Start GNU/Linux Chrome-Erweiterung Stylish jetzt mit User-Tracking

Chrome-Erweiterung Stylish jetzt mit User-Tracking

5
TEILEN
Stylish und Userstyles.org im Browser

Der von Webseiten ausgelieferte Code ist nicht in Stein gemeißelt. Im Browser lässt sich dieser vor dem Anzeigen auf dem Display verändern — Adblocker machen sich diesen „Trick“ zu nutze. Etwas weiter geht Browser-Erweiterung Stylish (hier als Chrome-Erweiterung oder für Firefox). Sie erlaubt dem User tiefgreifende Veränderungen an einer im Browser aufgerufenen Webseite durchzuführen: So kann man beispielsweise die Schriftart ändern, einen störenden Hintergrund entfernen oder einer Webseite ein komplett neues Aussehen geben. Eine Datenbank mit von der Community erstellten „Userstyles“ liefert für zahlreiche Webseiten fertige Kochrezepte, die man mit ein paar Klicks installieren kann.

Stylish ist bei vielen Anwendern beliebt: Die Chrome-Version verzeichnete bereits über 1,6 Millionen Installationen, das entsprechende Firefox-Add-on wurde über 420.000 mal in den Browser geladen. Der Code der Erweiterung liegt offen, er ist unter der GPLv3 lizenziert — so weit, so gut. Nun nimmt die Entwicklung solch eines Projekts nicht wenig Zeit in Anspruch. Der Aufwand ließ sich bislang kaum refinanzieren. Der ursprüngliche Gründer der Erweiterung Jason Barnabe hat wohl auch aus diesem Grund im September 2016 die Segel gestrichen und mit Justin Hindman einen neuen Projektleiter ernannt. Dieser führt Stylish nun zu komplett neuen Gefilden: Er holt mit SimilarWeb (hier die Wikipedia zum Unternehmen) eine Data-Mining-Spezialisten an Bord.

Anfang 2017 wurde Stylish nun von SimilarWeb aufgekauft. In seiner Ankündigung spricht Hindman davon, dass man einen für die Weiterentwicklung von Stylish einen Partner mit den entsprechenden Ressourcen bräuchte: Diesen hat man nun mit den Schnüffelspezialisten von SimilarWeb gefunden. SimilarWeb kauft Stylish natürlich nicht ohne Grund. In Zukunft unterstützen die Nutzer der Erweiterung die Datensammlerei des Tracking-Unternehmens: „Stylish users will be joining SimilarWeb’s market research panel“. Was das bedeutet zeigt sich im aktuellen Update der Erweiterung, diese überträgt nun automatisch Informationen über das Surfverhalten zu SimilarWeb, die Zustimming dazu wird automatisch gesetzt, man muss die Funktion extra deaktivieren.

Styling Konfigurationsbildschirm
Das Tracking lässt sich bei Bedarf deaktivieren.
Stylish Privacy Policy
Die Stylish Privacy Policy seit dem 1. Januar 2017.

In der Diskussion der Ankündigung schreibt die neue Produktmanagerin „Natalieg“, wie die Datensammlung funktionieren soll. Um dem User Vorschläge für passende Userstyles geben zu können, wird nun jeder Seitenaufruf inklusive den Referrer mit einer für jede Installation zufällig generierten User-ID an Stylish (und damit SimilarWeb) gemeldet. Ganz selbstverständlich client- und serverseitig anonymisiert sowie verschlüsselt übertragen, sodass die Privatsphäre gewahrt bleibt. Man muss nicht lange überlegen, wie gut so eine Strategie bei ähnlichen Verfahren (Stichwort Web of Trust oder kurz WOT) funktioniert hat… Gar nicht.

Let me give you a quick rundown of how it works: every time a browser navigates to a new page, the extension queries the servers for saved and available styles. The data collected includes the current, previous and referrer pages and for each new install a random user ID is created. All communication runs through https, to provide a layer of protection. The collected data is cleaned from PII in the client and server side, to make sure privacy is preserved and personal information isn’t used at any point.

