userfly – so wird man ausspioniert und so schützt man sich davor
Gerade eben bei Netzwertig von userfly gelesen. Ich fasse in wenigen Worten zusammen was der Webdienst userfly macht, sofern ihr euch für diesen angemeldet habt. userfly zeichnet sämtliche Aktivitäten als Film auf, die Besucher auf eurer Webseite vornehmen. Sei es Klicken – oder auch die Eingabe in Formulare und Suchfelder. Nun könnte man argumentieren, dass dies für Firmen wichtige Daten bezüglich der Nutzung der firmeneigenen Homepage liefert – schließlich kann man sehen, wie Benutzer auf der Seite navigieren. Aber schaut euch selber an, was man mit userfly machen kann.
Ich habe mich testweise angemeldet. Man muss kein Freak sein um userfly nutzen zu können. Eine Zeile Code auf eurer Seite genügt. Zu Recherchezwecken hatte ich den Code für wenige Augenblicke hier eingebunden – um zu sehen, wie es funktioniert. Das kam dabei raus:
Per Klick auf die IP kommt man zum aufgezeichneten Film.
Per Klick auf den Link gelangt man zur Ansichtsseite. Es zeigt die Homepage (beziehungsweise den Beitrag) mit Steuerelementen für den Player:
Dann kann man sich in Ruhe ansehen wie der Besucher gelesen hat – wie er scrollt und wie er klickt. Erschreckend, oder?
Natürlich habe ich das wieder entfernt. War nur ein paar Minuten eingebaut.
Wie verhindere ich dass Webseiten die userfly einsetzen meine Aktivitäten mitschneiden?
Die ganze Sache ist via Javascript geregelt – das entsprechende Script heißt userfly.js und ist so in betreffende Webseiten eingebunden:
Die einfachste Möglichkeit gibt es für Benutzer von Firefox. Diese können mit der Erweiterung NoScript eh Javascripte blocken. Man könnte explizit userfly blocken – und schon hat man Ruhe. Verschiedene Meinungen konnte man zu NoScript bereits unter diesem Beitrag lesen.
Eine weitere Möglichkeit wäre es die Domain systemweit für alle Browser zu blocken – dies kann man unter Windows ganz einfach in der HOST-Datei vornehmen.
Nun eure Meinung: nützlicher Dienst – oder üble Ausspioniererei?
ich finde es spannend, wieviel Aufregung userfly verursacht, dabei bieten wir das schon seit 1,5 Jahren in Deutschland an. Unser Service heißt m-pathy (http://www.m-pathy.com) und zeichnet auch die Mausbewegungen, Tastaturaufzeichnung etc. der Website-Besucher auf. Da es aber recht mühsam ist, sich durch eine halbe Million User-Sessions zu schauen, haben wir uns auf die Aggragation der Informationen spezialisiert und bieten Heatmaps sowohl von Klicks, als auch von den Bewegungen an.
Und ich kann versichern, dass unser Tool ausschließlich dabei geholfen hat, die Usability der Websites unserer Kunden zu verbessern…
Für Usability Tests der eigenen (Firmen) Website oder von Webapplikationen ist es schon sehr interessant. Normalerweise mietet man für sowas ein Studio und lädt „Testklicker“ ein und filmt dann sowohl den Monitor als auch den „Testklicker“. Mit diesem Tool kann man sehr schön nachvollziehen, warum wann wie und wo Nutzer immer „danebenklicken“. Solange mit den Daten kein „Schmuh“ gemacht wird, ist es schon sehr interessant – In anonymer Form halte ich das für vollkommen vertretbar. Google Analytics erfasst ja letztlich auch, wann wer von wo wodrauf geklickt hat – nur halt ohne die Bewegung des Mauszeigers.
Viele Verstehen auch irgendwie nicht das es kein Spionagetool ist sondern helfen soll den Usen das benutzen der Seiten zu erleichtern. Wenn ich mir den Versuchsaufbau im „Labor“ anschaue ist dieser besonders für kleinere Agenturen sehr mühsam und kostenintensiv. Solche Tools Machen es möglich das auch die Werbeagentur von um die ecke solche Tests durchführen kann. Es ist in diesen fällen zwar suboptimal da die Usabillity von Anfang an berücksichtigt werden muss um Effizient zu Optimieren. Jedoch eine sehr schöne Sache um den erfolg zu messen oder eine nachträgliche Optimierung vorzubereiten.
wie reagiert das script denn darauf wenn man css styles abschaltet? müsste doch alles durcheinander bringen? zumind. was scrollpositionen und so angeht?
also ich schließe mich der gruppe an, die in diesem tool auch was nützliches sehen.
zB kann ich als theme-designer doch einige tage das teil tracken lassen, wie gut besucher mit dem neuen layout zurecht kommen und damit das theme in sachen benutzerfreundlichkeit weiterentwickeln.
warum gleich immer alle was (teils ausschließlich) böses bei denken müssen?!
deutschland deine skeptiker und zweifler!
Nach dem Hackerparagraphen ist der Dienst (wie auch das BKA-Gesetz) illegal.
Hätte jemand Lust, die zu verklagen?
