Wie jedes erfolgreiche Unternehmen versucht auch Facebook ihren Erfolg zu vergrössern, wobei sie zunehmends ihre Pflichten und die Rechte ihrer Benutzer offensichtlich vernachlässigen. So bietet Facebook seit einiger Zeit die Möglichkeit an, dass Webmaster auf ihren Seiten einen Like-Button einfügen können. Durch das Klicken auf diesen können Facebook-Benutzer einfach und unkompliziert eine Webseite ihren Freunden weiterempfehlen.

Wie sich früh herausgestellt hat, hat Facebook einen denkbar unfreundlichen technologischen Ansatz gewählt, um diese Funktionalität zu implementieren. So muss der Button über ein iFrame auf der Seite eingebunden werden. Dies führt dazu, dass jeder Seitenzugriff ebenso durch Facebook protokolliert und ausgewertet werden kann. Dadurch lässt sich ein umfassendes Data Mining, wie es Google mit ihren Google Ads ebenfalls vorgeworfen wird (diese basieren auf einer eingebundenen Javascript-Datei), umsetzen.

Wer auf die Möglichkeit des Like-Buttons verzichten will, der kann einen URL-Filter verwenden, um auf das Nachladen des unliebsamen iFrame verzichten zu können. Diese Filter kann beispielsweise bei Adblock für Firefox verwendet werden, um die eigene Privatsphäre zu schützen:

http://www.facebook.com/plugins/like.php?href=*

Wäre Facebook um die Privatsphäre der Benutzer bemüht, hätten sie eine gänzlich losgelöste Technologie verwendet. Wäre es lediglich um die Möglichkeit des Buttons zur Mitteilung gegangen, hätte eine lokale Kopie des Bilds sowie ein Link auf die Facebook-Seite gereicht. Diese Möglichkeit bietet zum Beispiel der Microbezahldienst Flattr (zu Beginn ebenfalls in der Kritik).

Wäre zudem die Angabe der bisherigen Empfehlungen der Seite erforderlich gewesen, hätte diese Information vom empfehlenden Webserver abgerufen, zwischengespeichert und dargestellt werden können. Durch diese Entkoppelung hätte Facebook gar nie einen direkten Zugriff durch die Benutzer erfahren müssen.

Es ist wahrscheinlich nur eine Frage der Zeit, bis sich jemand die Mühe macht, einen Proxy dieser Art zu schreiben. Ein simples PHP-Skript ist eigentlich schnell umgesetzt und gerade populäre Content Management Systeme (CMS), wie zum Beispiel WordPress, werden wohl bald mit entsprechenden Plugins aufwarten können – Sofern denn das Risiko der schwindenden Privatsphäre auch wirklich als solches verstanden wird.

Doch vorerst plagt Facebook ein anderes Problem. Durch Clickjacking – in diesem Zusammenhang auch Likejacking genannt – werden bösartige Seiten weiterempfohlen und damit die Verbreitung von Malware vorangetrieben. Diese Technik, sie wurde ursprünglich durch Jeremiah Grossman und Robert “RSnake” Hansen populär gemacht, hat sich in den letzten Wochen stetig verbessert. Facebook kommt wohl also ohnehin nicht darum, das besagte Feature zu überdenken.

About the Author

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

Links

• http://blog.fefe.de/?ts=b2f8a4f7
• http://flattr.com
• http://ha.ckers.org/blog/20080915/clickjacking/
• http://mattmckeon.com/facebook-privacy/
• http://meingottundmeinewelt.de/2010/06/05/wer-so-alles-nach-hause-telefoniert/
• http://wordpress.org
• http://www.20min.ch/digital/dossier/facebook/story/16394183
• http://www.facebook.com
• http://www.sophos.com/blogs/gc/g/2010/05/31/viral-clickjacking-like-worm-hits-facebook-users/
• http://www.sophos.com/blogs/sophoslabs/?p=9783
• http://www.sophos.com/blogs/sophoslabs/?p=9809
• https://addons.mozilla.org/de/firefox/addon/1865/
• https://www.computec.ch/news.php?item.298