TL;DR

Über die mit WordPress 3.3 eingeführte erweiterte Admin Bar kann eine in den USA angesiedelte Firma E-Mail-Adressen von Nutzern der selbstgehosteten WordPress-Variante mit den Adressen der von ihnen bearbeiteten Blogs zusammenführen.

Matt Mullenweg erfährt, was du gestern getan hast

In der Version 3.3 hat WordPress die erweiterte Admin Bar erhalten, eine Kopfleiste im Dashboard zum schnellen Zugriff auf viele häufige Funktionen des WordPress-Administrationsbereichs. Diese Admin Bar ist bei jeder Aktion am oberen Seitenrand im Dashboard sichtbar.

In der rechten Ecke zeigt die Admin Bar ein individuelles Avatar des angemeldeten Benutzers.

Kennst du den: Kommt ein Gravatar in die "Admin Bar"...

Um diese Grafik anzeigen zu können, führt das Dashboard folgende Schritte durch:

  1. Die E-Mail-Adresse aus dem Profil des angemeldeten Benutzers wird an Gravatar.com1 übertragen.
  2. Der Browser übergibt bei dieser Gelegenheit auch die URL des Dashboards als Referrer an Gravatar.com.
  3. Gravatar.com verwendet die übertragene E-Mail-Adresse und sucht den zugehörigen Benutzer.
  4. Kennt Gravatar.com den Benutzer zu dieser E-Mailadresse, wird sein Avatarbild an den Browser des Benutzers zurückgeliefert.
  5. Ist die E-Mailadresse bei Gravatar.com unbekannt, wird ein neutrales Ersatzbild geliefert.
  6. In beiden Fällen erhält Gravatar.com die E-Mailadresse des Benutzers und die Adresse des Blogs.
  7. Nach Ablauf der Cache-Dauer von fünf Minuten wiederholt sich dieser Vorgang.

Ich habe die relevanten Passagen in diesem Netzwerkprotokoll gelb markiert:

Hardcore: Protokoll des Datenaustauschs zwischen Browser, dem Dashboard und gravatar.com

Nach meinen Recherchen lässt sich die Informationsübertragung an Gravatar.com weder über eine Einstellung noch durch ein Plugin unterbinden, ohne die Gravatar-Funktionalität vollständig stillzulegen und damit zum Beispiel auch für die Anzeige der Kommentator-Avatare zu verlieren.

Gravatar.com weiß klarerweise, welches Bild zu einer bestimmten E-Mail-Adresse gehört:

E-Mail-Adresse redigiert. Aus Gründen.

Matt Mullenweg hält dich für uninteressant

Ich glaube nicht, dass sich die WordPress-Entwickler bei Automattic diese Verbindungen bewusst gemacht oder gar mit Absicht eingebaut haben.

Aber ich halte es für eine eklatante Lücke, dass die Datenübertragung an Gravatar.com praktisch fortlaufend während jeder Benutzersession im Dashboard passiert, während fast jedes andere Fitzelchen im Dashboard über Einstellungen, Plugins und Filter beeinflussbar ist.

Eine Offenlegung dieses Verhaltens habe ich weder in der Privacy Policy von Automattic noch bei der rein nominell ja von Automattic Inc. unabhängigen2 WordPress Foundation finden können.

Noch ein Grund für “German Internet Angst”

Deutsche Datenschützern beginnen ja schon wegen der Übertragung von IP-Adressen an ausländische Unternehmen zu hyperventilieren. Ich wäre gespannt auf deren Reaktion, wenn die wüssten, dass eine kleine Firma in San Francisco mit über den ganzen Globus verteilten Mitarbeitern Zugang zu den E-Mail-Adressen der Betreiber eines großen Teils der deutschen Websites hat.

Gegenmaßnahmen

Am schönsten wäre es aus meiner Sicht, wenn die Darstellung des Gravatars im Dashboard über einen Filter oder eine Einstellung unterbindbar wäre. Der Unterhaltungswert des Bildchens für den Benutzer ist ohnehin gering, und ein paar hundert Millisekunden für den doppelten Roundtrip zu Gravatar.com würden auch noch eingespart.

