Start GNU/Linux Chrome-Erweiterung Stylish jetzt mit User-Tracking

Chrome-Erweiterung Stylish jetzt mit User-Tracking

2114
7
Stylish und Userstyles.org im Browser

Der von Webseiten ausgelieferte Code ist nicht in Stein gemeißelt. Im Browser lässt sich dieser vor dem Anzeigen auf dem Display verändern — Adblocker machen sich diesen „Trick“ zu nutze. Etwas weiter geht Browser-Erweiterung Stylish (hier als Chrome-Erweiterung oder für Firefox). Sie erlaubt dem User tiefgreifende Veränderungen an einer im Browser aufgerufenen Webseite durchzuführen: So kann man beispielsweise die Schriftart ändern, einen störenden Hintergrund entfernen oder einer Webseite ein komplett neues Aussehen geben. Eine Datenbank mit von der Community erstellten „Userstyles“ liefert für zahlreiche Webseiten fertige Kochrezepte, die man mit ein paar Klicks installieren kann.

Stylish ist bei vielen Anwendern beliebt: Die Chrome-Version verzeichnete bereits über 1,6 Millionen Installationen, das entsprechende Firefox-Add-on wurde über 420.000 mal in den Browser geladen. Der Code der Erweiterung liegt offen, er ist unter der GPLv3 lizenziert — so weit, so gut. Nun nimmt die Entwicklung solch eines Projekts nicht wenig Zeit in Anspruch. Der Aufwand ließ sich bislang kaum refinanzieren. Der ursprüngliche Gründer der Erweiterung Jason Barnabe hat wohl auch aus diesem Grund im September 2016 die Segel gestrichen und mit Justin Hindman einen neuen Projektleiter ernannt. Dieser führt Stylish nun zu komplett neuen Gefilden: Er holt mit SimilarWeb (hier die Wikipedia zum Unternehmen) eine Data-Mining-Spezialisten an Bord.

Anfang 2017 wurde Stylish nun von SimilarWeb aufgekauft. In seiner Ankündigung spricht Hindman davon, dass man einen für die Weiterentwicklung von Stylish einen Partner mit den entsprechenden Ressourcen bräuchte: Diesen hat man nun mit den Schnüffelspezialisten von SimilarWeb gefunden. SimilarWeb kauft Stylish natürlich nicht ohne Grund. In Zukunft unterstützen die Nutzer der Erweiterung die Datensammlerei des Tracking-Unternehmens: „Stylish users will be joining SimilarWeb’s market research panel“. Was das bedeutet zeigt sich im aktuellen Update der Erweiterung, diese überträgt nun automatisch Informationen über das Surfverhalten zu SimilarWeb, die Zustimming dazu wird automatisch gesetzt, man muss die Funktion extra deaktivieren.

Styling Konfigurationsbildschirm
Das Tracking lässt sich bei Bedarf deaktivieren.
Stylish Privacy Policy
Die Stylish Privacy Policy seit dem 1. Januar 2017.

In der Diskussion der Ankündigung schreibt die neue Produktmanagerin „Natalieg“, wie die Datensammlung funktionieren soll. Um dem User Vorschläge für passende Userstyles geben zu können, wird nun jeder Seitenaufruf inklusive den Referrer mit einer für jede Installation zufällig generierten User-ID an Stylish (und damit SimilarWeb) gemeldet. Ganz selbstverständlich client- und serverseitig anonymisiert sowie verschlüsselt übertragen, sodass die Privatsphäre gewahrt bleibt. Man muss nicht lange überlegen, wie gut so eine Strategie bei ähnlichen Verfahren (Stichwort Web of Trust oder kurz WOT) funktioniert hat… Gar nicht.

Let me give you a quick rundown of how it works: every time a browser navigates to a new page, the extension queries the servers for saved and available styles. The data collected includes the current, previous and referrer pages and for each new install a random user ID is created. All communication runs through https, to provide a layer of protection. The collected data is cleaned from PII in the client and server side, to make sure privacy is preserved and personal information isn’t used at any point.

In einem unkritischen Beitrag zum Thema auf Ghacks hat Ublock Origin-Entwickler Gorhill seine Analyse zum „neuen“ Stylish veröffentlicht. Ich zitiere seinen Kommentar hier fast in kompletter Länge, damit die Analyse auf jeden Fall erhalten bleibt. Sein niederschlagendes Ergebnis: Stylish versucht die übertragenen Daten zu verschleiern, die User-ID braucht es eigentlich nicht, Stylish überträgt die vollständige URL aller aufgerufenen Webseiten (warum nicht nur die Domain?), ebenso wird auch die vollständige Referer-URL übertragen (warum überhaupt?). Alles werden Stylish-User nun zum gläsernen User.

So yes, Stylish can now build a profile of your browsing history. The two-pass encoded base64 is something I have seen elsewhere in other such extensions with tracking ability, for example with Web of Trust and Popup Blocker. There is no other purpose than a silly attempt at obfuscating what it is doing. Any rationale to explain this attempt at obfuscation will be pure BS (there is no valid reason AT ALL to encode twice base64 — so the only explanation left is „let’s not make it *too* obvious what we are sending“).

[…]

It must be noted that the information sent is by no mean anonymous, because of the unique user id in each POSTed request, and on top of this by sending data to „api .userstyles.org“ server, the server will be able to match your IP with the data sent (your browsing history). But regardless, even if using a VPN, the POSTed data still identify you through the unique id (very bad — defeats the purpose of using a VPN as a mean to enhance anonymity).

