userfly – so wird man ausspioniert und so schützt man sich davor

Gerade eben bei Netzwertig von userfly gelesen. Ich fasse in wenigen Worten zusammen was der Webdienst userfly macht, sofern ihr euch für diesen angemeldet habt. userfly zeichnet sämtliche Aktivitäten als Film auf, die Besucher auf eurer Webseite vornehmen. Sei es Klicken – oder auch die Eingabe in Formulare und Suchfelder. Nun könnte man argumentieren, dass dies für Firmen wichtige Daten bezüglich der Nutzung der firmeneigenen Homepage liefert – schließlich kann man sehen, wie Benutzer auf der Seite navigieren. Aber schaut euch selber an, was man mit userfly machen kann.

Ich habe mich testweise angemeldet. Man muss kein Freak sein um userfly nutzen zu können. Eine Zeile Code auf eurer Seite genügt. Zu Recherchezwecken hatte ich den Code für wenige Augenblicke hier eingebunden – um zu sehen, wie es funktioniert. Das kam dabei raus:

Per Klick auf die IP kommt man zum aufgezeichneten Film.

Per Klick auf den Link gelangt man zur Ansichtsseite. Es zeigt die Homepage (beziehungsweise den Beitrag) mit Steuerelementen für den Player:

Dann kann man sich in Ruhe ansehen wie der Besucher gelesen hat – wie er scrollt und wie er klickt. Erschreckend, oder?

Natürlich habe ich das wieder entfernt. War nur ein paar Minuten eingebaut.

Wie verhindere ich dass Webseiten die userfly einsetzen meine Aktivitäten mitschneiden?

Die ganze Sache ist via Javascript geregelt – das entsprechende Script heißt userfly.js und ist so in betreffende Webseiten eingebunden:

Die einfachste Möglichkeit gibt es für Benutzer von Firefox. Diese können mit der Erweiterung NoScript eh Javascripte blocken. Man könnte explizit userfly blocken – und schon hat man Ruhe. Verschiedene Meinungen konnte man zu NoScript bereits unter diesem Beitrag lesen.

Eine weitere Möglichkeit wäre es die Domain systemweit für alle Browser zu blocken – dies kann man unter Windows ganz einfach in der HOST-Datei vornehmen.

Nun eure Meinung: nützlicher Dienst – oder üble Ausspioniererei?

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

56 Kommentare

  1. Nützlicher Dienst für üble Ausspäherei.

  2. Mann mann mann… das ist doch krank!

  3. Bin Sprachlos

  4. Aloha …

    Mein erster Comment auf Deiner Seite … =) …´

    Also ich finde das Tool gar nicht so schlecht, unter der Bedingung, dass man den User evtl. drauf hinweist … ( Was dem nachfolgenden Text leicht widerstreben dürfte ) …

    Es ist für WebSeiten-Betreiber insofern interessant, wenn man weiß, dass Leute eine Schwachstelle ausnutzen, aber nicht weiß wie …

    Für den Dauereinsatz ist es totaler Schwachsinn … Also bei begründeten Verdacht würde ich es auch benutzen, ansonsten nicht …

    LG,
    Erik …

  5. Könnte eine schöne Sache sein. Als Nutzer will ich aber vorher über so etwas informiert werden. Nein, nicht nur das, ich will gefragt werden. Da aber alles im Hintergrund läuft, wird meine hosts-Datei halt erweitert.

    Da steht auch schon Google Analytics drin, allerdings eher weil es bei vielen Seiten, die es einsetzen die Ladezeiten oft stark verlängert.

    Ich könnte mir auch vorstellen, dass das userfly ziemlich viel Overhead und Performanceeinbußen mit sich bringt.

  6. René Fischer says:

    Erschreckend, wie ich finde.

    Blocken via AdBlock ist übrigens auch möglich. Dazu braucht man kein NoScript.

  7. Kann man auch in Adblock Plus einfügen: „/userfly.js

    Wer solche und andere Tracker (u.a. Google Analytics, IVWbox…) blocken will, der ist mir der Filterliste „EasyPrivacy“ für Adblock Plus sehr gut bedient.