Eine Ausweichlösung wäre die Verwendung des verschlüsselten Protokolls HTTPS für den Zugriff auf das Dashboard. Dann würde die URL des Dashboards nicht mehr via Referer an Gravatar.com übertragen.

Und schlussendlich lässt sich das Problem auch noch mit der Holzhammermethode erledigen: Admin Bar komplett ausschalten.

1 Gravatar.com ist ein Dienst der Automattic Inc.

2 Wer die Trennschicht zwischen Automattic (gewinnorientiertes Startup, Arbeitgeber diverser WordPress-Entwickler) und der WordPress Foundation (karitativer Verein zur Förderung demokratischen Publizierens via GPL-Software und Inhaber der Rechte an der Marke “WordPress”) durchschaut, darf mich bitte in den Kommentaren erleuchten.

2. Februar 2012, 11:28 − Abgelegt in

Kommentare

HI Robert,
um die Admin Bar ab 3.3 abzuschalten, muss man weiter eingreifen, das Plugin geht seit 3.3 nicht mehr, da die Admin Bar vollkommen anders aufgebaut ist, daher diese kleine Plugin nutzen.

Frank · 2. Februar 2012, 12:26 · #

Dir ist die Einstellung „Don’t show Avatars“ bzw „Keine Avatare anzeigen“ bekannt?

Dominik · 2. Februar 2012, 12:28 · #

Dominik, mit dieser Einstellung werden alle Avatare abgeschaltet – auch die der Kommentatoren auf der öffentlichen Seite der Website. Darum schrieb ich ja oben:

…ohne die Gravatar-Funktionalität vollständig stillzulegen und damit zum Beispiel auch für die Anzeige der Kommentator-Avatare zu verlieren.

Das will man aber unter Umständen getrennt voneinander handhaben.

Robert · 2. Februar 2012, 12:43 · #

Mit diesem kleinen Plugin bist du den Aufruf und die Darstellung los. Lieber wäre mir auch ein kleiner Filter Hook als das Ersetzen der beiden Funktionen, die den Avatar abrufen, aber es geht sauber und anabhängig als Plugin.

Frank · 2. Februar 2012, 13:25 · #

Hier eine Variante mit hauseigenen Filtern.
https://gist.github.com/1723233

Dominik · 2. Februar 2012, 13:27 · #

Technisch gesehen ist der Beitrag natürlich richtig. Die eigentliche Ursache ist jedoch nicht WordPress, oder die Admin Bar, sondern eher der Account bei Gravatar. Wer keinen solchen hat, kann auch nicht (im Sinne des Beitrags) “ausspioniert” werden.

Mir ist auch nicht klar, warum hier Angst davor geschürt wird, dass Gravatar.com die E-Mail-Adresse jetzt ausgerechnet mit der Blog-URL zusammenführen könnte (oft ist bei beiden die Domain vermutlich eh gleich). Das gleiche passiert ja schließlich auch auf jeder anderen Seite, auf der ein Gravatar angezeigt wird (z.B. wenn man einen Kommentar schreibt). Wenn man also ein Datenschutzproblem aufzeigen will, dann doch eher damit, statt nur mit der Blog-URL… Damit wird dann auch deutlich, dass es völliger Quatsch ist, dieses Problem in WordPress zu suchen bzw. darauf zu beschränken. Es ist einfach nur die Folge davon, dass man ein Bild von einer externen Domain (hier von Gravatar) einbindet.

— Tobias · 2. Februar 2012, 14:38 · #

Wenn das das Einzige wär’ ;)
https://plus.google.com/110569673423509816572/posts/TBa1oqi8fEY

Sergej Müller · 2. Februar 2012, 14:49 · #

Tobias, Gravatar erhält de facto auch für E-Mail-Adressen, die keinen Account dort haben, eindeutige Kennungen übermittelt.

