News Google: Sicherer Login nur noch mit aktiviertem JavaScript

[Mihawk90]

Authentifizierung zu Zutrittsberechtigen, nicht zu sämtlichen anderen persönlichen Kram wie besuchte Seiten.

Dir ist klar dass man das JavaScript auch selektiv nur auf der Login Seite einschalten kann und die Tracker auf externen Seiten damit hinfällig sind oder

Im Grunde stimme ich Dir in einigen Punkten zu, dennoch werden die meisten Werbe- bzw. Analysetools usw. die von Facebook oder Google stammen in Form von JavaScript direkt in die Web-Frontends eingebunden

Natürlich, das ist ja auch die einfachste Variante Analyse-relevante Daten auszulesen, den meisten Paranoiden hier geht es aber um das Tracking über mehrere Seiten hinweg und das kann geblocktes JavaScript de facto nun mal nicht verhindern.

 

[GGG107]

Dir ist klar dass man das JavaScript auch selektiv nur auf der Login Seite einschalten kann

Ja, ist mir klar, ändert aber nichts am Prinzip.

und das kann geblocktes JavaScript de facto nun mal nicht verhindern.

Hat auch Niemand behauptet.
Das ganze hat auch nichts mit Paranoyer zu tun.

 

[Jesterfox]

Im Zweifel alleine für die Input-Validierung: ja.

Gerade die Input-Validierung muss sowieso zwingend auf dem Server passieren. Man kann sie auch lokal machen um dem User schneller Feedback zugeben, das ersetzt aber niemals eine Überprüfung am Server. Von daher ist das also rein optional.

 

[Oteph]

Solche Sachen lassen sich halt auch fälschen, der clientseitige Code hat da keine Kontrolle drüber da er ersetzt oder modifiziert werden kann.

Wenn das funktionieren soll müssten sie schon richtiges Profiling machen, am besten noch auf den Nutzer bezogen... ob das noch DSGVO Konform ist?

Tatsächlich ist es egal dass der Angreifer den Code auf auf der Client Seite Verändern kann.
Der Code sammelt ja nur information und gibt die an Google weiter. Klar kann ein Angreifer den Code beeinflussen, das bringt im aber nichts da er nicht wissen kann welche Informationen Google sehen möchte.

Ist das gleiche system wie bei den captchas die man einfach nur anklicken muss. Deshalb kann man sogar davon ausgehen dass schlechtes spoofing der übertragenen Daten die Erkennung für Google sogar noch erleichtert.

 

[psYcho-edgE]

Gerade die Input-Validierung muss sowieso zwingend auf dem Server passieren. Man kann sie auch lokal machen um dem User schneller Feedback zugeben, das ersetzt aber niemals eine Überprüfung am Server. Von daher ist das also rein optional.

Dass im Backend validiert werden muss ist selbstverständlich. Usability is my purpose tho :^)

Wie wäre es ansonsten mit Javascript-Frontend und Backend Frameworks? Node.js, Vue, etc. Arbeite ich gerne mit und bringen durchaus einige Vorteile.

 

[Miuwa]

Authentifizierung zu Zutrittsberechtigen, nicht zu sämtlichen anderen persönlichen Kram wie besuchte Seiten.

Du brauchst JS ja auch nur für die Zutrittsberechtigung. Davon abgesehen übermittelt sein Browser auch ohne JS bereits so viele Informationen an Google, das es relativ leicht für die sein dürfte dich zu tracken. Ich setzte einfach nicht wo das JS requirement für die Anmeldung die Lage merklich verschlechtert. Wenn ich anonym im Internet unterwegs sein will melde ich mich nicht bei Google an.

 

[cbtestarossa]

Ein Login kann man ja auch mit Serverscripts gestalten.
Warum da mit JS herum hantieren?

 

[Mihawk90]

Natürlich wird der Login serverseitig gehandhabt, darum geht es ja gar nicht (wie soll das auch funktionieren rein client seitig?)

Ist doch nun schon diverse Male erwähnt worden, das ist nur ein zusätzlicher Schritt.

 

[GGG107]

Ist doch nun schon diverse Male erwähnt worden

Ich denke wir drehen uns hier sowieso viel im Kreis, missverstehen, nehmen voneinander fälschlich Dinge an und wollen korrigieren. Also ich denke wir sind uns da alle einig das dieser Schritt von Google kein notwendiger und wohl wahrscheinlich auch nicht im Sinne der Nutzer ist. Wie wo was warum, sind ja alles nur unwichtigere Details. Genauso warum der und der Mensch, seinen Browser so und so nutzt. Spekulationen führen alle ziemlich an der Realität und auch am Thema vorbei.

Wenn ich anonym im Internet unterwegs sein will melde ich mich nicht bei Google an.

Es geht auch beides gleichzeitig.

 

[Miuwa]

Es geht auch beides gleichzeitig.

Kommt darauf an, was man unter anonym versteht. Für mich bedeutet das auch, dass ich Google und Co möglichst wenig Informationen geben will, die mit anderen Daten korreliert werden kann und ne anmekdung bei Google macht die Korrelation über mehrere Session hinweg nochmal deutlich leichter - JS auf der Anmeldeseite wäre da meine letzte Sorge.

 

[GGG107]

Kommt darauf an, was man unter anonym versteht.

Da können wir gleich bei Adam und Eva neu anfangen. Beginnt mit Wortklauberei und endet mit Heuchelei. Albern. Wie du schon selbst sagst, Google hat nur die Info die man selber da lässt. Worin unterscheiden die sich von anderen? Wenn man es drauf anlegt, überhaupt nicht. Selbst SIM-Karten gibt es anonym.

JS auf der Anmeldeseite wäre da meine letzte Sorge.

Nochmal: Es ist keine Sorge, es ist einfach zusätzlicher (klein)Mist, der in falsche Richtungen geht.