Samstag, 4. Dezember 2004
P3P - Platform for Privacy Preference
florian_heuse_salzburg, 21:45h
Einleitung Technische Möglichkeiten der Datenerhebung - Cookies- Logfile - Header - Web Fragebogen P3P - Platform for Privacy Preference Funktion von P3P So könnte eine P3P – Seite ausschauen Übersetzung in das XML Format P3P fähige Browser Chancen von dem P3P Standart Links Quellen Umfrage EinleitungGeorge Orwell beschreibt in seinem Buch „1984“ den totalitären Überwachungsstaat, indem gläserne Menschen überwacht und ihre Daten ausspioniert werden. Der gläserne Mensch bleibt aber nicht mehr länger nur eine Fiktion, auch Sie übermitteln während Sie das lesen Daten. Das Internet ist keine Einbahnstraße und das ist dem Normalsurfer, der nur sieht, dass sich eine Website öffnet, oft nicht bewusst. Unter der sichtbaren Oberfläche werden laufend Personenbezogene Daten verschickt. Solche Personenbezogenen Daten sind zum Beispiel Verbindungsdaten oder Inhaltsdaten. Diese Daten können gesammelt und für Werbezwecke genutzt werden.Die diversen Firmen wollen somit dem User gezielt Werbung mittels Pop-Ups, oder E-Mail Werbung nach den jeweiligen Surfgewohnheiten und Interessen zukommen lassen. Dabei stehen nun verschiedene technische Möglichkeiten für die Datenerhebung zur Verfügung. Zurück zum Anfang Technische Möglichkeiten der Datenerhebung- Cookies- Logfile - Header - Web Fragebogen (vgl. http://www.waellisch.de/home/pras.pdf) Zurück zum Anfang CookiesCookies sind kleine Dateien, die auf dem PC des Nutzers in eine Cookie Datenbank, Cookie Cache, die vom Webbrowser zur Verfügung gestellt wird, gespeichert werden. Bei einem erneuten Besuch einer Website können sie somit identifiziert werden. Dies ermöglicht personifizierte Dienste und sie müssen nicht mehr ihren Namen oder Passwort eintippen. Auch Namen, Interessensgebiete oder Datum und Häufigkeit der Besuche können gespeichert und übertragen werden. „Doch nicht nur gewollt angesurfte Seiten können Cookies auf die Festplatte setzen. Enthält die Webseite eine Grafik, die von einem anderen Server stammt, darf auch der Cookies lesen und schreiben. Diese Webbugs können sich sogar in unsichtbaren Grafiken befinden, meist transparenten Gif-Bildern mit einer Größe von 1 x 1 Pixel. Durch die Registrierung der Seite, von der der Surfer kam, lassen sich Klickgewohnheiten feststellen und für Werbe-Einblendungen nutzen.“(http://www.tecchannel.de/internet/989/) LogfileDie Logdatei beinhaltet ein automatisch erstelltes Protokoll von Aktionen oder Daten von einem PC Benutzer. Die Auswertung folgender Parameter ist möglich:- IP-Adresse - Zeitpunkt der Abfrage - Ursprungs-URL - Verwendeter Browser - Pfad durch den Server Zurück zum Anfang HeaderJede Homepage hat einen Header in dem Metainformationen zur Datei, sprich Homepage, stehen. Aber auch Datenpakete die übers TCP/IP Netzwerk versendet werden haben einen Header, indem Daten über den Absender, Empfänger, Typ und Lebensdauer des Datenpakets stehen. Ausgelesen werden meist:- From-Feld - Referer-Feld - User-Agent-Feld Zurück zum Anfang Web FragebogenAuf Homepages können Web-Fragebögen eingebettet sein, allerdings ist das Ergebnis meist nicht repräsentativ für die breite Masse und es besteht das Problem von falschen Eingaben und mehrfach Teilnahmen.Zurück zum Anfang P3P-Platform for Privacy PreferenceDamit die oben genannten technischen Möglichkeiten nicht zur Ausspionierung von Benutzern verwendet werden wurde 1998 die Platform for Privacy Preference gegründet. Bei dem Projekt P3P handelt es sich um eine Plattform, standartisiert durch das WWW Consortium W3C. P3P soll dem Internetuser ermöglichen selbst fest zu legen was mit seinen Daten im Netz passiert. Mittels eines P3P Agenten, der mittlerweile