  8. Im großen ist es erschreckend.
    Doch wenn ich einen recht Intuitiven Internetauftritt erstellen will finde ich das ganze recht nützlich.
    Bin aber auch der Meinung, das die Besucher zumindest informiert werden sollten…
    Das ganze stelle ich mir für eine Langzeitnutzung aber auch nicht gerade sinvoll vor.

  9. Nichts wird so heiß gegessen, wie es gekocht wird. Ob man nun Statistiken erfasst, wie hier z.b. via Counter oder via Videoaufzeichnung, ist doch eigentlich egal.
    Wenn man etwas im Netz verfasst, kann es doch eh jeder lesen.
    So lange man nicht sein Passwort in Plaintext ausfüllt, dürfte eine Videoaufzeichnung relativ egal sein – sofern nur die Webseite überwacht wird und nicht der komplette Desktop. 😉

  10. Ich fürchte, das alleinige Blocken der Domain/des Scriptes wird keine dauerhafte Lösung sein. Es werden sicherlich schnell andere Anbieter selbst so etwas umsetzen :-/

    Können somit eigentlich auch Passwörter aufgezeichnet werden?

    Ich habe bei Adblock Plus den Filter „*$script,third-party“ seit einiger Zeit drin. Dieses blockiert alle Scripts, die nicht auf dem gleichen Server liegen. Jedoch muss man viele Ausnahmeregeln anlegen, damit einige Seiten wieder funktionieren (YouTube u.ä.). Deshalb hatte ich schon überlegt, den Filter wieder rauszunehmen, aber wenn ich sowas sehe belasse ich es lieber bei der jetzigen Situation 😀

  11. René Fischer says:

    Caschy: Mal was anderes: Warum versiehst du die Links hier eigentlich noch mit nofollow?

  12. Fragt sich was wir alles über uns preisgeben, was wir nicht eh schon (meist ohne es zu wissen) über uns verraten?

    Wenn es wirklich nur darum geht, das Lese- und Navigationsverhalten seiner Besucher zu analysieren, oder einen Buguser auf frischer Tat zu filmen, habe ich nichts gegen einen Kurzeinsatz.

  13. Coole Technik.
    Das ist doch DIE Lösung für Usability-Tests vor einem Go-Live. Dann kann man in Ruhe mal eine ausgewählte Gruppe auf der beta-Version surfen lassen und muss keine teure Software kaufen/installieren. Danach kann man gezielt auswerten und verbessern.
    Auf einer Live-Seite hat das meiner Meinung nach nichts verloren. Und wenn, wer hat die Zeit bei hohem Traffic jeden Besucher auszuwerten?

    Stefan

  14. @René Fischer
    weil nach dem letzten Update meinerseits DoFollow nicht aktiviert wurde (was jetzt aber nachgeholt wurde. Danke 🙂

  15. René Fischer says:

    Caschy: Danke 🙂

  16. Caschy sieht man als User, dass der Betreiber das Script auf/in seiner Seite eingebaut hat? Damit wäre Phishing in einer völlig anderen Dimension, wenn man das nicht mitbekommen kann.

  17. @cro: Steht im Source. *.js wird im Header eingebunden.

  18. Auch für den Anbieter (hier userfly) ein lohnendes Geschäft. Die Arbeit machen andere und sie selbst bekommen Millionen Aufzeichnungen frei Haus geliefert.

  19. Kristallregen says:

    Die Verhaltensforschung gibt es schon seit Ewigkeiten und letztendlich ist es nur logisch das sich diese auch auf das Internet ausweitet. Im Einzelhandel wird die Ware möglichst optimal platziert und die Laufwege aufs genaueste eingeplant und auf Webseiten eben die Positionierung von Werbung und anderen Elementen. Letztendlich ist es ein altes Thema das nun nur auch im Internet bei steigender Konkurrenz an immer größerer Bedeutung gewinnt.

