Weil wir gerade bei Styles sind: Googlemail gibt es nun auch in neuer Optik. Habe vorhin mal ein wenig herum geklickt und mich zunächst für dieses Design entschieden.

Eine Menge Themes stehen zur Verfügung, viele gehen gaaaanz weit an meinen Vorstellungen einer funktionellen Optik vorbei, aber sicher ist für die meisten etwas dabei. Zu finden sind die Styles in den Einstellungen unter einem neuen Reiter „Themes“.

Ob die deutsche Version das bereits integriert hat weiß ich grad nicht, normalerweise hängt sie ja bei so etwas immer ein wenig hinterher. Dann einfach auf englisch umstellen und ihr solltet auf die Themes zugreifen können.

Wenn ich mir die hysterische Berichterstattung in den Blogs anschaue, die seit gestern rund um Chrome herrscht, dann wird mir ehrlich schlecht. Was wird dem Browser inzwischen schon alles angedichtet: Datenspionage, Keylogger-Funktionalität, speichern der Surf-Historie auf Google Servern, jeder ist eindeutig identifizierbar und anhand dieser Daten werden die besuchten Seiten zugeordnet… Hanebüchener Unsinn!

Versteht mich nicht falsch, ich will jetzt hier keine Lanze für Google brechen, aber ich finde es gelinde gesagt erschreckend, welche Paranoia gepaart mit absoluter Ahnungslosigkeit und Sensationsgier hier zu den unmöglichsten, sachlich einfach falschen Aussagen führt. Deshalb will ich, basierend auf meinen gestrigen Untersuchungen, mal einige falsche Aussagen richtig stellen. Ich werde hier allerdings keinen der Beiträge verlinken, die diese vollkommen haltlosen Aussagen verbreiten.

Aussage 1: Chrome sendet meine eMail-Adresse an Google-Server.

Falsch! In keinem meiner Mitschnitte war auch nur ansatzweise eine Mailadresse zu finden. Ich habe gezielt verschiedene Online-Formulare ausgefüllt (und die dort verwendeten Adressen dann natürlich auch im HTTP-Stream gesehen, sofern die Formulare nicht per SSL übermittelt wurden), darüber hinaus jedoch nichts dergleichen finden können.

Aussage 2: Chrome übermittelt alles, was ich in die Adresszeile tippe, an Google-Server.

Diese Aussage ist nur halb wahr. Richtig ist: Chrome sendet sämtliche Eingaben in der Adresszeile an die voreingestellte Suchmaschine. Und das auch nur dann, wenn die Autosuggest-Funktion aktiviert ist! Ja, es ist ungeschickt, diese Funktionalität als Opt-Out zu gestalten, also in der Grundeinstellung aktiv zu lassen. Allerdings, und da werden mir sicherlich viele zustimmen, das ist es nun mal, was Otto-Normaluser wünscht. Falsch ist definitiv, dass Chrome diese Eingaben immer an Google-Server übermittelt. Die Anfragen werden in jedem Fall nur an die Suchmaschine übertragen, die als Standard eingestellt wurde (bei der Installation wird da auch nachegefragt). Stelle ich hier Yahoo ein, ist keine Kommunikation mehr mit Google-Servern zu sehen, dafür plötzlich jede Menge Verkehr mit Yahoo-Servern. Logisch, wie sollte solch eine Funktion auch anders realisiert werden? Hier aber zu behaupten, alles was man eintippt, landet bei Google, ist sachlich einfach nicht richtig.

Im übrigen passiert exakt das gleiche, wenn man Firefox nutzt. Nicht bei der Eingabe im Adressfeld (hier greift der Firefox ja auf die Browser-Historie zu), aber bei der Eingabe im Suchfeld. Auch hier gehen exakt die gleichen Anfragen übers Netz – zur voreingestellten Suchmaschine.

Verwendet man die Auto-Vervollständigen-Funktion im Chrome, dann wird die letzte, endgültige Eingabe NICHT mehr an die eingestellte Suchmaschine gesendet.

Aussage 3: Google speichert meine Surf-Historie auf seinen Servern.

Ebenfalls vollkommen falsch! Um dies zu realisieren, müsste jeder angeklickte Link zu einem der Google-Server übertragen werden, anderenfalls entgingen Google Unmengen an besuchten Seiten. Dies geschieht jedoch faktisch nicht. Wie in 2. bereits beschrieben, werden lediglich Anfragen an die voreingestellte Suchmaschine gesendet, wenn man etwas in die Adresszeile eintippt und die Autosuggest-Funktion noch aktiv ist.

Aussage 4: Google sendet mit jeder meiner Anfragen eine Identifikationsnummer, anhand derer der Browser eindeutig zu identifizieren ist.

Falsch! Googles eindeutige Identifikationsnummer wird lediglich bei Update-Check durch den GoogleUpdater gesendet. In keiner weiteren Anfrage von Chrome konnte ich sie entdecken. Im übrigen, wie bereits geschrieben: Firefox macht exakt das gleiche (und nahezu jede andere Software auch). Siehe unter anderem auch hier und hier.

Also: sicherlich ist es schön zu sehen, dass das Bewusstsein für Privacy und Datensicherheit steigt. Keine Frage, vor nicht all zu langer Zeit sah das noch vollkommen anders aus. Es ist allerdings nicht mal im Ansatz hilfreich, aufgrund vollkommen falscher Behauptungen eine Hysterie zu erzeugen, so etwas gibt über kurz oder lang sämtliche Bemühungen in dieser Richtung der Lächerlichkeit preis. Denn es ist tatsächlich erschreckend zu sehen, wie uninformiert viele hier in die Diskussion einsteigen: Ein Löwe brüllt es falsch vor (ja, manche Löwen gestehen es selbst immer wieder ein, von der Technik nicht wirklich viel Ahnung zu haben) und die ganzen Kojoten heulen es nach. Sorry, das hilft auf keinen Fall dabei, eine sachliche Diskussion zum Thema zu führen.

Angeregt durch die (verständlicherweise) entstehende Diskussion rund um Googles Chrome und Googles Datensammelwut habe ich mir jetzt mal ganz grob angeschaut, was Chrome denn so alles durch die Gegend sendet bzw. welche Anfragen neben den gewollten im einzelnen erfolgen.

Fakt ist zunächst eines: Egal, ob ich im normalen oder im anonymen Modus arbeite, Chrome sendet Anfragen an Google. Sobald man mal eine Weile nichts tut, erfolgen HTTP-Requests an static.cache.l.google.com. Angesichts der folgenden Pfadangaben (bspw. Request URI: /safebrowsing/rd/goog-phish-shavar_a_20001-20160) würde ich im Augenblick zunächst mal davon ausgehen, dass Chrome hier Signaturen für die Anti-Phishing Routinen herunter lädt. Allerdings doch recht häufig und in jedem Fall (ob anonym oder nicht) inkl. Übermittlung des Google-Cookies. Anonymität also offenbar nicht gegenüber Google…

Gebe ich im normalen Modus irgendetwas in die Adresszeile ein, beginnt Chrome mit seinen Anfragen an Google, die während der Eingabe regelmäßig neu gesendet werden, da sich ja die Anfrage an sich durch die Eingabe ändert. Auf diese Weise wird logischerweise die Suggest-Funktionalität realisiert. Auch hierbei werden die Cookie-Inhalte übermittelt, zusammen mit den Eingaben in der Adresszeile. Verhindern lässt sich das, indem man die Suggest-Funktion deaktiviert (rechter Mausklick in die Adresszeile, „Suchmaschinen bearbeiten“ anwählen und im folgenden Fenster den Haken bei „Automatische Vorschläge….“ entfernen). Nachtrag: Wurde eine andere Suchmaschine als Google zum Standard definiert, landen die Eingaben in der Adresszeile übrigens dann dort und nicht mehr bei Google.