Das kan jeder behaupten… Begründe das mal lieber wenn das so sein sollte.
Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
wie Burntime schon richtig anmerkte: der so genannte „Hackerparagaph“ macht das Ausspähen von Passwörtern etc. strafbar. Das finden wir auch richtig und gut.
Unsere Software ist jedoch keine Spyware, sondern dafür gedacht, dass der Website-Betreiber die Usability der Website verbessern kann. Er muss ein Stück Javascript in den Quelltext einbauen, um die Mausbewegungen etc. tracken zu können. Dann erst kann er seinen Besuchern über die Schulter schauen. Die Aufzeichnung von Tastatureingaben ist v.a. dann sinnvoll, um zu prüfen, ob die Nutzer ein Problem mit einem Formular haben – und: wer hatte denn noch nie Probleme mit einem Formular?
Passwörter etc. werden bei uns nicht aufgezeichnet. Und die anderen Angaben bekommt der Websitebetreiber im Übrigen sowieso, da er ja die Website betreibt und folglich nur in seiner Datenbank schauen muss.
Der Nutzer bleibt trotzdem anonym und Mausbewegungen sagen nichts über irgendeine individuelle, psychologische Disposition aus – sie sind halt kein Fingerabdruck.
Außerdem ist das ausspähen der Passwörter vom Seitenbetreiber sowieso ohne weiteres möglich, vorausgesetzt er speichert diese überhaupt verschlüsselt. Das ich jedoch in diesen fall richtig finden würde währe das der User wie bei einen Telefonat darauf hingewiesen wird das seine sitzen zur Qualitätssicherung aufgezeichnet wird. Und Selber die Wahl hat ob er an der Usability Studie teilnimmt oder nicht getrackt wird. In wiefern User mutwillig diese dadurch den test sabotieren könnten ist fraglich.
Und? Analysewerkzeuge gibt es wie Sand am Meer. Ob nun einfacher Counter (der trackt auch jeden Klick!) oder aufgeblähte Videoanalyse. Solche Tools sind in erster Linie für Webentwickler gemacht, die feststellen wollen/müssen wie man ihre Werke benutzt. Wenn ich eine gute Webseite bauen will, kann ich entweder raten wie der Benutzer sie sieht&benutzt. Oder ich kann es feststellen. Letzteres spricht für einen gewissen Grad an Professionalität.
Userfly bremst übrigens die Performance der Webseite erheblich aus. Setzt man es längerfristig ein, wird man sich damit definitiv keinen Gefallen tun. zudem lassen sich solche Analysewerkzeuge mit relativ wenig Aufwand selber schreiben. Wozu also die URL blocken? wer schaut schon jedesmal nach was der Webseitenbetreiber alles an Scripts einsetzt? Vor allem, welcher Laie versteht schon die ganzen Scripts die geladen werden?
„Können somit eigentlich auch Passwörter aufgezeichnet werden?“
Wenn ich die Passwörter meiner Besucher ausspionieren will, dann speichere ich sie unverschlüsselt in der Datenbank und schaue einfach da nach. Dazu brauche ich weder Scripts noch aufwändige Programmierarbeit.
Scripte wie Userfly sind entweder nützliches Analysewerkzeug oder sinnlose Spielerei. Will ich als Benutzer verhindern das meine Klicks usw. aufgezeichnet werden, dann besuche ich die Webseite ganz einfach nicht. Ansonsten ist es wohl für keinen Webseitenbetreiber ein Geheimnis wo die Besucher hinklicken und was sie sich anschauen.
Den Aufstand den dieser Beitrag ausgelöst hat kann ich vorne und hinten nicht verstehen.
Das blocken der JavaScript-Datei über den Dateinamen wird spätestens dann nicht mehr funktionieren, wenn man die userfly.js umbenennt. Das blocken der Domain über AdBlock Plus, NoScript oder die entsprechenden HOSTS- bzw. .ini-Dateien ist da doch der etwas bessere Weg.
Mal schau’n, wie lange es dauern wird, bis jemandem einfällt, einen Redirect einzubauen.
Zum Glück soll das alles ja „nur“ der Usability zu Gute kommen! lol
Finde ich gut zum Optimieren wenn man es so nutzt. Usability-Tests werden massentauglich.
Missbrauchspotential gibt es natürlich immer. Gab es auch ohne das schon imer genug.
Zwar ist es schon etwas ältere Artikel, aber ich finde es interessant in Verbindung mit Diskussionen in letzen Monaten über Google Analytics.
Ich würde Angst haben, so ein Tool auf eine Life Präsenz zu setzen, es dauert nicht mehr lange, bis man für solche Sachen ganz schnell eine Abmahnung bekommt. Sinnvoll ist es auch nicht. Für Testzwecken ist es aber sehr sinnvoll nur wie gesagt, man müsste dann doch einige Personen haben, die als Versuchskaninchen auftreten.
Stefan Meißner, bei Ihnen sieht es sowieso anderes aus, da Sie kostenpflichtiges Angebot haben und dadurch wird es beschränkt für die Personen, die professionell mit Websiteentwicklung zu tun haben. Bei userfly kann aber jeder leihe mehrere Accounts anlegen, um alles Mögliche damit anzustellen.