  20. ich verstehe die ganze Aufregung nicht . es wird doch eh schon auf fast jeder website aufgezeichnet, wo die die user hinklicken und welche Links sie aufrufen.
    Ob jetzt auch noch mitprotokolliert wird wie weit man scrollt ist doch wumpe.
    da stört es mich doch schon eher, dass man weiss von welcher anderen seite man herkommt und welche suchbegriffe man bei google eingegeben hat. Da es aber das schon länger gibt, störts keinen mehr…

  21. Stürhörmer says:

    Ich habe mich letztens noch gewundert, als meine Frau auf der Shopseite eines großen Versandhauses einige Artikel ANGESCHAUT hat, die alle nicht Lieferbar waren, aber nachher dennoch auf dem Lieferschein aufgetaucht sind, denn in den Warenkorb hat sie diese Waren ja natürlich nicht mehr gelegt.

    Im Gegenteil, sie hat noch versucht, herauszufinden, wieso das Unternehmen denn doch alle Waren genau wusste, da ist man dann aber geflissentlich drüber hinweg gegangen.

    Ich glaube nicht, dass das bloße Aufrufen der Artikel zu so einem Verhalten alleine geführt hat.

  22. @MonztA: Danke für den Tipp mit EasyPrivacy. 🙂

  23. @Chris: Das Firefox Forum liest mit *lach*. Ein paar der Vögel durfte ich in Köln beim Mozilla-Treffen kennen lernen. War super. War auch einer der von dir erwähnten Listen-Ersteller bei. Freaks 😉

  24. @Caschy: Werden mit dem Tool auch Tastatureingaben geloggt, die nicht abgeschickt werden? Wenn ich zum beispiel in ein Text-Feld meine Email-Adresse eintippe, dann aber das Formular doch nicht absende?

  25. stoiberjugend says:

    Danke für den Tip! Wird sofort auf all meinen Netzseiten eingebunden!

  26. @atreiu Bin zwar nicht casschy aber ja, teste es doch ma selbst 😉

    schon heavy was da alles geloggt wird, so ein Klickaufzeichner gibts auch als Plugin für WP wenn ich mich recht entsinne grübel

    Das Blocken via Adblock nur auf userfly.js bringt bei einer Namensänderung des Scriptes nix, ich habe bei mir das o.g. NoScript laufen und bin sehr zufrieden damit.

    Nett is dagegen Heatmapping alà http://www.feng-gui.com/default.aspx

  27. Hmm, irgendwie nehmen Methoden immer unangenehmere Züge an. Webautoren bemühen zwar schon lange vergleichbare Dienste, um das eigene Ergebnis auf Akzeptanz und Bedienbarkeit zu prüfen. Da dachte ich aber bisher immer, dass es sich um einen kleinen Kreis von Testern handelt, die hiermit ihr Geld verdienen.

    Aber Dienste wie Cachy und gerade gezeigt hat, finde ich schon bedenklich und gehen wieder ein Weg Richtung gläserner Bürger. Man sollte sich mal vorstellen, was man zusammen mit den sonstigen Daten, die z.B. auch bei großen Suchdiensten gehortet werden (?) anzufangen ist.

    Ich habe jedenfalls erstmal in meinen geliebten Opera die folgenden Einträge in die urlfilter.ini aufgenommen:

    http://userfly.com/*
    http://*.userfly.com/*

    Aber wenn man das konsequent macht, wird man wahrscheinlich bald kaum noch etwas anklicken können…

  28. Praktisch für die Analyse der eigenen Website ist das schon.. aber auch sehr bedenklich, jedoch funktioniert soetwas eh immer nur ClientSeitig. Also, seh ich das Problem nicht ganz so groß, wie andere hier.

    @stoiberjugend: lol, was anderes hab ich mir von dir auch nicht erwarter.

  29. @cro: Steht im Source. *.js wird im Header eingebunden.

    Dann habe ich mich etwas falsch ausgedrückt. Sehe ich die Veränderung als DAU/ONU? Denn wenn ich eine Bankseite via XSS manipuliere und das Script mit einbinde, habe ich im schlimmsten alle Relevanten Daten. Das ich als erfahrender Benutzer mich davor schützen kann, dem war ich mir bewusst. Ich dachte bei der Frage bei den weniger versierten Internetuser, also den „Ich-klicke-alles-an“-Benutzer.