Gibt man im anonymen Modus etwas in die Adresszeile ein, erfolgt keine Abfrage bei Google. Was (wie oben beschrieben) dennoch geschieht sind die regelmäßigen Anfragen nach den Signaturen. Über die Tatsache hinaus, dass die Inhalte des Cookies immer übermittelt werden ist nicht erkennbar, welche weiteren Informationen übermittelt werden, als Codeknacker habe ich mich nun nicht betätigt. Erkennbar ist allerdings eben, dass Daten übermittelt werden, wie Robert auch aus den Erklärungen von Google bereits heraus gelesen hat. Was dann davon letztlich auf Googles Servern gespeichert wird und bleibt, wird sicherlich nie zu erfahren sein. Und ja, mir ist auch klar dass die Aussage „Andere machen das auch“ natürlich niemanden darüber hinweg trösten wird, dass Chrome Daten übermittelt.

Ich denke in den nächsten Tagen werden eine Menge mehr Informationen darüber im Netz zu finden sein, was im Detail übertragen wird. Auch deshalb mache ich mir nun nicht die Mühe, alles auseinander zu nehmen. Andere können das besser.

Update: Die ersten Sicherheitslücken wurden bereits gefunden, das war zu erwarten. Macht Euch klar: Ihr benutzt eine beta! Da müsst ihr mit allem rechnen.

Update 2: Andere haben das Verhalten von Chrome bei einer Eingabe in die Adresszeile ebenfalls beobachtet, tun allerdings reichlich überrascht. Sorry, wenn ich diese Dramatik und das große Staunen nicht nachempfinden kann. Exakt mit diesem Verhalten muss ich rechnen, wenn ich Autosuggest nutze. Woher sollen die Ergebnisse letztlich kommen? Lediglich die Tatsache, dass diese Funktion per default aktiviert ist, finde ich persönlich daneben. Hier wird Google allerdings dem Otto-Normal-User gerecht: Der will nun mal die „tollen Features“ von Anfang an aktiviert sehen. Wichtig ist allerdings durchaus, dann auf die damit einhergehenden Verluste im Bereich Privatsphäre aufmerksam zu machen. Jeder muss dann für sich entscheiden, ob er diese in Kauf nehmen will.

Update 3: Die Aussage, Chrome würde die eMail-Adresse des Nutzers nach Hause senden, konnte ich bislang nicht bestätigen. Ich habe gezielt in diverse Formular Mailadressen eingegeben und übermittelt, außer an dieser Stelle tauchen sie nicht in der Kommunikation auf. Keine Ahnung, WAS da exakt beobachtet wurde, hier bei mir ist nichts dergleichen aufgefallen. Und ich suche gezielt danach.

Update 4: Die größte Aufregung basiert offenbar derzeit auf 2 Umständen: Chrome sendet für die Autosuggest-Funktion die Eingaben aus der Adresszeile an die Google-Server und Chrome beinhaltet die UAN, aufgrund derer der Browser eindeutig identifizierbar ist. Ersteres lässt sich wie oben bereits beschrieben ganz simpel deaktivieren, danach herrscht tatsächlich Ruhe. Zum Thema UAN wäre folgendes zu sagen: Die UAN wird durch den GoogleUpdater genutzt und übertragen. In den Anfragen, die Chrome sendet, ist die UAN nicht zu finden. Zudem ist dieses Verfahren keineswegs unüblich sondern wesentlich häufiger anzutreffen, als manche vermuten. Auch Firefox verwendet eine eindeutige ID („a unique numeric value to distinguish individual Firefox installs„) und übermittelt diese bei Update-Anfragen an die Mozilla-Server. Mehr dazu zum Beispiel auch hier.

Google ist recht fleißig derzeit, was die Softwareentwicklung angeht. Und bevor es im Hype um Chrome untergeht: von Picasa 3 ist ebenfalls eine beta verfügbar. Wer Picasa nutzt, wird sich sicherlich über eine Menge neue Features freuen. Habe selbst noch nicht getestet, wollte es aber zumindest schon mal erwähnen.