der IP identifiziert (da sich die IP jederzeit ändern kann und sich zudem mehrere Parteien die gleiche IP teilen können).
Tracking: Diese zuvor genannte Form von Cookies wird in der Praxis sehr oft eingesetzt und ist völlig harmlos. Problematisch wird es erst, wenn dieser Mechanismus nicht nur auf einer Domain funktioniert, sondern domainübergreifend. Ermöglicht wird das, indem Elemente (z.B. Bilder) von dieser Domain in andere Seiten eingebettet werden. Sobald sie im Browser angezeigt werden, kann diese Domain auf das Cookie zugreifen. So lässt sich analysieren, wie sich die Partei im Internet fortbewegt. Je größer das Netzwerk, desto lückenloser ist das möglich. Werbeanbieter haben zum Teil eine sehr große Verbreitung und können dadurch einen sehr guten Verlauf erstellen (Ziel ist, die Werbung besser auf den Benutzer anzupassen, da sie so eine bessere Wirkung erzielt).
Piwik führt zwar eine Art Tracking aus, allerdings auf eine einzelne Seite begrenzt, in diesem Fall openstreetmap.org. Wozu aber? Vielleicht gehen diese Daten in die Analyse der Benutzeroberfläche ein (glaube ich aber eher nicht). Meiner Meinung nach werden die Daten nicht genutzt, außer vielleicht um die Besuchszeiten und -seiten auszuwerten (ginge auch über die Serverlogs) oder auch im Zusammenhang mit der Herkunft (geht nicht über die Serverlogs).
Danke. Denke, dass ich das für mich so lösen werde…
Als Merker habe ich mir noch gesetzt, den Hinweis auf das Tracking beim Surfen auf osm.org in den OSM-Datenschutzausführungen zu ergänzen. Bisher finden sich dort nur Ausführungen zu hochgeladenen GPX-Tracks und zum Editieren.
Da ich grade viel unterwegs bin, weiss ich noch nicht, wann ich dazu komme…
Falls sich also jemand anders in der Zwischenzeit berufen fühlt… 
Das es diesen Thread endgültig sprengen würde, nur eine kurze Ergänzung dazu:
piwik verwendet zur User-Identifizierung leider nicht nur die IP. Cookies kommen in der osm.org Konfiguration gar nicht zum Einsatz.
Das Schlüsselwort lautet Browser-Fingerprinting, d.h. die Kombination der einzeln betrachtet unkritischen Informationen wie Bildschirmauflösung, Browserversion, usw.
Eine kurze Einführung zum Thema findet sich hier, für einen praktischen Realitätscheck eignet sich Panopticlick Tool bestens.
Als schlechte Tagesmeldung zum Schluss:
den Google Maps Admins sind bedauerlicherweise die Nutzungsdaten abhanden gekommen. Grund hierfür war … das jemand am Kabel hing 
*/piwik.js ist sinnvoller, weil global. (oder gleich die ganz grosse Keule mit piwik)
vs:
Piwik verwendet kein Fingerprinting, oder hab ich was verpasst? (Selbst wenn, wurde die Tracking- vs Stats-frage eigentlich erschöpfend geklärt)
wie bitte? Edit: oh, da war ein Link, ich nehme die Frage zurück.
Leider doch, siehe piwik FAQ Abschnitt How is a unique visitor counted in piwik bzw. Seite 8 des Landesdatenschutzberichts
Zum Thema Gravatar: https://github.com/openstreetmap/openstreetmap-website/pull/1036 wurde gestern gemerged und im Augenblick rödelt das Skipt langsam durch die Datenbank und stellt alte Konti um.
Die Lösung ist IMHO ein vernünftiger Kompromis zwischen Benutzerfreundlichkeit und Datenschutz.
Noch ein kleines Sorry an Kai das seine RoR Migration nicht ihm zugeschrieben wird, der PR hat so lange rumgegammelt, dass das dann vergessen ging.
Simon