bei einigen Internetbrowsern integriert ist, kann man festlegen an wen, und welche Daten freigegeben werden.Zurück zum Anfang Funktion von P3PMit Hilfe eines kostenlosen P3P Agenten soll der Informationsanbieter dem User offen legen, welche Daten er sammelt, warum er sie sammelt und was er mit den Daten macht. Weiters soll der Informationsanbieter darüber informieren, ob er die Daten an Dritte weitergibt. Nachdem der User nun bescheid weiß, kann er sich entscheiden ob er dem Anbieter vertraut oder nicht. Dieser Vorgang soll weitgehend automatisiert ablaufen um die Benutzerfreundlichkeit zu wahren und dafür hat das W3C einen Standart entwickelt, der den Umgang einer Website mit privaten Informationen regelt. Die diversen Punkte werden mittels dem P3P-Standart in maschinenlesbares Format umgewandelt. Dieser Standart basiert auf dem Ressource Description Framework (RDF). Dadurch ist er eine XML programmierte Anwendung.(vgl. http://www.tecchannel.de/internet/989/0.html) Der Internetserver schickt dem Browser eine standardisierte Erklärung in XML Format und informiert welche Informationen gefordert sind und was mit den Informationen geschieht. Der Browser vergleicht nun das Zeugnis mit den Datenschutzvorgaben und stimmen diese überein dann beginnt der automatische Transfer der Informationen. Stimmen die Vorgaben aber nicht überein, dann kann der Benutzer selber entscheiden ob er den Transfer zu lässt oder nicht. Zurück zum Anfang So könnte eine P3P – Seite ausschauenEine typische P3P-Seite könnte vom Inhalt her folgendermaßen aussehen:"Entsprechend des Standards P3P 1.0 der W3C können Sie unsere Datenschutzrichtlinien unter der URL www.sbg.ac.at/datenschutz.html nachlesen. Die Paris-Lodron-Universität Salzburg in der Kapitelgasse. 4-6, 5020 Salzburg, Austria, E-Mail: uni-service@sbg.ac.at, Tel.: +43 / (0) 662 / 8044 – 0 gibt hiermit folgende Erklärung über ihre Webseiten ab: Wir sammeln und werten Daten über die Besucher unserer Website aus. Dabei berücksichtigen wir Kontakt-Informationen und andere. Die unabhängige Organisation a.trust überprüft dabei, ob wir uns an die Datenschutzrichtlinien halten. Falls wir dagegen verstoßen, werden wir entstandene Schäden korrigieren. Wir sammeln einige Informationen, um bestmöglichen technischen Support zu geben und unsere Website zu verbessern. Wir verwenden diese Informationen ausschließlich selbst und geben sie nicht an Drittanbieter weiter. Wir speichern diese Daten so lange sie für diesen Zweck nötig sind. Dazu gehören Ihr Name, eventuell Ihre Telefonnummer, Ihre E-Mail-Adresse sowie ID und Passwort." Diese Erklärung soll Antworten auf folgende Fragen enthalten: - Welche Daten des Besuchers werden gesammelt? - Wie werden diese Daten verwertet? - Wer erhält Zugang zu diesen Daten? - Wie lange werden die Daten gespeichert? (vgl. http://www.tecchannel.de/internet/989/5.html) Übersetzung in das XML FormatDie Datenschutzrichtlinien müssen nun in das maschinenlesbare XML Format umgewandelt werden. Dazu nützen Sie am besten einen „P3P-Policy Generator“.Folgende Fachausdrücke werden sie im Generator vorfinden: - Entity: Wer sind Sie, und wie kann Sie der Besucher kontaktieren? - Disclosure: Wo befindet sich die Datenschutzrichtlinie im Klartext auf Ihrer Site? - Assurances / Disputes-Group: Welcher Drittanbieter oder welches Gesetz versichert, dass Sie sich an Ihre eigenen Richtlinien halten? - Data Collection and Purpose: Welche Daten sammeln Sie zu welchem Zweck? (vgl. http://www.tecchannel.de/internet/989/6.html) Zurück zum AnfangP3P fähige BrowserSeit dem 16.April 2002 ist der P3P 1.0 Standart eingeführt, am 10.Februar 2004 gab die W3C die nun aktuellste P3P 1.1 Version heraus.