    (Ja es gibt User, die lassen sich ihre Passwortfelder in Klarsicht anzeigen, also ohne die Maskierung!)

  30. beängstigend

  31. aldikiller says:

    Ich traue mich ja schon garnichts mehr zu schreiben 😉 Angst …. Danke für dieses Thema.. Adblock und Aoscript laufen schon eine Weile, aber manchmal reicht es nicht sie nur am laufen zu haben… Hap alles auf den neusten Stand gebracht. (soweit man das kann) … Danke, das hier ab und zu solche schönen Tips abzustauben gibt. Auch die comments sind sehr sehr sehr nützlich.. Danke an die edlen Spender 😉

    (ohne diese Seite wäre ich nur halb so sicher ! oder auch nicht ;-)?? -leide ab heute ein wenig an verfolgungswahn-

    liebe grüsse und weiter so…

    Andy

  32. Wie hat mein alter Herr mal so schön zu mir gesagt: „Man kann aus jedem Werkzeug eine Waffe machen“
    (damit wollte er mir beibringen, dass Werkzeuge so wenig Spielzeug sind wie Waffen. hat auch funktioniert)

    Bleibt einem also nur die Hoffnung, dass jene die solche Werkzeuge einsetzen es auch Sinnvoll nutzen.
    Wenn ich allerdings sehe wie simpel dieses mächtige Werkzeug einzusetzen ist… da läufts mir kalt den Rücken runter.

  33. Danke für den Hinweis, habe gerade /userfly.js in Adblock+ eingefügt …

  34. Solche Möglichkeiten gibt es schon länger – darüber sollte niemand erstaunt sein. Es wird nur immer leichter, solche „Dienste“ zu nutzen, denn auch der Laie will mal ein Spion sein!
    Wie fast immer kann man aber festhalten: Das Tool kann sowohl einen Nutzen haben, z. B. für die hier schon angesprochenen Usability-Tests, aber auch schaden.
    Dauerhaft aufhalten wird man den immer weitergehenden Trend zum gläsernen Menschen leider sowieso nicht können.

  35. Da Ihr alle schon beim Ausblocken bestimmter Routinen seid … so etwas gibt es schon sehr lange. Schaut einfach einmal hier:

    http://www.clicktale.com/

    Kommt gleich mit WordPress-Plugin für den schnellen Einbau in die eigene Website!

  36. Wenn man das tool für Usability Tests verwendet wie gedacht ist es echt nützlich. Nur ist der missbrauch quasi vorprogrammiert… Was ist eigentlich mit der Tastatureingabe bei Passwordeingabe wird die auch so schön in Klartext angezeigt?

  37. Fritz Walter says:

    Ich bin dagegen. Ich werde mir durchlesen wie man das systemweit blockt. Ich bin auch dagegen, dass man so leicht das OS, die Browserversion, etc. auslesen kann. Den Referer kann man auch noch auslesen. Und die IP natürlich auch. Die Liste ist lang und nicht jeder kennt sich so gut damit aus und blockt es.

  38. Fritz Walter says:

    NoScript kann ich sehr empfehlen. Die Seiten seher damit nicht immer gut bzw. richtig aus. Wie es bei dem c’t-Probeabo der Fall war.

  39. @Fritz, Auch ohne JavaScript gibt dein Browser eine menge Informationen frei welche du zum Beispiel in den logfiles findest. Fraglich nur in wiefern diese Informationen dir schaden (könnten).

  40. Fritz Walter says:

    @Burntime: Es reicht, wenn man mich dadurch mit viel Werbung nervt. Das schadet dann meinen Nerven. 🙂
    Die Werbung ist wohl das größte Übel.
    CCleaner ist auch sinnvoll, um die Infos zu löschen.

