User Tracking auf Openstreetmap.org

Ja

Nein

Ach ja? Gibt es auch weitere, evtl. sachdienlichere, Hinweise zum Nachlesen?

Danke auch für diese ausführliche Antwort.

Konkrete Fragen wären doch:

  1. Welchen Vorteil bietet das Tracking denn überhaupt?
  2. Wer sind denn die besagten few people?
  3. Welche Daten werden denn gespeichert?
  4. Wie lange wird gespeichert?
  5. Mit der Umstellung auf das neue URL-Format werden ja die Koordinaten mitübertragen (bspw. http://www.openstreetmap.org/#map=16/50.0417/8.3322))
    Werden diese Daten mitaufgezeichnet?

Soso und was ist mit Gravatar?
Sogar mit Hash der E-Mail-Adresse! :rage:

http://netzklad.de/2013/08/gefaehrliche-gravatare/
http://t3n.de/news/gravatar-484557/

Viele Grüße,
whb

Solange die Daten per unverschlüsseltem http über TAT-14 und Konsorten ins Land der Full take Spezialisten übertragen werden, ist das vermutlich ziemlich irrelevant.

[EDIT - Typo]

Was ist jetzt genau irrelevant?

Das unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein hat dazu ein Papier erstellt, https://www.datenschutzzentrum.de/tracking/piwik/20110315-webanalyse-piwik.pdf

Ob die Empfehlungen umgesetzt wurden, kann ich nicht sagen.

Gibt es das Piwik nicht schon seit vielen Jahren?

Bei mir nicht:

https://www.ghostery.com/

Sehe ich auch so. Deutlich bedenklicher und lästiger finde ich z.B. auf help.openstreetmap.org das Einbinden von Bibliotheken von google.com. Immmerhin kann man mitlesen, ohne google.com die Skriptausführung erlauben zu müssen.

Aus der Diskussion ist mir nicht klar geworden warum es dir Tracker gibt, ergo werden sie zukünftig geblockt.

Interessanter Punkt.

Mir ist der Tracker mehr oder minder zufällig aufgefallen als vor zwei Tagen für einige Millisekunden die Statusmeldung “piwik.openstreetmap.org wird gelesen” im Browser aufflackerte. Da ich normalerweise über eine schnellere Internetverbindung verfüge, kann es ja tatsächlich sein, dass der Tracker schon jahrelang im Betrieb ist, die Statusmeldung aber halt bei einer schnelleren Internetverbindung gar nicht mehr erscheint.

Für mich wäre der Vertrauensverlust dann allerdings umso größer, da ich bei Community-Projekt nicht damit rechne, mehr oder minder heimlich getrackt zu werden.

In den OSM-Datenschutzerklärungen findet sich übrigens kein Sterbenswörtchen, dass Tracker beim Betrachten der Seite eingesetzt werden :confused: :confused: :confused:

Offen ist auch weiterhin, wie mit dem jüngest geänderten URL-Format, das Koordinaten und Zoom-Level enthält, umgegangen wird. Damit entsteht potentiell eine Art “Bewegungsprofil”.

Dieser Verdacht sollte anhand von Fakten schnell entkräftet werden.

Das ist nur lokales JavaScript, damit kann genauso viel oder wenig an den Server gesendet werden wie vor dieser Umstellung (die ich nicht gut finde, aber das ist ein anderes Thema).

@free_as_a_bird
Ich empfehle dir, das Internet nicht weiter zu nutzen. Fast jede Anfrage wird in einem Server-Log gespeichert und umfasst mindestens Uhrzeit, Anfrage (komplette URL, auch GET-Parameter), regelmäßig den Referer (Seite, von der du herkommst), sehr oft den User-Agent und fast immer deine IP-Adresse. Piwik macht nicht viel anderes, nur dass er bei aktiviertem JavaScript auch Daten wie die Bildschirm-Auflösung speichern kann (hilfreich z.B. bei Entscheidungen, wie groß/klein Kartendetails gerendert werden sollen).

Wir haben aber nunmal Datenschutzgesetze, und die sollten grade bei FOSS-Projekten eingehalten werden. Also brauchen wir schon Antworten auf Fragen wie

  • Wozu wird der Piwik gebraucht? Ich dachte, OSM sei eine Geodatenbank, und die Karte auf der Startseite wäre nicht so wichtig!
  • Wie ist er konfiguriert?
  • Speichert er volle IP-Adressen?
  • Legt er Nutzerprofile an?

Grad über Datensparsamkeit muss man doch eigentlich nicht mehr reden. Diese Daten können von beliebigen “interessierten” Leuten genutzt, erhackt und/oder er-NSA-d (Regierungsseitig abgeschnorchelt) / er"Snowden"d (einfach rausgetragen) werden. Wenn man einen Datentrog aufstellt, kommen die Schweine. Also erst garnicht sammeln.