Sie können dann halt leider kein individuelles Bild dafür liefern und geben dir statt dessen den Standard-Avatar (blasser Kerl vor grauer Wand,…)

Robert · 2. Februar 2012, 15:02 · #

Ja, diese eindeutige Kennung ist ein Hash, aus dem die E-Mail-Adresse aber nicht wieder bestimmt werden kann. Damit kann Gravatar.com nur diesem Hash die Blog-URL “zuweisen”, aber nicht der E-Mail-Adresse! Das ist ein Unterschied, der so nicht in deinem Beitrag steht.
(Mir fällt jetzt sogar auf, das Punkt 6 oben in deiner Liste sogar falsch ist. Wird ein Gravatar für eine E-Mailadresse, die nicht in einem Gravatar-Account registriert ist, angezeigt, kennt Gravatar die E-Mail-Adresse auch nicht! Ganz weil ja nur ein nicht umkehrbarer Hash gesendet wird.)

Was mit diesem Hash natürlich ginge, ist ein Tracking aller Seiten auf denen der Gravatar mit genau diesem Hash eingebunden ist. Das ist dann aber wieder nichts anderes als wie es auch mit dem Facebook-Like-Button oder dem Twitter- und Google+-Button (die du ja auf dieser Seite auch einbindest) möglich ist!

— Tobias · 2. Februar 2012, 15:22 · #

Sehe ich auch so: Über Gravatar.com hätte Automattic ähnliche Möglichkeiten des Trackings von eventuell persönlich zuordenbaren Daten wie Facebook mit dem “Like”-Button.

Robert · 2. Februar 2012, 15:32 · #

Der Text ist aber sehr ungenau formuliert. Der Witz an der Sache ist ja, das dabei ein Hash übertragen wird.
Also nix mit Gravatar klaut Mailadressen…

Niklas Rother · 2. Februar 2012, 17:01 · #

Niklas, Gravatar.com hat die Mailadressen seiner User schon – warum sollten Sie die klauen?

Über die Referrer für das Gravatar-Bild in der Admin Bar erfahren Sie von den WordPress-Blogs zu den Mailadressen.

Robert · 2. Februar 2012, 17:25 · #

Robert: Niklas meint wie ich sicher auch den allgemeinen Fall, also einen Nutzer, der sich mit seiner E-Mail-Adresse gar nicht bei Gravatar angemeldet hat. Von dem weiß Gravatar auch nie die E-Mail-Adresse! Auch nicht, wenn für den User der Standard-weißes-Männchen-Gravatar angezeigt wird!

Und ich verstehe immer noch nicht, warum es dir so um die Adresse des WordPress-Blogs geht: Gravatar erfährt über den Referer nicht nur diese, sondern die URL jeder beliebigen Internetseite auf der der Gravatar des Users zu finden ist! Das ist sogar noch mehr bzw. noch schlimmer als das was du in deinem Artikel als möglichen Missbrauch kritisierst…

— Tobias · 2. Februar 2012, 17:34 · #

Mal eine Frage… die oben in den Kommentaren genannten Filter/PlugIns funktionieren auch wirklich?

— DB · 7. Februar 2012, 04:49 · #

@Tobias: Danke, dass wenigestens einige hier nachdenken, bevor sie anfangen zu hyperventilieren. Gravatar bekommt eben nur Hashes und keine E-Mail-Adressen. Dass sie auch alle Blog-URLs bekommen, bei denen man dann postet, das sollte ja wohl jedem User klar sein. Komisch ist nicht, dass sich keiner über den Facebook-Button oder Google Adsense beschwert. Damit ist ja ein Tracking auf ganz anderem Niveau möglich. Aber wenn wir nur nach maximalem Datenschutz gehen, dann haben wir am Ende auch minimale Funktionalität im Web. Man darf nicht per se alles verteufeln, wo zur Nutzung einer Funktion zwangsläufig peronalisierte Daten übertragen werden.

Bernhard Kau · 7. Februar 2012, 13:52 · #

Kommentarfunktion für diesen Artikel geschlossen.