  41. Stefan Meißner says:

    ich finde es spannend, wieviel Aufregung userfly verursacht, dabei bieten wir das schon seit 1,5 Jahren in Deutschland an. Unser Service heißt m-pathy (http://www.m-pathy.com) und zeichnet auch die Mausbewegungen, Tastaturaufzeichnung etc. der Website-Besucher auf. Da es aber recht mühsam ist, sich durch eine halbe Million User-Sessions zu schauen, haben wir uns auf die Aggragation der Informationen spezialisiert und bieten Heatmaps sowohl von Klicks, als auch von den Bewegungen an.
    Und ich kann versichern, dass unser Tool ausschließlich dabei geholfen hat, die Usability der Websites unserer Kunden zu verbessern…

  42. Für Usability Tests der eigenen (Firmen) Website oder von Webapplikationen ist es schon sehr interessant. Normalerweise mietet man für sowas ein Studio und lädt „Testklicker“ ein und filmt dann sowohl den Monitor als auch den „Testklicker“. Mit diesem Tool kann man sehr schön nachvollziehen, warum wann wie und wo Nutzer immer „danebenklicken“. Solange mit den Daten kein „Schmuh“ gemacht wird, ist es schon sehr interessant – In anonymer Form halte ich das für vollkommen vertretbar. Google Analytics erfasst ja letztlich auch, wann wer von wo wodrauf geklickt hat – nur halt ohne die Bewegung des Mauszeigers.

  43. Viele Verstehen auch irgendwie nicht das es kein Spionagetool ist sondern helfen soll den Usen das benutzen der Seiten zu erleichtern. Wenn ich mir den Versuchsaufbau im „Labor“ anschaue ist dieser besonders für kleinere Agenturen sehr mühsam und kostenintensiv. Solche Tools Machen es möglich das auch die Werbeagentur von um die ecke solche Tests durchführen kann. Es ist in diesen fällen zwar suboptimal da die Usabillity von Anfang an berücksichtigt werden muss um Effizient zu Optimieren. Jedoch eine sehr schöne Sache um den erfolg zu messen oder eine nachträgliche Optimierung vorzubereiten.

  44. wie reagiert das script denn darauf wenn man css styles abschaltet? müsste doch alles durcheinander bringen? zumind. was scrollpositionen und so angeht?

  45. also ich schließe mich der gruppe an, die in diesem tool auch was nützliches sehen.

    zB kann ich als theme-designer doch einige tage das teil tracken lassen, wie gut besucher mit dem neuen layout zurecht kommen und damit das theme in sachen benutzerfreundlichkeit weiterentwickeln.

    warum gleich immer alle was (teils ausschließlich) böses bei denken müssen?!
    deutschland deine skeptiker und zweifler!

  46. Nach dem Hackerparagraphen ist der Dienst (wie auch das BKA-Gesetz) illegal.

    Hätte jemand Lust, die zu verklagen?

  47. Das kan jeder behaupten… Begründe das mal lieber wenn das so sein sollte.

  48. Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
    Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
    Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

  49. wie Burntime schon richtig anmerkte: der so genannte „Hackerparagaph“ macht das Ausspähen von Passwörtern etc. strafbar. Das finden wir auch richtig und gut.
    Unsere Software ist jedoch keine Spyware, sondern dafür gedacht, dass der Website-Betreiber die Usability der Website verbessern kann. Er muss ein Stück Javascript in den Quelltext einbauen, um die Mausbewegungen etc. tracken zu können. Dann erst kann er seinen Besuchern über die Schulter schauen. Die Aufzeichnung von Tastatureingaben ist v.a. dann sinnvoll, um zu prüfen, ob die Nutzer ein Problem mit einem Formular haben – und: wer hatte denn noch nie Probleme mit einem Formular?
    Passwörter etc. werden bei uns nicht aufgezeichnet. Und die anderen Angaben bekommt der Websitebetreiber im Übrigen sowieso, da er ja die Website betreibt und folglich nur in seiner Datenbank schauen muss.
    Der Nutzer bleibt trotzdem anonym und Mausbewegungen sagen nichts über irgendeine individuelle, psychologische Disposition aus – sie sind halt kein Fingerabdruck.

  50. Außerdem ist das ausspähen der Passwörter vom Seitenbetreiber sowieso ohne weiteres möglich, vorausgesetzt er speichert diese überhaupt verschlüsselt. Das ich jedoch in diesen fall richtig finden würde währe das der User wie bei einen Telefonat darauf hingewiesen wird das seine sitzen zur Qualitätssicherung aufgezeichnet wird. Und Selber die Wahl hat ob er an der Usability Studie teilnimmt oder nicht getrackt wird. In wiefern User mutwillig diese dadurch den test sabotieren könnten ist fraglich.

  51. Und? Analysewerkzeuge gibt es wie Sand am Meer. Ob nun einfacher Counter (der trackt auch jeden Klick!) oder aufgeblähte Videoanalyse. Solche Tools sind in erster Linie für Webentwickler gemacht, die feststellen wollen/müssen wie man ihre Werke benutzt. Wenn ich eine gute Webseite bauen will, kann ich entweder raten wie der Benutzer sie sieht&benutzt. Oder ich kann es feststellen. Letzteres spricht für einen gewissen Grad an Professionalität.

    Userfly bremst übrigens die Performance der Webseite erheblich aus. Setzt man es längerfristig ein, wird man sich damit definitiv keinen Gefallen tun. zudem lassen sich solche Analysewerkzeuge mit relativ wenig Aufwand selber schreiben. Wozu also die URL blocken? wer schaut schon jedesmal nach was der Webseitenbetreiber alles an Scripts einsetzt? Vor allem, welcher Laie versteht schon die ganzen Scripts die geladen werden?

    Können somit eigentlich auch Passwörter aufgezeichnet werden?
    Wenn ich die Passwörter meiner Besucher ausspionieren will, dann speichere ich sie unverschlüsselt in der Datenbank und schaue einfach da nach. Dazu brauche ich weder Scripts noch aufwändige Programmierarbeit.

    Scripte wie Userfly sind entweder nützliches Analysewerkzeug oder sinnlose Spielerei. Will ich als Benutzer verhindern das meine Klicks usw. aufgezeichnet werden, dann besuche ich die Webseite ganz einfach nicht. Ansonsten ist es wohl für keinen Webseitenbetreiber ein Geheimnis wo die Besucher hinklicken und was sie sich anschauen.
    Den Aufstand den dieser Beitrag ausgelöst hat kann ich vorne und hinten nicht verstehen.

  52. Das blocken der JavaScript-Datei über den Dateinamen wird spätestens dann nicht mehr funktionieren, wenn man die userfly.js umbenennt. Das blocken der Domain über AdBlock Plus, NoScript oder die entsprechenden HOSTS- bzw. .ini-Dateien ist da doch der etwas bessere Weg.

    Mal schau’n, wie lange es dauern wird, bis jemandem einfällt, einen Redirect einzubauen.

    Zum Glück soll das alles ja „nur“ der Usability zu Gute kommen! lol

  53. Finde ich gut zum Optimieren wenn man es so nutzt. Usability-Tests werden massentauglich.

    Missbrauchspotential gibt es natürlich immer. Gab es auch ohne das schon imer genug.

  54. Zwar ist es schon etwas ältere Artikel, aber ich finde es interessant in Verbindung mit Diskussionen in letzen Monaten über Google Analytics.

    Ich würde Angst haben, so ein Tool auf eine Life Präsenz zu setzen, es dauert nicht mehr lange, bis man für solche Sachen ganz schnell eine Abmahnung bekommt. Sinnvoll ist es auch nicht. Für Testzwecken ist es aber sehr sinnvoll nur wie gesagt, man müsste dann doch einige Personen haben, die als Versuchskaninchen auftreten.

    Stefan Meißner, bei Ihnen sieht es sowieso anderes aus, da Sie kostenpflichtiges Angebot haben und dadurch wird es beschränkt für die Personen, die professionell mit Websiteentwicklung zu tun haben. Bei userfly kann aber jeder leihe mehrere Accounts anlegen, um alles Mögliche damit anzustellen.