Wikipedia:Technik/Labs/Tools/hay/!Datenschutz
Datenschutzproblem mit den Seiten //tools.wmflabs.org/hay/
– alle Labs/Tools-Ergebnisseiten dieses Autors haben Mitte August 2014 die nachstehend dargestellte Eigenschaft.
Datenschutz
[Quelltext bearbeiten]Diese Ergebnisseite ruft heimlich das Skript http://stats.bykr.org/piwik.js (seltsamerweise auch mit wirkungslosem https) ab, sobald jemand ein Tool unter tools.wmflabs.org
benutzt.
- Falls jemand JavaScript deaktiviert hat, wird stattdessen ein Zählpixel (also ein unsichtbares Bild) eingebettet, das von http://stats.bykr.org/piwik.php?idsite=1 bezogen wird.
Die fragliche Domain bykr.org wird offenbar vom Autor der Tools privat betrieben.
Allein über den Seitenabruf erhält der Tool-Autor somit Informationen über die IP-Adresse des Anwenders sowie einen Fingerabdruck aller Browser-Eigenschaften und den Referrer. Sie können zur De-Anonymisierung benutzt werden. Auf Labs/Tools sind sie deshalb den Tool-Betreibern grundsätzlich nicht zugänglich.
Nirgendwo auf den Seiten des Autors wird auf diese Praxis hingewiesen. Insbesondere die Verwendung des Zählpixels, aber auch die Verheimlichung des Vorgehens allgemein lassen auf böswillige und missbräuchliche Absichten schließen.
Die benutzten externen Seiten haben keinen produktiven Zweck für eine Verbesserung der Ergebnisdarstellung. Das Zählpixel ohnehin nicht; aber auch piwik.js deklariert sich als
* Piwik - free/libre analytics platform * JavaScript tracking client
Dem kann auch nicht abhelfen, dass in einem HTML-Kommentar Piwik, not tracking any privacy-sensitive data
behauptet wird; IP-Adresse und Browser-Fingerabdruck sowie das Interesse an bestimmten Suchinformationen und die damit kinderleichte Zuordnung einer Abfolge von Abfragen sind ein Bruch der Privatsphäre. Die Datensammlung erfolgt unkontrolliert. Das umfangreiche Skript Piwik liegt nur in minimierter Form vor, so dass auch nicht erkennbar ist, was es eigentlich macht.
Dies steht in offenem Widerspruch zu
- wikitech:Wikitech:Labs Terms of use #What uses of Labs do we not like?
- … accessing other systems without authorization, accessing private data without authorization
- Misuse of Private Information: Do not collect or misuse private information of users, as defined in “Private Information”, below.
Nach Intervention beim Autor sowie gleichzeitiger Einschaltung des WMF-Datenschutz waren die Tracking-Techniken am 18. August 2014 aus den Ergebnisseiten entfernt worden.
Wer allerdings einmal zu derartigen Methoden greift, bei dem muss jederzeit mit Wiederholung gerechnet werden und bedarf der engmaschigen Überwachung.