userfly – so wird man ausspioniert und so schützt man sich davor
von caschy | 56 Kommentare
Gerade eben bei Netzwertig von userfly gelesen. Ich fasse in wenigen Worten zusammen was der Webdienst userfly macht, sofern ihr euch für diesen angemeldet habt. userfly zeichnet sämtliche Aktivitäten als Film auf, die Besucher auf eurer Webseite vornehmen. Sei es Klicken – oder auch die Eingabe in Formulare und Suchfelder. Nun könnte man argumentieren, dass dies für Firmen wichtige Daten bezüglich der Nutzung der firmeneigenen Homepage liefert – schließlich kann man sehen, wie Benutzer auf der Seite navigieren. Aber schaut euch selber an, was man mit userfly machen kann.
Ich habe mich testweise angemeldet. Man muss kein Freak sein um userfly nutzen zu können. Eine Zeile Code auf eurer Seite genügt. Zu Recherchezwecken hatte ich den Code für wenige Augenblicke hier eingebunden – um zu sehen, wie es funktioniert. Das kam dabei raus:
Per Klick auf die IP kommt man zum aufgezeichneten Film.
Per Klick auf den Link gelangt man zur Ansichtsseite. Es zeigt die Homepage (beziehungsweise den Beitrag) mit Steuerelementen für den Player:
Dann kann man sich in Ruhe ansehen wie der Besucher gelesen hat – wie er scrollt und wie er klickt. Erschreckend, oder?
Natürlich habe ich das wieder entfernt. War nur ein paar Minuten eingebaut.
Wie verhindere ich dass Webseiten die userfly einsetzen meine Aktivitäten mitschneiden?
Die ganze Sache ist via Javascript geregelt – das entsprechende Script heißt userfly.js und ist so in betreffende Webseiten eingebunden:
Die einfachste Möglichkeit gibt es für Benutzer von Firefox. Diese können mit der Erweiterung NoScript eh Javascripte blocken. Man könnte explizit userfly blocken – und schon hat man Ruhe. Verschiedene Meinungen konnte man zu NoScript bereits unter diesem Beitrag lesen.
Eine weitere Möglichkeit wäre es die Domain systemweit für alle Browser zu blocken – dies kann man unter Windows ganz einfach in der HOST-Datei vornehmen.
Nun eure Meinung: nützlicher Dienst – oder üble Ausspioniererei?
Wird geladen ...
Ich habe mich letztens noch gewundert, als meine Frau auf der Shopseite eines großen Versandhauses einige Artikel ANGESCHAUT hat, die alle nicht Lieferbar waren, aber nachher dennoch auf dem Lieferschein aufgetaucht sind, denn in den Warenkorb hat sie diese Waren ja natürlich nicht mehr gelegt.
Im Gegenteil, sie hat noch versucht, herauszufinden, wieso das Unternehmen denn doch alle Waren genau wusste, da ist man dann aber geflissentlich drüber hinweg gegangen.
Ich glaube nicht, dass das bloße Aufrufen der Artikel zu so einem Verhalten alleine geführt hat.
@MonztA: Danke für den Tipp mit EasyPrivacy. 🙂
@Chris: Das Firefox Forum liest mit *lach*. Ein paar der Vögel durfte ich in Köln beim Mozilla-Treffen kennen lernen. War super. War auch einer der von dir erwähnten Listen-Ersteller bei. Freaks 😉
@Caschy: Werden mit dem Tool auch Tastatureingaben geloggt, die nicht abgeschickt werden? Wenn ich zum beispiel in ein Text-Feld meine Email-Adresse eintippe, dann aber das Formular doch nicht absende?
Danke für den Tip! Wird sofort auf all meinen Netzseiten eingebunden!
@atreiu Bin zwar nicht casschy aber ja, teste es doch ma selbst 😉
schon heavy was da alles geloggt wird, so ein Klickaufzeichner gibts auch als Plugin für WP wenn ich mich recht entsinne grübel
Das Blocken via Adblock nur auf userfly.js bringt bei einer Namensänderung des Scriptes nix, ich habe bei mir das o.g. NoScript laufen und bin sehr zufrieden damit.
Nett is dagegen Heatmapping alà http://www.feng-gui.com/default.aspx
Hmm, irgendwie nehmen Methoden immer unangenehmere Züge an. Webautoren bemühen zwar schon lange vergleichbare Dienste, um das eigene Ergebnis auf Akzeptanz und Bedienbarkeit zu prüfen. Da dachte ich aber bisher immer, dass es sich um einen kleinen Kreis von Testern handelt, die hiermit ihr Geld verdienen.