[…]

All these are not necessary for the official stated goal — and of course the worst is that the claim that the data is anonymous is false. If the will to not collect browsing history was really genuine, the extension would have been written in a very different way to accomplish the stated goal.

Seiner Analyse nach funktioniert wenigstens die Opt-Out-Funktion: „My advice is if you *really* need that extension, disable the option to send supposedly anonymous data — so far, as of writing, it seems it does what it says.“ Wenn man Stylish unbedingt nutzen möchte, sollte man daher auf jeden Fall in den Einstellungen den entsprechenden Schalter setzen. Nutzer von Firefox sind aktuell noch auf der sicheren Seite, anscheinend hat Mozilla das Update noch nicht durchgewunken. Als Alternative kann man sich allerdings schon jetzt FreeStyler oder StylRRR ansehen.

überBleepingComputer
Vorheriger ArtikelRaspberry Pi Zero Kits von buyzero.de zu gewinnen
Nächster ArtikelPoseidon: Linux-Browser mit Adblocker, NoScript und GTK3-Oberfläche
Hallo, ich bin Christoph - Linux-User, Blogger und pragmatischer Fan freier Software. Wie ihr ohne Zweifel bemerkt haben solltet, schreibe ich hier über Linux im Allgemeinen, Ubuntu im Speziellen sowie Android und andere Internet-Themen. Wenn du Freude an meinen Artikel gefunden haben solltest, dann kannst du mir über Facebook, Twitter oder natürlich dem Blog folgen.

7 Kommentare

  1. Kennst du noch mehr Alternativen? StylRRR kollidiert mit Tab Center. FreeStyler ist scheinbar nicht frei und hat genau die Features bereits, die bei Stylish mit dem Datensammeln kombiniert wurden. Eine guid wird generiert und Statistiken zurückgeschickt, wenigstens sehen die harmlos aus. Allerdings hat es auch das Feature, Styles zur momentanen Seite anzuzeigen. Wenn ich den Code richtig verstehe sendet er dafür window.location.hostname, was fast okay wäre. Aber ich habe noch nicht gesehen, ob das mit der GUID verbunden wird (wireshark sollte das anzeigen, soweit bin ich noch nicht), aber in jedem Fall ist die IP ja sichtbar. Und wer hinter der Seite steht und was das Geschäftsmodell ist, wenn es eines gibt, habe ich nicht herausgefunden. Ich weiß also nicht, ob das wirklich eine bessere Alternative ist.

  2. Sehr spannender Artikel.

    Es ist auf der einen Seite verständlich, wenn sich ein Betreiber für so ein Projekt einen Partner sucht, damit das Ganze auch läuft.

    Es ist auch nachvollziehbar, wenn kostenlose Dienste – was Stylish so gesehen ja zweifellos ist – im Gegenzug auch Nutzungsdaten vom Anwender sammeln wollen. Und sei es nur für einfache Statistiken, die keinen Bezug zum Nutzer selbst herstellen.

    Aber was mich immer auf die Palme bringt, und das zieht sich durch alle Plattformen: Wenn solche Datensammeleien nicht wirklich klar gekennzeichnet werden, eher so klein und schüchtern, und wenn die dazugehörige Option gleich von Haus aus aktiviert ist! Wie viele Leute gibt es, die sich sowas nicht ansehen. Jeder kennt das doch, wenn der Bekannte anruft: „Da kam so eine Meldung“ – „Ja, welche denn?“ – „Keine Ahnung, hab’s weggeklickt“. Sowas wird eigentlich ja gezielt ausgenutzt.

    Jetzt kann man sich nur die letzte saubere Version behalten und nicht mehr aktualisieren.

  3. Neben den von dir vorgeschlagenen alternativen Plugins kann man den Kram aus Stylish auch einfach in eine Datei namens xyz123.profilefolder/chrome/userContent.css schreiben. Nachteil: Firefox muss jedes Mal neu gestartet werden, wenn man da was verändert, sowie dass der Stable-Firefox das momentan noch nicht zusammen mit e10s kann. Das ändert sich aber in Version 52. Vielleicht klappt es dann auch ohne Neustart.

  4. Danke, ich nutze das AddOn intensiv und natürlich schaut man bei einem lange genutzen Programm nicht ständig in den Einstellungen ob sich etwas geändert hat. Mir wäre das vermutlich nicht aufgefallen.

  5. Die Firefox-Version wurde immer noch nicht aktualisiert. Ich werde wohl erstmal dabei bleiben, vor allem weil die hier gelisteten Alternativen nicht sehr angenehm zu bedienen sind.

    Für alle, die das gleiche tun wollen, würde ich empfehlen, die automatischen Updates für Stylish in der Addon-Verwaltung erstmal zu deaktivieren. Ist mir als ich es deaktivieren wollte aufgefallen, dass das auch geht 🙂

  6. Mit Tampermonkey kann man die Stylish-Userstyles auch einbinden. Dafür gibts sogar auf der Install-Schaltfläche bei userstyles.org einen entsprechenden Link (sofern Stylish nicht installiert ist).
    Man muss im header allerdings bei vielen Styles die jeweiligen URLs includen. (Das kann man sich bei Styles, die das schon enthalten, einfach rüberkopieren und die URLs anpassen.

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein