Autor Thema: Javaskript zu connect.facebook.com notwendig?  (Gelesen 385 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline Sandmännchen

  • Praktikant- Lennéstraße
  • ****
  • Beiträge: 3083
  • Dankeschön: 3384 mal
  • Karma: 232
  • Auszeichnungen Wertvolle Beiträge! Schon 100 "Danke" erhalten Auszeichnung für 2250 Beiträge Dieser Benutzer hat dem Sonnenstaatland besondere Dienste erwiesen! Sehr Wertvolle Beiträge! Bereits 1000 "Danke" erhalten! Auszeichnung für 1500 Beiträge
    • Auszeichnungen
Noscript zeigt bei mir an, dass SSL Javaskripte von Facebook einbindet. Im Quellcode steht das etwas eigenartig:

<script>
window.fbAsyncInit = function() {
FB.init();
};

(function(d, s, id){
var js, fjs = d.getElementsByTagName(s)[0];
if (d.getElementById(id)) {return;}
js = d.createElement(s); js.id = id;
js.src = "//connect.facebook.net/de_DE/sdk.js#xfbml=1&version=v2.3";
fjs.parentNode.insertBefore(js, fjs);
}(document, "script", "facebook-jssdk"));
</script>

Ich bin kein Experte für JavaSkript, aber mir scheint, dass hier auf obskude Weise ein Script-Codeblock eingefügt wird, der Code von Facebook in die Seite übernimmt.

Generell ist das Einbinden von Skripten fremder Seite ein Sicherheitsfiasko, da man kaum verhindern kann, dass die fremde Seite die Darstellung der eigenen Seiten völlig verändert und darüber Phishing u.a. möglich ist. Außerdem können darüber Nutzungsdaten gewonnen werden. Wenn man zeitgleich bei Facebook eingeloggt ist, hat Facebook damit die Information darüber, welcher Facebook-Account welchem SSL-Account entspricht.

Bei Facebook geht mein Vertrauen dann sowieso nochmal gegen Null.

Bin ich hier auf dem Holzweg? Oder ist das aus irgendeinem Grund zwingend notwendig?
soɥdʎsıs sǝp soɥʇʎɯ ɹǝp 'snɯɐɔ ʇɹǝqlɐ –
˙uǝllǝʇsɹoʌ uǝɥɔsuǝɯ uǝɥɔılʞɔülƃ uǝuıǝ slɐ soɥdʎsıs sun uǝssüɯ ɹıʍ ˙uǝllüɟnzsnɐ zɹǝɥuǝɥɔsuǝɯ uıǝ ƃɐɯɹǝʌ lǝɟdıƃ uǝƃǝƃ ɟdɯɐʞ ɹǝp
 

Offline SSL-Admin

  • Haupt-Administrator
  • Rechtskonsulent
  • *****
  • Beiträge: 435
  • Dankeschön: 924 mal
  • Karma: 175
  • Auszeichnungen Dieser Benutzer hat dem Sonnenstaatland besondere Dienste erwiesen! Geheimnisträger, Sir! Wertvolle Beiträge! Schon 100 "Danke" erhalten Beliebt! 50 positives Karma erhalten Sonnenstaatland-Unterstützer
    • Sonnenstaatland
    • Auszeichnungen
Geschätztes Sandmännchen,

das Javascript wird für die Einbettung von Facebookbeiträgen benötigt. Auch wenn wir dir recht geben und die Einbettung von fremden Skripten ein Sicherheitsrisiko darstellen kann, halten wir die Gefahr die vom Facebook-JS-SDK ausgeht für überschaubar. Die von uns eingesetzte Trackingsoftware Matomo ehemals Piwik lädt die Skripte übrigens auf eine ähnliche Weise. Generell geht die fancy Web x.0 Entwicklung generell dazu über Frameworks nur noch aus CDNs zu laden.
Dein Argument bzgl. der Daten die Facebook damit gewinnen könnte ist berechtigt. Ist man bei Facebook angemeldet wird Facebook eine Verbindung zu allen eingebetteten Beiträgen herstellen können.
Ob Facebook tatsächlich die von der Forensoftware SMF gesetzten Cookies auswertet (welche in keiner Installation denselben Namen haben) entzieht sich unserer Kenntnis.

Bei Zweifeln bleibt einem die Option über Addons wie NoScript oder Adblock die Skripte der Domain *.facebook.* zu blockieren. Wir machen doch nur Angebote.

In mütterlicher Liebe
SSL-Admin
Das Sonnenstaatland liebt alle seine Bürger, auch dich liebe(r) Gast!