Aber Dienste wie Cachy und gerade gezeigt hat, finde ich schon bedenklich und gehen wieder ein Weg Richtung gläserner Bürger. Man sollte sich mal vorstellen, was man zusammen mit den sonstigen Daten, die z.B. auch bei großen Suchdiensten gehortet werden (?) anzufangen ist.
Ich habe jedenfalls erstmal in meinen geliebten Opera die folgenden Einträge in die urlfilter.ini aufgenommen:
http://userfly.com/*
http://*.userfly.com/*
Aber wenn man das konsequent macht, wird man wahrscheinlich bald kaum noch etwas anklicken können…
Praktisch für die Analyse der eigenen Website ist das schon.. aber auch sehr bedenklich, jedoch funktioniert soetwas eh immer nur ClientSeitig. Also, seh ich das Problem nicht ganz so groß, wie andere hier.
@stoiberjugend: lol, was anderes hab ich mir von dir auch nicht erwarter.
Dann habe ich mich etwas falsch ausgedrückt. Sehe ich die Veränderung als DAU/ONU? Denn wenn ich eine Bankseite via XSS manipuliere und das Script mit einbinde, habe ich im schlimmsten alle Relevanten Daten. Das ich als erfahrender Benutzer mich davor schützen kann, dem war ich mir bewusst. Ich dachte bei der Frage bei den weniger versierten Internetuser, also den „Ich-klicke-alles-an“-Benutzer.
(Ja es gibt User, die lassen sich ihre Passwortfelder in Klarsicht anzeigen, also ohne die Maskierung!)
beängstigend
Ich traue mich ja schon garnichts mehr zu schreiben 😉 Angst …. Danke für dieses Thema.. Adblock und Aoscript laufen schon eine Weile, aber manchmal reicht es nicht sie nur am laufen zu haben… Hap alles auf den neusten Stand gebracht. (soweit man das kann) … Danke, das hier ab und zu solche schönen Tips abzustauben gibt. Auch die comments sind sehr sehr sehr nützlich.. Danke an die edlen Spender 😉
(ohne diese Seite wäre ich nur halb so sicher ! oder auch nicht ;-)?? -leide ab heute ein wenig an verfolgungswahn-
liebe grüsse und weiter so…
Andy
Wie hat mein alter Herr mal so schön zu mir gesagt: „Man kann aus jedem Werkzeug eine Waffe machen“
(damit wollte er mir beibringen, dass Werkzeuge so wenig Spielzeug sind wie Waffen. hat auch funktioniert)
Bleibt einem also nur die Hoffnung, dass jene die solche Werkzeuge einsetzen es auch Sinnvoll nutzen.
Wenn ich allerdings sehe wie simpel dieses mächtige Werkzeug einzusetzen ist… da läufts mir kalt den Rücken runter.
Danke für den Hinweis, habe gerade /userfly.js in Adblock+ eingefügt …
Solche Möglichkeiten gibt es schon länger – darüber sollte niemand erstaunt sein. Es wird nur immer leichter, solche „Dienste“ zu nutzen, denn auch der Laie will mal ein Spion sein!
Wie fast immer kann man aber festhalten: Das Tool kann sowohl einen Nutzen haben, z. B. für die hier schon angesprochenen Usability-Tests, aber auch schaden.
Dauerhaft aufhalten wird man den immer weitergehenden Trend zum gläsernen Menschen leider sowieso nicht können.
Da Ihr alle schon beim Ausblocken bestimmter Routinen seid … so etwas gibt es schon sehr lange. Schaut einfach einmal hier:
http://www.clicktale.com/
Kommt gleich mit WordPress-Plugin für den schnellen Einbau in die eigene Website!
Wenn man das tool für Usability Tests verwendet wie gedacht ist es echt nützlich. Nur ist der missbrauch quasi vorprogrammiert… Was ist eigentlich mit der Tastatureingabe bei Passwordeingabe wird die auch so schön in Klartext angezeigt?
Ich bin dagegen. Ich werde mir durchlesen wie man das systemweit blockt. Ich bin auch dagegen, dass man so leicht das OS, die Browserversion, etc. auslesen kann. Den Referer kann man auch noch auslesen. Und die IP natürlich auch. Die Liste ist lang und nicht jeder kennt sich so gut damit aus und blockt es.
NoScript kann ich sehr empfehlen. Die Seiten seher damit nicht immer gut bzw. richtig aus. Wie es bei dem c’t-Probeabo der Fall war.
@Fritz, Auch ohne JavaScript gibt dein Browser eine menge Informationen frei welche du zum Beispiel in den logfiles findest. Fraglich nur in wiefern diese Informationen dir schaden (könnten).
@Burntime: Es reicht, wenn man mich dadurch mit viel Werbung nervt. Das schadet dann meinen Nerven. 🙂
Die Werbung ist wohl das größte Übel.
CCleaner ist auch sinnvoll, um die Infos zu löschen.