Ehm also auch wenn ich selbst Datenschutz für extrem wichtig halte, verstehe ich eure Aufregung nicht:

  1. Piwik reicht keine Daten nach extern weiter
  2. Es wird ausschließlich Piwik eingesetzt, schaut euch doch mal bitte beliebige Zeitungsseiten mit Ghostery an, da quasseln fast immer ~10 Widgets/Adverts/Tacker fröhlich und teilen mit wer du bist.
    Das man als Webmaster den Weg seiner Nutzer und ihr Wiederkehrverhalten verfolgen will, halte ich für durchaus nachvollziehbar. Wer das nicht will, kann es ja gerne blockieren oder Do-not-track aktivieren, oder?

Prinzipiell gibt es zwei Arten, die gerne nur sehr undifferenziert betrachtet werden: Statistik und Tracking. Die Statistik ist ein harmloses zusammenwerfen vom Level “wir haben 1200 Seitenaufrufe, 150 mal wurde Seite XYZ aufgerufen” usw., und ist anonymer als ein Serverlog. Ein Tracking hingegen begnügt sich hiermit nicht, man will wissen wie sich die User auf einer Webseite (oder darüber hinaus - und genau damit wirbt Piwik!) bewegen - Bewegungsprofile. Und zumindest in Europa ist Tracking stets eine Grauzone in der man sich da bewegt - völlig egal ob man die Daten rausgibt oder nur intern erhebt. Meine Erfahrung zeigt aber, dass viele glauben Tracking zu brauchen (und dann auch nehmen), obwohl sie eigentlich eine Statistik meinten. Oder der Admin findets cool und nimmt das aus persönlicher Vorliebe - weil er schlicht weiss “damit komm ich klar, das hab ich schon mal integriert”.

Ein Tracking muss zwar auch mit jenen Daten auskommen die ein Serverlog ebenso erstellt, aber sie werden anders aufbereitet. Sonst bräuchte manch einer gar keine solche Software - mit grep & wc kommt man auch recht weit…

Für mich ist der Hype um und Trend zum Tracking (statt oder zusätzlich zur klassischen Statistik) ein sehr fragwürdiger Umgang mit den Besuchern einer Webseite. Die erste Frage wäre hier für mich: Welche Info genau erhofft man denn zu erhalten? Diese Frage muss man ohnehin eigentlich erst klären, bevor man sich für Tracking überhaupt entscheidet. Ansonsten war es eben die Vorliebe des Admin…

Schaut euch mal die Zeile im HTML-Quellcode an, um die es geht:

img src="http://piwik.openstreetmap.org/piwik.php?idsite=1" style="border:0" alt=""

Ein Cookie von piwik.openstreetmap.org habe ich nicht gefunden. Die deutsche Seite openstreetmap.de verlinkt nicht auf piwik.openstreetmap.org.
Damit sind für piwik auf openstreetmap.org alle Browser-Attribute, IP-Adresse und Referer (also: die gegenwärtige URL mitsamt dem #map=zoom/lat/lon Anteil) bei Abruf der .org-Seite sichtbar; eine Aktualisierung bei Änderung der Karte kann ich nicht herauslesen (habe ich sie nur nicht gefunden?). Eine Profilbildung ohne Cookies ist schwierig, aber möglich.

Es setzt auf Cookies, um Nutzer langfristig zu tracken. Das ist eben der Unterschied zwischen Tracking und einem einfachen Server-Log. Neben Session-IDs (kann man auch über Cookies machen) wären dann noch User-IDs möglich. Hab mir aber die Funktion nicht angeschaut. Mein Ghostery hält mir die lästigen Plagegeister vom Hals. Um sich von Google moralisch abzusetzen würde ich bei OSM einfach auf solchen Tracking-Kram verzichten. Einen großen Nutzen hat OSM davon ohnehin nicht, wenn OSM nicht in Richtung Googles Geschäftsmodell gehen will. Die Verbindung von User-Tracking mit GPS-Daten kann man ziemlich fies missbrauchen, siehe Googles Android. Da sollte man einfach von vorneherein einen klaren Riegel vorschieben.

  1. Noch nicht
  2. Nicht absichtlich

“Die Anderen sind viel schlimmer” ist kein gutes Argument.

Wofür will man das wissen? Ich sehe keinen Nutzen und potenziell viel Schaden. Erklär mir den konkreten Nutzen für OSM/OSM.org/die OSMF/uns, und ich bin gerne bereit drüber nachzudenken. Aber einfach so “weil es geht”/“weil andere das auch machen”/“weil ich die Grafiken so schön finde”? Nee.

Vielleicht einfach mal bei den Admins anfragen, was damit bezweckt wird und warum nicht darauf hingewiesen wird. Andere Frage wäre, wer sind die Admins, auf der Seite selbst steht außer der Foundation keine Ansprechpartner.