Gefährliche Avatare in WordPress

Kommentar mit angezeigtem Avatar des Benutzers über gravatar.com

Kommentar mit angezeigtem Avatar des Benutzers über gravatar.com

 

Aktivierte Avatare in WordPress können WordPress-Betreiberinnen gefährlich werden. Zwei Gründe führe ich an, warum Site-Betreiber mit aktivierten WordPress-Avataren via gravatar.com auf dünnem Eis gehen:

Erster Grund: Tracking

Sind Avatare in WordPress aktiviert, führt der harmlose Abruf eines kommentierten Artikels dazu, dass auf Servern in Texas (dort ist secure.gravatar.com zu Hause) ungefragt:

  • die IP-Adresse meiner Leserin (wer),
  • die URL des Artikels, den sie liest (was),
  • Datum, Uhrzeit (wann)
  • nebst dem Link jener Seite im Web, über den meine Besucherin zu diesem Artikel fand (wodurch)
  • sowie mögliche Kompromittierbarkeit des verwendeten Betriebssystems oder Browsers (womit)

protokolliert werden – und zwar unabhängig davon, ob die geneigte Leserin selbst den gravatar.com-Dienst nutzt oder nicht und unabhängig davon, ob sie kommentiert oder nicht. Der Aufruf einer Seite mit zumindest einem Kommentar reicht aus.

Protokollierung von Server-Zugriffen ist natürlich Server-Standard und an sich nichts Böses. Der Haken an der Sache ist, dass amerikanische Server-Betreiber amerikanischen Gesetzen zu gehorchen haben. Und letztere erlauben nun einmal das Ausspähen von Ausländern durch informationshungrige Geheimdienste.

Der deutsche Datenschutz könnte, wie schon beim Facebook-Like-Button geschehen, auf den Plan gerufen werden, denn die Kombination der oben genannten Informationen gehört wohl zu den sog. personenbezogenen Daten einer Bürgerin und darf sicher nicht ungefragt und ohne Einverständnis der Betroffenen „exportiert“ werden.

Zweiter Grund: E-Mail-Adressen öffentlich preisgegeben

Auf der PasswordCon in Las Vegas hat letzte Woche ein Schweizer Sicherheitsforscher namens Dominique Bongard erklärt, dass er mit wenig Aufwand und frei verfügbarer Software (welche er geringfügig modifizierte) imstande gewesen sei, 45% der Gravatar-ID’s eines prominenten politischen Forums in Frankreich zu entschlüsseln und die E-Mail-Adressen aus der URL der Gravatar-Bilder zu extrahieren, welche den unsicheren MD5-Hash enthält.

Schon ein Blogartikel aus dem Jahre 2009 machte bekannt, dass der Dienst gravatar.com die unsichere und kryptologisch kompromittierte Technik des sog. MD5-Hashes verwendet, um aus E-Mail-Adressen die URL zum Gravatar-Bildchen errechnen zu können. Ganz entgegen der Erwartung an einen Hash lässt sich der Vorgang beim MD5-Hash mit einigem Geschick umkehren. Der Autor jenes Artikels war seinerzeit imstande, 10% von ca. 80.000 Benutzer-ID’s zu knacken. – Dass der MD5-Algorithmus im Grunde nicht mehr verwendet werden sollte, pfeifen die Kryptologen schon lange von den Dächern, wie hier im Jahre 2008:

Do not use the MD5 algorithm
Software developers, Certification Authorities, website owners, and users should avoid using the MD5 algorithm in any capacity. As previous research has demonstrated, it should be considered cryptographically broken and unsuitable for further use.

CMU Software Engineering Institute

Wie nun alle Kommentatorinnen unserer Website, gleichgültig ob auf gravatar.com registriert oder nicht, zu dem Handkuss kommen, dass nicht nur die oben in der Liste genannten Daten an texanische Server gesendet werden, sondern dazu auch noch ihre unsicher gehashte E-Mail-Adresse, das müssen wir uns somit fragen lassen. Wirklich böse an der Sache ist, dass für alle Kommentierenden die URL zum vermeintlichen Avatar zunächst konstruiert, dann im HTML-Text ausgegeben wird und schließlich über diese URL ein Zugriffsversuch erfolgt. So wird aber auch ein völlig unsicherer Hash der E-Mail-Adresse nach Texas durchgereicht, zusätzlich zur eindeutigen IP-Adresse. Protokolliert werden in der Standardeinstellung eines jeden Webservers auch Zugriffe auf nicht vorhandene Dateien, sprich: Nicht-Gravatar-Nutzerinnen. Die geloggte URL enthält den unsicheren MD5-E-Mail-Hash.
Mit aktivierten WordPress-Avataren könnte dies daher beinahe wie ein Hohn aufgefasst werden:

Deine E-Mail-Adresse wird nicht veröffentlicht.

Wir Site-Betreiber sind es, die das Versprechen leisten, dass die E-Mail-Adresse bei uns sicher sei, während wir sie tatsächlich zugleich für jene mit den richtigen Werkzeugen öffentlich publizieren und auch gleich in die USA schicken.

Ich warne daher vor dem deutlichen Risiko, mit dem Vertrauen der Leserinnenschaft zu spielen.

Fazit

Mir persönlich scheinen weder rechtliche Datenschutz-Kollisionen noch ein möglicher Vertrauensverlust durch die Leserinnen attraktiv genug, um an (grrr) Avatar-Niedlichkeiten festzuhalten. Avatare sind in meinen WordPress-Installationen deaktiviert.

Du deaktivierst Avatare in WordPress via Einstellungen >> Diskussion (dort am Fuß der Seite). Die Einstellung heißt „Zeige Avatare“. Dort musst du einfach den Haken entfernen und dann auf „Änderungen übernehmen“ klicken.

Quellen: ars technica, sonstige im Artikel verlinkt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *