Surfin‘ NSA – externes Hosting vermeiden, um Daten zu schützen

Aktuell machen sich ja viele Mitbürger Sorgen, ob all ihre Daten im Internet mitgeschnitten werden, wenn sie ins Ausland geschickt werden. Das hat sogar unsere Kanzlerin schon gemerkelt. Sich generell von im Ausland gehosteten Diensten abzuwenden, ist leider in vielen Fällen nicht einfach. Es gibt aber ein paar Dinge, die nicht aufwändig sind und die Webmaster für ihre User tun können.

Bei Website-Betreibern sehr beliebt sind kostenlose Dienste, die bestimmte häufig verwendete Dateien auf externen Servern hosten. Solche Dateien sind beispielsweise die Javascript-Library jQuery oder auch die frei zugänglichen Google Fonts. Die Dateien so einzubinden ist zwar bequem, aber hat auch einige Nachteile im Bereich der Privatsphäre. Jede z.B. bei Google extern gehostete Datei schickt nämlich pro Page-Impression einen Request ins Ausland. Nun sind diese Dateien im besten Falle zwar clientseitig gecached, und daher gibt es nicht jedes Mal einen Request zum fremden Server, aber mindestens einmal pro Tag schon, da Google das Expiration-Datum auf 24 Stunden setzt.

Google Fonts unterstützt Googles Datensammelwut
Google Fonts unterstützt Googles Datensammelwut

Wenn so ein Request seinen Weg nach draußen bahnt, enthält er die IP-Adresse, den User-Agent und natürlich auch die URL der Seite, auf der sich der User gerade bewegt. Und das sind allerfeinste Verbindungsdaten, die Google somit postwendend erhält. Neben Statistiken zu den Usern erhält Google damit natürlich auch welche zur Benutzung der Website im allgemeinen. Viele entscheiden sich aus Datenschutzgründen extra gegen eine Installation von Google Analytics, aber vergessen dann, dass man auf anderem Wege eh schon so gut wie alles an Google schickt.

Externes Hosting ist technisch gesehen eine gute Idee

Bei all den Gefahren kann man nicht verschweigen, dass externes Hosting für bestimmte Dateien eigentlich ja eine gute Sache ist. Man entlastet den eigenen Server, Requests im Browser können besser parallel verarbeitet werden und das Caching beim Client wird besser genutzt. Es bringt also einige Geschwindigkeitsvorteile. Möchte man so einen Dienst nutzen, kann man ja wenigstens darauf achten, dass er nicht im Ausland gehosted ist. In Deutschland kann man z.B. IncludeJS für jQuery-Hosting verwenden. IncludeJS wird in Deutschland gehosted und speichert keine Verbindungsdaten. Wenn wenigstens Google einfach mal behaupten würde, nichts zu speichern, wär das ja schon mal was. Aber glauben würde man es dem Laden trotzdem nicht.

Unnötige Requests zur USA/NSA
Surfin‘ NSA

Beachtenswert ist ohnehin, dass Google offenbar nicht möchte, dass man die Webfonts herunterlädt und selbst hosted, jedenfalls muss man nach der Möglichkeit erst suchen und erhält dann auch nicht die .woff-Dateien, die man eigentlich zur Einbindung bräuchte. Warum sollten Herr und Frau Google solch einen Dienst also aus lauter Jux und Dollerei kostenlos anbieten? Richtig: Weil sie einfach nur die Welt verbessern wollen! Auf alle Fälle sollte man Google-Webfonts herunterladen und selbst hosten, das ist nicht besonders schwierig und meines Erachtens erlauben es die Lizenzen auch.

Google Fonts werden bei WordPress standardmäßig extern eingebunden

Seit dem Theme „Twentytwelve“ bindet WordPress von Haus aus den Google-Font „OpenSans“ ein und zwar eine bei Google gehostete Version. Es wird also per Default von WordPress zu Google nach Hause telefoniert, ohne dass es den ganzen Bloggern bewusst ist. Das lässt sich leider nicht in den Einstellungen ändern, man muss dazu erst ein Plugin coden, das OpenSans komplett rausschmeißt. Wer das machen möchte, sollte es so tun:

function remove_google_fonts() {
  wp_dequeue_style('twentytwelve-fonts');
}
add_action('wp_enqueue_scripts', 'remove_google_fonts', 11 ); 

WordPress scheint es auch sonst nicht so genau mit den Daten zu nehmen, denn mit Gravatar ist noch eine ordentliche Datenschleuder fest integriert. Gravatar bietet gehostete Avatar-Bilder für User an, die einfach in Blogs usw. eingebunden werden können. Bei so gut wie jedem WordPress-Artikel werden munter Requests an den Dienst geschickt, ob er nicht ein Bild passend zu dem User hat. Dabei gehen auch wieder die ganzen Verbindungsdaten über die Leitung. Und wo sitzt Gravatar? In den USA.

Zum Glück lässt sich dieser Dienst einfach abschalten: Einstellungen | Diskussion | „Zeige Avatare“ ausschalten

Ich möchte nicht wissen, wie wenigen Blogbetreibern überhaupt klar ist, wo ihre Daten überall hinfliegen… Gerade WordPress ist da tendenziell gefährlich, weil es einfach zu benutzen ist und man kein Profi sein muss. Als argloser Betreiber möchte oder kann man eben nicht jedes Theme auf Herz und Nieren prüfen, bevor man es installiert. Da sollte meiner Meinung nach WordPress besser aufklären.

2 Gedanken zu „Surfin‘ NSA – externes Hosting vermeiden, um Daten zu schützen“

  1. Vielen Dank für die Hinweise. Habe auch im neuen Standard-Theme von WP 3.6 die Verwendung der Google-Fonts entdeckt und konnte mit Hilfe deines Codes mir ein Plugin basteln, das jetzt die Abfrage der Schriften verhindert. Danke!

Kommentare sind geschlossen.