In der aktuellen Ausgabe der PC Professionell (10/2005) gibt es einige Artikel (Seiten 148 ff.), die sich mit dem Thema „Anonym surfen“ beschäftigen. Meiner Meinung nach stellenweise absolute Fehlinformation, also musste ein Leserbrief her:
Hallo PC Professionell-Team,
Hallo Herr Böhme,
Ich habe mit Interesse den Artikel über das „Anonym surfen“ in der aktuellen PC Professionell Ausgabe 10/2005 gelesen – und muss sagen, dass ich aus dem Kopf-Schütteln nicht mehr herausgekommen bin. Gerade der letzte Absatz fasst so ziemlich all das zusammen, was ich als absolute Fehlinformation einstufe:
„In der Praxis reicht es aus, […] JAP […] nur bei Bedarf einzuschalten. Das ist immer dann der Fall, wenn persönliche Daten wie Kreditkarten- oder Adressinformationen übermittelt werden. Ansonsten genügt es, die Statistiken zu verfälschen, indem mit Proxomitron die übertragenen Informationen gezielt manipuliert werden.“
Um es vorneweg zu nehmen: Ich stehe bei der ganzen Geschichte meistens auf der anderen Seite – also nicht als User, sondern als Anbieter von Webprojekten. Es geht mir aber im folgenden nicht darum, mich über zerstörte Statistiken zu beschweren. Damit kann ich leben. Viel mehr versuche ich den Sinn ihrer Empfehlung aus User-Sicht zu verstehen bzw. zu widerlegen:
Sie empfehlen Ihren Lesern, in dem Moment, in dem sie Kreditkartendaten und Adressinformationen angeben – also in dem Moment, in dem sie ihre Anonymität endgültig aufgeben und als Kunde einem Webseitenbetreiber „als Person“ und nicht mehr „als IP-Adresse“ gegenübertreten – den Anonymizer einzuschalten. Wo ist da der tiefere Sinn? In dem Moment, in dem „brisante“ Daten übertragen werden, empfehlen Sie sogar, diese Daten über (mindestens) ein weiteres System zu routen, wo die Pakete abgefangen, gespeichert und ausgewertet werden könnten?
Ohne Frage – JAP ist hierbei eine der sichereren Varianten. Ein öffentlich zugänglicher Proxy unbekannter Natur ist hier riskanter. Aber der Sinn bleibt mir dennoch verborgen. Ganz nach dem Motto „Hallo, ich bin Dominik Deobald – ich bin Anonym!“
Einen Schritt weiter, gleicher Punkt: Sie empfehlen Ihren Lesern Kreditkarten-Zahlungen über den Anonymizer laufen zu lassen. Sie müssen aber bedenken, dass auf der anderen Seite ein Unternehmen steht, das Waren anbietet und verkauft und dabei einen Gewinn erzielen muss, um Arbeitsplätze zu sichern. Insbesondere virtuelle Güter (Downloads, eVoucher, …) sind beliebtes Ziel für Kreditkartenbetrüger, da hier keine physische Adresse für die Lieferung von Waren vorhanden sein muss. Also muss man alle zur Verfügung stehenden Mittel einsetzen, um gute von bösen Kunden zu unterscheiden. Drei mal dürfen Sie raten, was ein sehr zuverlässiges Zeichen dafür ist, dass es sich bei einem User auf der Webseite um einen Betrüger handelt: Einen Anonymizer setzen vor allem die Leute ein, die etwas zu verbergen haben. Die paar IP-Adressen, über die der Anonymizer-Dienst der TU Dresden läuft, waren schnell nach dem ersten von dort erfolgten Betrugsfall bei meinem Arbeitgeber identifiziert. Seitdem sind sie gesperrt. Einkaufen unmöglich.
Nutzer von Anonymizing Proxies sollten sich also nicht wundern, wenn bei der Kreditkartenzahlung für die eigentlich einwandfreie Kreditkarte die Meldung „Kreditkarte ungültig“ erscheint. Wenn man damit effektiv einen Großteil der Betrüger abwehrt nimmt man als Unternehmen auch die Hand voll ehrlichern Kunden, die nicht einkaufen können, in Kauf.
Weiter zum nächsten Punkt, Proxomitron: Der Sinn hiervon bleibt mir gänzlich verborgen. Einzige Erklärung, die ich zumindest nachvollziehen könnte, wäre, dem Server einen anderen Client vorzutäuschen, um diesem nicht zu verraten, dass man Webbrowser XY mit der Sicherheitslücke AB einsetzt, die der Server dann gezielt ausnutzen könnte. Um derartigen Angriffen ausgesetzt zu sein muss man sich aber schon auf sehr zwielichtigen Seiten herumtreiben.
Der Nachteil, seinen Browser zu verschleiern, ist, dass viele Webseiten-Betreiber die Browserkennung sinnvoll verwenden. Es ist leider immer noch – und sicher auch für die Zukunft – so, dass verschiedene Browser den gleichen HTML-Code unterschiedlich interpretieren und unterschiedlich darstellen. Was auf dem Internet Explorer gut aussieht kann auf dem Firefox das reinste Chaos sein – und umgekehrt. Deshalb stellen viele Webseiten verschieden optimierte Seiten zur Verfügung, abhängig davon, wie sich der Browser zu erkennen gibt. Noch schlimmer ist – aus User-Sicht – die Möglichkeit, sich als „Googlebot“ auszugeben. Hier kommen vermutlich nur all zu häufig Webseiten zum Vorschein, die speziell für Suchmaschinen optimiert wurden und mit Schlüsselwörtern voll gepackt sind, aber den eigentlichen Inhalt nicht mehr erkennbar wiedergeben. Auch wenn das eine Unart ist und nicht der Standard sein sollte – aber wer sich als Google ausgibt, muss halt auch damit rechnen, das zu sehen zu bekommen, was die Webmaster für Google bestimmt haben.
Mit freundlichen Grüßen,
Dominik Deobald