Wie die WordPress Admin Bar als Datenkrake missbrauchbar ist

Datum

Über die mit WordPress 3.3 eingeführte erweiterte Admin Bar kann eine in den USA angesiedelte Firma E-Mail-Adressen von Nutzern der selbstgehosteten WordPress-Variante mit den Adressen der von ihnen bearbeiteten Blogs zusammenführen.

Matt Mullenweg erfährt, was du gestern getan hast

In der Version 3.3 hat WordPress die erweiterte Admin Bar erhalten, eine Kopfleiste im Dashboard zum schnellen Zugriff auf viele häufige Funktionen des WordPress-Administrationsbereichs. Diese Admin Bar ist bei jeder Aktion am oberen Seitenrand im Dashboard sichtbar.

In der rechten Ecke zeigt die Admin Bar ein individuelles Avatar des angemeldeten Benutzers.

Um diese Grafik anzeigen zu können, führt das Dashboard folgende Schritte durch:

  1. Die E-Mail-Adresse aus dem Profil des angemeldeten Benutzers wird an Gravatar.com1 übertragen.
  2. Der Browser übergibt bei dieser Gelegenheit auch die URL des Dashboards als Referrer an Gravatar.com.
  3. Gravatar.com verwendet die übertragene E-Mail-Adresse und sucht den zugehörigen Benutzer.
  4. Kennt Gravatar.com den Benutzer zu dieser E-Mailadresse, wird sein Avatarbild an den Browser des Benutzers zurückgeliefert.
  5. Ist die E-Mailadresse bei Gravatar.com unbekannt, wird ein neutrales Ersatzbild geliefert.
  6. In beiden Fällen erhält Gravatar.com die E-Mailadresse des Benutzers und die Adresse des Blogs.
  7. Nach Ablauf der Cache-Dauer von fünf Minuten wiederholt sich dieser Vorgang.

Ich habe die relevanten Passagen in diesem Netzwerkprotokoll gelb markiert:

Nach meinen Recherchen lässt sich die Informationsübertragung an Gravatar.com weder über eine Einstellung noch durch ein Plugin unterbinden, ohne die Gravatar-Funktionalität vollständig stillzulegen und damit zum Beispiel auch für die Anzeige der Kommentator-Avatare zu verlieren.

Gravatar.com weiß klarerweise, welches Bild zu einer bestimmten E-Mail-Adresse gehört:

Matt Mullenweg hält dich für uninteressant

Ich glaube nicht, dass sich die WordPress-Entwickler bei Automattic diese Verbindungen bewusst gemacht oder gar mit Absicht eingebaut haben.

Aber ich halte es für eine eklatante Lücke, dass die Datenübertragung an Gravatar.com praktisch fortlaufend während jeder Benutzersession im Dashboard passiert, während fast jedes andere Fitzelchen im Dashboard über Einstellungen, Plugins und Filter beeinflussbar ist.

Eine Offenlegung dieses Verhaltens habe ich weder in der Privacy Policy von Automattic noch bei der rein nominell ja von Automattic Inc. unabhängigen2 WordPress Foundation finden können.

Noch ein Grund für „German Internet Angst“

Deutsche Datenschützern beginnen ja schon wegen der Übertragung von IP-Adressen an ausländische Unternehmen zu hyperventilieren. Ich wäre gespannt auf deren Reaktion, wenn die wüssten, dass eine kleine Firma in San Francisco mit über den ganzen Globus verteilten Mitarbeitern Zugang zu den E-Mail-Adressen der Betreiber eines großen Teils der deutschen Websites hat.

Gegenmaßnahmen

Am schönsten wäre es aus meiner Sicht, wenn die Darstellung des Gravatars im Dashboard über einen Filter oder eine Einstellung unterbindbar wäre. Der Unterhaltungswert des Bildchens für den Benutzer ist ohnehin gering, und ein paar hundert Millisekunden für den doppelten Roundtrip zu Gravatar.com würden auch noch eingespart.

Eine Ausweichlösung wäre die Verwendung des verschlüsselten Protokolls HTTPS für den Zugriff auf das Dashboard. Dann würde die URL des Dashboards nicht mehr via Referer an Gravatar.com übertragen.

Und schlussendlich lässt sich das Problem auch noch mit der Holzhammermethode erledigen: Admin Bar komplett ausschalten.

1 Gravatar.com ist ein Dienst der Automattic Inc.

2 Wer die Trennschicht zwischen Automattic (gewinnorientiertes Startup, Arbeitgeber diverser WordPress-Entwickler) und der WordPress Foundation (karitativer Verein zur Förderung demokratischen Publizierens via GPL-Software und Inhaber der Rechte an der Marke „WordPress“) durchschaut, darf mich bitte in den Kommentaren erleuchten.


Kategorien TalkPress