(vgl. http://www.w3.org/P3P/) Viele Browserhersteller warteten vorerst ab, aber nun sind folgende Browser P3P fähig.- Microsoft Internetexplorer ab Version 6.0 - Netscape Navigator ab Version 7.0 - Mozilla ab Version 1.4 - AT&T Privacy Bird - JRC Proxy (vgl. http://www.w3.org/P3P/implementations) Chancen von dem P3P StandartDas P3P Projekt ist sehr lobenswert dennoch kommt berechtigte Kritik von Verbraucherschützern. Die Automation, die dem User zu Gute kommen soll, birgt Risken, weil eben viele Prozesse automatisch ablaufen und der unerfahrene User meist die Standarteinstellung der Softwareindustrie verwendet. „Er sei offensichtlich nicht entwickelt worden, um die Privatsphäre zu schützen, sondern das Sammeln von Daten durch Websites zu erhöhen. Demnach erleichtere er dem Nutzer die Herausgabe seiner Angaben, statt sie zu behindern.“ (Karen Koyle, 1999)Der Austausch der Information erfolgt sehr einseitig. Der Verbraucher muss meist detaillierte Angaben wie Name, Adresse, Arbeitsplatz, Telefonnummer oder Geburtstag eintragen. Auf Seiten der Betreiber gibt es keine entsprechenden Verpflichtungen. (vgl. http://www.tecchannel.de/internet/989/1.html) Das W3C ist keine juridische Instanz, somit kann das W3C nur Empfehlungen geben und keine einheitlichen Gesetze erlassen. Um den Rechtsstreit bei zu legen, wird versucht anerkannte Prüfinstanzen wie TRUSTe oder BBBOnline dazwischen zu schalten. Diese Institutionen sollen die Datenschutzrichtlinien und deren Einhaltung überprüfen.Die P3P Erfinder mussten sich der Marktmacht der Großunternehmen, wie Microsoft, beugen. Microsoft zeigte und zeigt großes Interesse den Standart weiter zu führen. Allerdings ist ein Open Source Konzept die Voraussetzung, dass sich der Standart weiterentwickelt und es ist zweifelhaft ob nicht in Amerika das Open Source Konzept durch eine zu schnelle Patentvergabe gefährdet ist. Aber P3P hat in Microsoft und Netscape mächtige Fürsprecher. Der P3P Standart findet weitere Anwendung in Microsoft Passport und im Konzept von elektronischen Geldbörsen. Die weitere Ausbreitung des P3P Standards ist wahrscheinlich. LinksHier finden Sie: Liste von Websites die P3P implementiert haben: Zurück zum Anfang QuellenAlle Quellen aufgerufen am 3.Dezember 2004http://www.waellisch.de/home/pras.pdf Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein FH-Giessen - Privacy im Web - Christian Heinz Karen Coyle - Center for democracy & technologie UmfrageFanden sie diesen Artikel informativ? Zurück zum Anfang... comment
Hans.Mittendorfer.Uni-Linz,
Donnerstag, 20. Januar 2005, 14:14
guter Beitrag zu einem intressanten Thema
auch finden sich gute Quellenhinweise. Kleiner Fehler: die 2. Abblildung ist offensichtlich nicht korrekt in den Beitrag eingebunden.
... link
florian_heuse_salzburg,
Donnerstag, 20. Januar 2005, 16:27
Der Fehler ...
... wurde korrigiert und die Größe des Bildes angepasst.
... link ... comment |
Hallo
Online for 7724 days
Name:Florian Heuse
Location:Salzburg, Austria
ICQ#:65671162
Last update: 2006-06-26 15:35 You're not logged in ... login
Probleme eines öffentlichen Mediums
Die Schweigespirale, ein Begriff aus den Medienwissenschaften, ... by florian_heuse_salzburg @ 2006-06-26 15:35 Fachtagung - Social Skills durch Social Software
Salzburg Research organisierte eine spannende interdisziplinäre ... by florian_heuse_salzburg @ 2006-06-12 18:28 Speakers Box
Begeistert von der Idee einer Speakersbox und voller ... by florian_heuse_salzburg @ 2006-06-12 17:27 großes Lob ..
.. gebührt der Initiative und den Akteuren! H. ... by Hans.Mittendorfer.Uni-Linz @ 2006-05-24 15:59 Alle Achtung!
Auf dem letzten Bild kommt ja direkt Volksfest-Atmosphäre ... by wolfgang.erharter.salzburg @ 2006-05-20 15:29 Friendlist
LV BegleitblogNemosomeN by Sabine Klein |