Wer das Add-On “Photobucket Hotlink Fix” für Firefox, Chrome oder Opera einsetzt, sollte dies deinstallieren. Es sendet jede aufgerufene URL an einen externen Server bzw. tauscht heimlich einen Amazon-PartnerNet-Referrer von Amazon-Links aus oder bindet Google Analytics ein, je nach Browser. Momentan benutzen 6000 Firefox-Nutzer, 32.000 Chrome-Nutzer und 880 Opera-Nutzer das Add-On.
UPDATE: Heise hat darüber berichtet und die aktuelle Version auf AMO wurde entfernt \o/
Die Idee des Add-Ons ist eigentlich cool: Photobucket hat fast alle Direktlinks zu Bildern deaktiviert und zwingt die betroffenen User zu zahlen. Das Add-On aktualisiert die Bilder-Links im Hintergrund, sodass diese wieder funktionieren.
Mir ist es schon vor einigen Monaten aufgefallen, dass bei jedem Seitenaufruf in Firefox die externe IP “79.137.79.108” im Hintergrund aufgerufen wird. Genauer die URL “http://79.137.79.108/hotlink?rnd=ZufälligeID”, wobei die volle URL an diesen Server gesendet wird — unverschlüsselt im Klartext.
Das Ganze können wir auch schnell überprüfen, indem wir das Add-On installieren, Fiddler anwerfen und eine beliebige Seite aufrufen — es wird ein POST-Request zu der oben genannten URL durchgeführt und die vollständige URL steht im POST-Körper. Immerhin ist die ID zufällig, aber das hält den Autor trotzdem nicht davon ab, die gesamte Browsing-History zu tracken.
Darauf angesprochen reagierte der Entwickler wie folgt (Originallink):
It checks in our server if the fix is allowed in the page you are visiting, we have received notifications from webpages that doesn’t want the fix in their sites.
Ich halte das für eine dreiste Lüge. Angenommen, der Entwickler sagt die Wahrheit, dann sollte das dem Add-On trotzdem “egal” sein, ob Webseitenbetreiber das wollen (und warum sollten sie es nicht wollen? Erschließt sich mir nicht). Man stelle sich nur vor, Werbeblocker würden auf solche Anfragen anspringen. Außerdem fehlt eine Datenschutzerklärung.
Hinzu kommt, dass dieser Code in den anderen Versionen des Add-Ons fehlt. Warum sollte so etwas in nur einer Version vorhanden sein, wenn es den oben behaupteten Zweck erfüllen sollte? Vor allem, da das Chrome Add-On deutlich mehr Nutzer hat.
Das Kuriose ist aber, dass dafür eine andere Stelle im Chrome-Add-On-Code existiert, die im Firefox Add-On auskommentiert ist. Wie Akamaru (ein Freund von mir) schon angemerkt hat, tauscht das Add-On heimlich Ref-Links von Amazon aus, sodass der Entwickler auf jeden Amazon-Einkauf eine “Provision” erhält.
Das können wir auch rasch überprüfen, wenn wir uns den Code des Add-Ons runterladen und die JS-Datei inspizieren:
Für die Nicht-Programmierer bedeutet das Folgendes: Wenn die URL eine Amazon-URL ist und einen “tag”-Parameter beinhaltet, der nicht der Tag des Entwicklers ist, wird dieser mit dem Tag des Entwicklers ausgetauscht.
Ein kurzer Test bestätigt das:
Unnötig zu sagen, dass das Ganze nicht erlaubt ist:
You must clearly state the following on your Site or any other location where Amazon may authorize your display or other use of Content: “We are a participant in the Amazon Services LLC Associates Program, an affiliate advertising program designed to provide a means for us to earn fees by linking to Amazon.com and affiliated sites.” Except for this disclosure, you will not make any public communication with respect to this Agreement or your participation in the Associates Program. You will not misrepresent or embellish our relationship with you (including by expressing or implying that we support, sponsor, or endorse you), or express or imply any affiliation between us and you or any other person or entity except as expressly permitted by this Agreement.
Wahrscheinlich ist dies nur in der Chrome-Version aktiv, da die Richtlinien auf AMO recht streng mit so etwas sind (aber warum existiert es nicht bei Opera?). Auf meine Meldung hat Mozilla übrigens nicht reagiert.
Im Chrome Web Store ist (anders als auf AMO) eine Datenschutzerklärung (Originallink) verlinkt:
This extension uses Google Analytics (https://analytics.google.com/) to track users using the extension in real time.
This extension connects to one of our servers (79.137.79.108) to check if the fix can be applied in the domain of the webpage you are visiting. This is because we have received many notifications from webmasters that don’t want the fix been applied in their sites.
Hier wird sogar der externe Server erwähnt, allerdings steht nichts davon da, dass die vollständige URL übermittelt wird. Und der Hinweis aufs PartnerNet fehlt auch. Zudem ist der Google-Analytics-Hinweis recht schwammig formuliert.
Warte, was? Google Analytics? Ja! Der Code istin der Firefox-Version vorhanden, aber nicht aktiv:
Aber Moment, da ist noch mehr! Auf GitHub ist noch eine dritte Version ohne die Serververbindung und ohne dem Amazon-Zeugs, aber mit aktivem Google Analytics Code. Und wo gehört das hin? Zum Opera Add-On. Auch hier ist keine Datenschutzerklärung verlinkt (Imgur).
Kurzum tut das Add-On folgendes:
- In Firefox: Sendet jede aufgerufene URL unverschlüsselt an einen externen Server
- In Chrome: Tauscht Amazon-PartnerNet-”Tags” aus
- In Opera: Tracking per Google Analytics
- Schwammige Datenschutzerklärung, die nur im Chrome Web Store verlinkt ist (und da nicht mal das Amazon-Zeugs erwähnt wird)
Ich hab alle Versionen von den Stores heruntergeladen und auf MEGA hochgeladen, falls diese verschwinden sollten, sodass jeder selbst nachsehen kann.
