NASA, Sudoku und Google Analytics
Vor einigen Tagen las ich etwas von einem XSS (Cross Site Scripting) bei der NASA, jo genau, die mit den Raketen und den Mondlandungen, mit einen speziell präparierten Link kann man sich einen Link auf deren Seite beschaffen.
Die NASA benutzt für externe Links eine “Sie verlassen jetzt die NASA Webseite”-Hinweisseite, auf dieser wird die externe Zielurl als Parameter in der URL übergeben und auf dieser Hinweisseite als richtiger Link nochmal ausgegeben. Nun lässt sich diese Hinweisseite natürlich auch von jeder anderen Webseite aus verlinken und als Parameter eine eigene URL übergeben. Und schon ist das XSS gelungen, man hat auf dieser NASA-Hinweisseite einen eigenen Link eingefügt. Natürlich nur wenn die Site über den Link besucht wird. Diese Möglichkeit ist wohl schon jahrelang bekannt und wird bei Google auch wohl schon gefiltert, eine site: Abfrage liefert keine URL mit einem entsprechenden Parameter, obwohl es ja alleine auf der NASA Webseite einige davon geben müsste.
Ich also zum ausprobieren mal die URL meiner Sudokuseite als Parameter angegeben und siehe da, ein Link zu der Sudokuseite war auf der NASA Webseite zu sehen, ich klickte ihn an um zu sehen ob er auch funktionierte. Es war ein echter Link! Fand die ganze Sache doch schon recht simpel.
In den folgenden Tagen bemerkte ich in Google Analytics immer wieder Refferer von dieser NASA-Hinweisseite, konnte mir aber nicht erklären wie das kam. Heute fiel mir dann auf, dass diese “NASA-Besucher” zahlenmäßig in etwa mit meinen eigenen Besuchen auf der Sudokusite zusammenpassen. Ich selber rufe die Sudokusite immer direkt auf.
Ein kurzer Blick in die Cookies brachte dann Licht in diese Angelegenheit. Google Analytics hatte einen Cookie (Gültigkeit: 6 Monate) abgelegt in dem die NASA-Hinweisseite als Refferer abgespeichert wurde. Dies erklärt mir jetzt auch den krassen Unterschied zwischen wiederkehrenden Besuchern (> 30%) und den Direktaufrufen (< 10%) laut Analytics für meine Sudoku-Seite. Selbst wenn sich jemand die Sudoku Seite als Lesezeichen abspeichert, wird er in Analytics ja immernoch mit dem letzten Refferer aufgeführt wenn er das Lesezeichen benutzt.
In meinen Augen wird so die Statistik ein wenig verfälscht, da nichtmehr wirklich erkennbar ist wo neuer Traffic jetzt wirklich herkommt. Sind die 5 Besucher von der Seite xyz jetzt neue Besucher, oder kommen die jeden Tag vorbei?
# Kommentar von Waldemar
am 4. April 2007 um 20:18 Uhr.
Hallo,
das ist ja recht spannend mit den Cookies und so.
Ich selber habe Google Analytics ausprobiert, aber unser Professor auf der Uni meint der Einsatz von Google Analytics wäre nicht ganz rechtens, denn:
Google wertet die Analysedaten für eigene Zwecke aus.
Jeder Besucher auf meinen Seiten müsste also darauf hingewiesen werden, und darauf hin sein Einversändnis geben.
Das macht doch keiner…
Hat jemand vielleicht Detailwissen hierzu?
# Kommentar von Thomas
am 14. Juni 2007 um 12:17 Uhr.
Du glaubst garnicht was Google so alles an Daten speichert. Und das Du der Nutzung dieser Daten durch Google zustimmst dafür haben die so einen kleinen Haken den man setzen muss um sich zu irgend einem ihrer “kostenlosen” Dienste anzumelden. Auf jeder Seite von mir befindet sich eine Inhaltsseite mit Datenschutzbestimmungen, wo der Besucher drüber aufgeklärt wird was ich mit seinen Daten so alles anstelle und welche Daten ich überhaupt sammele. Da die Daten die Google über Analytics sammelt weitestgehend anonym sind finde ich nicht wirklich etwas bedenkliches daran. Wenn jemand halt nicht will das diese wenigen Daten gesammelt werden soll er entweder aus dem Internet raus bleiben, sich nicht so drüber aufregen oder entsprechende Plugins installieren damit er anonym im Netz surfen kann.
Meine persönliche Meinung ist wer bei solchen Sachen am lautesten Schreit hat am ehesten was zu verbergen.