In einem unkritischen Beitrag zum Thema auf Ghacks hat Ublock Origin-Entwickler Gorhill seine Analyse zum „neuen“ Stylish veröffentlicht. Ich zitiere seinen Kommentar hier fast in kompletter Länge, damit die Analyse auf jeden Fall erhalten bleibt. Sein niederschlagendes Ergebnis: Stylish versucht die übertragenen Daten zu verschleiern, die User-ID braucht es eigentlich nicht, Stylish überträgt die vollständige URL aller aufgerufenen Webseiten (warum nicht nur die Domain?), ebenso wird auch die vollständige Referer-URL übertragen (warum überhaupt?). Alles werden Stylish-User nun zum gläsernen User.

So yes, Stylish can now build a profile of your browsing history. The two-pass encoded base64 is something I have seen elsewhere in other such extensions with tracking ability, for example with Web of Trust and Popup Blocker. There is no other purpose than a silly attempt at obfuscating what it is doing. Any rationale to explain this attempt at obfuscation will be pure BS (there is no valid reason AT ALL to encode twice base64 — so the only explanation left is „let’s not make it *too* obvious what we are sending“).

[…]

It must be noted that the information sent is by no mean anonymous, because of the unique user id in each POSTed request, and on top of this by sending data to „api .userstyles.org“ server, the server will be able to match your IP with the data sent (your browsing history). But regardless, even if using a VPN, the POSTed data still identify you through the unique id (very bad — defeats the purpose of using a VPN as a mean to enhance anonymity).

[…]

All these are not necessary for the official stated goal — and of course the worst is that the claim that the data is anonymous is false. If the will to not collect browsing history was really genuine, the extension would have been written in a very different way to accomplish the stated goal.

Seiner Analyse nach funktioniert wenigstens die Opt-Out-Funktion: „My advice is if you *really* need that extension, disable the option to send supposedly anonymous data — so far, as of writing, it seems it does what it says.“ Wenn man Stylish unbedingt nutzen möchte, sollte man daher auf jeden Fall in den Einstellungen den entsprechenden Schalter setzen. Nutzer von Firefox sind aktuell noch auf der sicheren Seite, anscheinend hat Mozilla das Update noch nicht durchgewunken. Als Alternative kann man sich allerdings schon jetzt FreeStyler oder StylRRR ansehen.

5 KOMMENTARE

  1. Sehr spannender Artikel.

    Es ist auf der einen Seite verständlich, wenn sich ein Betreiber für so ein Projekt einen Partner sucht, damit das Ganze auch läuft.

    Es ist auch nachvollziehbar, wenn kostenlose Dienste – was Stylish so gesehen ja zweifellos ist – im Gegenzug auch Nutzungsdaten vom Anwender sammeln wollen. Und sei es nur für einfache Statistiken, die keinen Bezug zum Nutzer selbst herstellen.

    Aber was mich immer auf die Palme bringt, und das zieht sich durch alle Plattformen: Wenn solche Datensammeleien nicht wirklich klar gekennzeichnet werden, eher so klein und schüchtern, und wenn die dazugehörige Option gleich von Haus aus aktiviert ist! Wie viele Leute gibt es, die sich sowas nicht ansehen. Jeder kennt das doch, wenn der Bekannte anruft: „Da kam so eine Meldung“ – „Ja, welche denn?“ – „Keine Ahnung, hab’s weggeklickt“. Sowas wird eigentlich ja gezielt ausgenutzt.

    Jetzt kann man sich nur die letzte saubere Version behalten und nicht mehr aktualisieren.

  2. Neben den von dir vorgeschlagenen alternativen Plugins kann man den Kram aus Stylish auch einfach in eine Datei namens xyz123.profilefolder/chrome/userContent.css schreiben. Nachteil: Firefox muss jedes Mal neu gestartet werden, wenn man da was verändert, sowie dass der Stable-Firefox das momentan noch nicht zusammen mit e10s kann. Das ändert sich aber in Version 52. Vielleicht klappt es dann auch ohne Neustart.

  3. Danke, ich nutze das AddOn intensiv und natürlich schaut man bei einem lange genutzen Programm nicht ständig in den Einstellungen ob sich etwas geändert hat. Mir wäre das vermutlich nicht aufgefallen.

  4. Die Firefox-Version wurde immer noch nicht aktualisiert. Ich werde wohl erstmal dabei bleiben, vor allem weil die hier gelisteten Alternativen nicht sehr angenehm zu bedienen sind.

    Für alle, die das gleiche tun wollen, würde ich empfehlen, die automatischen Updates für Stylish in der Addon-Verwaltung erstmal zu deaktivieren. Ist mir als ich es deaktivieren wollte aufgefallen, dass das auch geht 🙂

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here