Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Plugin“

One of your pages has a broken link

Samstag, 3. Dezember 2016

Wie jetzt, einen nur? Da sammeln sich im Laufe von gut neun Jahren aber deutlich mehr an.

Hi Elias,

Immerhin, der Name stimmt mal. Aber ich kenne dich trotzdem nicht. Und du verstehst vermutlich nicht einmal…

I just wanted to let you know about a link that seems to be broken on this page http://spam.tamagothi.de/tag/referer/.

Here’s the link https://wordpress.org/plugins/stats/ „Statistiken von WordPress.com über das entsprechende Plugin nutzt“, but the page doesn’t seem to be active any more.

…die Sprache des Blogs, das du schnell über eine erweiterte Google-Suche gefunden hast, um mich mit deiner Spam dazu zu bewegen…

We‘ve put together a guide to WordPress Plugin Alternatives; you can see it here http://wiht.link/WPstatsalternative. I thought it may make a good replacement.

…dass ich schnell ein bisschen Code von dir auf meinem Server installiere. Weil… ähm… ja, weil du glaubst, dass der ein guter Ersatz für Code wäre, den ich angeblich benutze, obwohl ich den gar nicht benutze. Natürlich gibt es das von dir angebotene WordPress-Plugin nicht über die Plugin-Datenbank von WordPress, obwohl es relativ einfach ist, dort sein Plugin zu veröffentlichen und man zusätzlich den Vorteil hat, dass alle Anwender über die Update-Funktion halbautomatisch an die jeweils aktuellste Version kommen. Stattdessen wird es mir in einer Spam zur Installation auf dem Server angeboten.

Da müsste ich aber ganz schön doof sein, wenn ich mir das installiere.

I hope this helps.
Amanda

Sicher, wenn ich Code von dir in einem Blog von mir einfüge, hilft das jemanden. Aber nicht mir. Mir wird es nur Ärger machen.

Don’t want emails from us anymore? Reply to this email with the word „UNSUBSCRIBE“ in the subject line.

Ich habe niemals eine Spam von „euch“ gewollt. Ihr habt mir trotzdem eine ins Postfach gemacht. Ihr seid halt Spammer.

WhoIsHostingThis, BM Box 3667, Old Gloucester Street London, WC1N 3XX, United Kingdom

„WerHostetDas“ ist übrigens eine gnadenlos tolle „Firmierung“.

Ich kann nur davor warnen, irgendwelche Plugins für CMS wie WordPress, Joomla etc. zu benutzen, weil sie in einer Spam empfohlen werden. Das ist eine Empfehlung von Spammern. Dass in solchen Plugins böse Hintertüren und Spamfunktionen verbaut sind, halte ich für eine sichere Wette.

SEO-Spamsau: SEORankingLinks (punkt) com

Dienstag, 15. März 2016

Die grunzende SEO-Kommentarspamsau des Tages: www.SEORankingLinks.com

Ein mitteilungsbedürftiger Mitmensch, der von seiner Mutter mit dem wenig vorteilhaften Namen „seo“ gestraft wurde, hinterließ den folgenden „Kommentar“ in einer von mir administrierten Website gleich drei Mal zu drei verschiedenen Artikeln, und zwar mit den wechselnden, von Asien bis Amerika gestreuten IP-Adressen eines Botnetzes von mit Schadsoftware übernommenen Computern anderer Menschen:

Hello Web Admin, I noticed that your On-Page SEO is is missing a few factors, for one you do not use all three H tags in your post, also I notice that you are not using bold or italics properly in your SEO optimization. On-Page SEO means more now than ever since the new Google update: Panda. No longer are backlinks and simply pinging or sending out a RSS feed the key to getting Google PageRank or Alexa Rankings, You now NEED On-Page SEO. So what is good On-Page SEO?First your keyword must appear in the title.Then it must appear in the URL.You have to optimize your keyword and make sure that it has a nice keyword density of 3-5% in your article with relevant LSI (Latent Semantic Indexing). Then you should spread all H1,H2,H3 tags in your article.Your Keyword should appear in your first paragraph and in the last sentence of the page. You should have relevant usage of Bold and italics of your keyword.There should be one internal link to a page on your blog and you should have one image with an alt tag that has your keyword….wait there’s even more Now what if i told you there was a simple WordPress plugin that does all the On-Page SEO, and automatically for you? That’s right AUTOMATICALLY, just watch this 4minute video for more information at. Seo Plugin

Der Link ging zu einer Website unter der im Titel genannten Domain.

Ergänzend zur so gern und spammig gegebenen „Analyse“ dieses großartigen Kommentarspam-SEOs möchte ich folgende Anmerkungen machen:

  1. Es gibt nicht nur drei H-Tags, sondern derer sechs. Und zwar seit 1994 und bis heute.
  2. Physikalische Textauszeichnung ist immer schlecht. Man verwendet semantische Auszeichnung, die nicht Layout, sondern Bedeutung transportiert und deshalb auch von Maschinen besser geparst werden kann. Nebeneffekt: Vorleseprogramme für blinde und schwerbehinderte Menschen und vergleichbare Zugangshilfsmittel profitieren davon ebenfalls. Die weitergehenden semantischen Auszeichnungsmöglichkeiten in HTML5 sind unter jedem nur denkbaren Aspekt unbedingt sinnvoll. Dem werten Kommentarspammer scheinen sie jedoch noch völlig unbekannt zu sein.
  3. Ich mache keine „SEO-Optimierungen“. Ich schreibe für menschliche Leser, nicht für Maschinen und Algorithmen. Ein großer Vorteil dieser Vorgehensweise: Sie ist auch dann noch sinnvoll, wenn die Suchmaschinenbetreiber in Reaktion auf SEO – was nichts weiter als eine auf Suchmaschinen gerichtete Form der Spam ist – ihre Algorithmen verändern. Das tun sie übrigens recht regelmäßig, denn die Betreiber von Suchmaschinen leben davon, dass sie ihren Nutzern gute Suchergebnisse liefern und nicht davon, dass sie die fragwürdigen Angebote von halbseidenen bis kriminellen Gestalten auf einem Silbertablett in den Ergebnislisten präsentieren. Spam – auch die Spam, die sich zur Verschleierung ihres spammigen Charakters selbst als „SEO“ bezeichnet – macht das Internet für alle Menschen und Unternehmen nur schlechter.
  4. „SEO“ ist die Abk. für „search engine optimization“, und wer „SEO optimization“ schreibt, würde vermutlich auch „LED Display Anzeige“ oder „Allgemeine AGB Bedingungen“ schreiben und damit seine völlige Ahnungslosigkeit von dem Thema, über das er schreibt, lächerlich und öffentlich dokumentieren. Eine so freimütig selbst dokumentierte Ahnungslosigkeit ist keine Empfehlung für irgendein damit verbundenes Angebot.
  5. Ein Ping ist unter SEO-Gesichtspunkten schon immer sinnlos gewesen, hilft aber Suchmaschinen, neue Inhalte schnell zu indizieren.
  6. Auf Suchmaschinen gerichtete Spam (von solchen Spezialexperten „SEO“ genannt) ist für Leser sinnlos. Sie kann sogar Leser vergraulen, wenn sie zu künstlicher Sprache und sinnlosen Elementen führt, die das Aufnehmen der Inhalte oder Angebote erschweren. Insbesondere wird sich eine Schlüsselwort-Dichte von drei bis fünf Prozent wie ein Reklametext anfühlen, den sich nur Menschen minderer Intelligenzbegabung freiwillig antun.
  7. Die Verwendung einer dreistufigen Überschriftengliederung in einen Text auch nur durchschnittlicher Länge ist Bullshit und erschwert das Lesen.
  8. Interne Links, die nicht zu weiterführenden Informationen führen, sind Bullshit und erschweren das Lesen. Das gilt auch, wenn journalistische Produkte wie Focus Online sich dieser für Leser sinnlosen Technik bedienen, weil sie nicht für Leser schreiben.
  9. Spam ist immer ein ganz schlechtes Zeichen. Die Idee, dass man den Code eines Spammers auf dem Webserver als WordPress-Plugin in eine eigene Website einfügt, ist angesichts der Existenz von Erpressungstrojanern für Webserver eine ganz schlechte Idee.
  10. Der, die oder das werte Herrlein oder Frau „seo“ setzt zum Bekanntmachen seines eigenen Angebotes unter www (punkt) SEORankingLinks (punkt) com nicht etwa auf seine eigenen SEO-Fähigkeiten oder gar auf sein eigenes, tolles WordPress-Plugin, sondern auf asoziale, illegale und angesichts des verwendeten Botnetzes ganz sicher offen kriminelle Kommentarspam, die mithilfe von Computern gemacht wird, die mit Trojanern kriminell übernommen wurden. Der Selbsteinschätzung des Spammers, dass weder seine eigenen und von ihm selbst angepriesenen Fähigkeiten, Fertigkeiten und Spezialexpertenkenntnisse noch sein großartiges SEO-Plugin dazu hinreichend sind, um für sein Angebot im Web die erforderliche Aufmerksamkeit zu erreichen, mag ich beim besten Willen nicht widersprechen.
  11. Dumme und falsche Texte werden nicht besser, wenn man sie mit aus der Reklame von SEOs entnommenen, bedeutungsleeren Bullshit-Wörtern aller Art anreichert. Schon gar nicht, wenn sie mit einer Spam kommen.

Ich wünsche dem werten Mitmenschen namens „seo“ alles Gute und viel Erfolg auf seinem weiteren Lebensweg. Den für andere Leser möglicherweise gefährlichen Kommentarspam-Sondermüll habe ich zu meiner eigenen Entlastung heftig lachend in den virtuellen Orkus verschoben.

„Social Media Widget“ für WordPress

Donnerstag, 11. April 2013

Plugin-Spam, die WordPress um eine im Regelfall unerwünschte Zusatzfunktion „anreichert“, ist das recht beliebte „Social Media Widget“ für WordPress.

Mitarbeiter der Sicherheitsfirma Sucuri haben das WordPress Social-Media-Widget Version 4.0 als Quelle von Spam ausgemacht. Es soll Werbe-Spam der Sorte „Pay Day Loan“ auf Webseiten einschleusen […] Das Widget führt ein PHP-Skript von einer Drittanbieter-Seite aus – der Code zum Einschleusen von Spam wurde sogar etwas optimiert.

Die ganze Geschichte gibts bei Heise Online¹

Es gibt eben keinen Kanal, über den nicht gespammt wird – die „bequemen“ Plugin-Updates und -Installationen moderner CMS- und Blogsysteme können von Schurken leicht dazu verwendet werden, aus einer persönlichen oder gar gewerblichen Website eine kriminelle Spamschleuder des üblen SEO-Packs zu machen. Das entsprechende Plugin für Joomla ist übrigens ebenfalls betroffen.

Auch, wenn mittlerweile eine bereinigte Version heruntergeladen werden kann: Ich würde einem Software-Anbieter, der sich mit Spam versucht hat, nicht das Privileg einräumen, noch einmal auf einem von mir (übrigens auch juristisch) verantworteten Serverrechner Code auszuführen. Eine Enschuldigung wie diese [Die schnelle Übelsetzung ist von mir]…

Es tut uns wirklich leid, dass wir diese Einfügung von Spam zugelassen haben. Wir haben mit unserem Plugin-Code den falschen Leuten vertraut und übernehmen die volle Verantwortung. Wir sind im Grunde genommen ein Marketing-Unternehmen, wir sind in Wirklichkeit keine Entwickler. Deshalb mussten wir für größere Updates und Verbesserungen Hilfe außerhalb unseres Hauses suchen. Einige dieser Leute betrogen uns und missbrauchten unser Vertrauen und unsere Unerfahrenheit. Wir hatten keine Vorstellung davon, dass der schädliche Code tatsächlich schädlicher Code war oder so etwas tun könnte. Wir gingen einfach nach dem, was uns von den Leuten erzählt wurde, denen wir mit dem Plugin-Code vertrauten. Wir werden diesen Fehler nicht noch einmal machen.

…wirft nicht nur die Frage auf, wie in diesem Fall über solche Sprechblasen hinausgehend das Übernehmen von Verantwortung aussehen soll; einer Verantwortung, die so richtig „voll“ übernommen wird, damit man die kalte Pflichtübung dieser Phrase auch deutlich spüre. Was wird die Entschädigung für mehrere hunderttausend Blogbetreiber sein, die infolge der SEO-Spam in ihrem Blog von Google abgestraft wurden und die in den Browsern nur noch mit einer Warnmeldung wegen schädlichen Codes angezeigt werden? Ja, Google straft Spamschleudern ab. Und wer jemals eine Leiche verstecken muss, der sollte einfach die zweite Seite eines Google-Suchergebnisses nehmen, das ist ein verdammt guter Ort, an den niemals jemand nachschauen wird. :mrgreen:

Nein, diese Entschuldigung zusammen mit dem Rest des Textes belegt auch, dass es nicht die geringste Qualitätssicherung gegeben hat – Marketing-Leute (das sind gewerbsmäßige, also für diese Sauerei „Leistung“ bezahlte Lügner) wollten sich einen werbewirksamen Namen als Plugin-Entwickler machen und hatten leider von Tuten und Blasen keine Ahnung, so dass man ihnen jeden Code andrehen konnte. Warum sollten die beim nächsten Mal besser sein? Weil sie es versprechen? Mit ihrem tollen Namen „Blink Web Effects“? Nachdem sie im Support-Forum die „volle“ Verantwortung übernommen haben? Wer dabei Vertrauen schöpft, der glaubt auch an den Weihnachtsmann.

Ich bin mir sicher, dass es Alternativen zu den Plugins dieser Spamklitsche gibt, die in der Entschuldigung noch einmal deutlich gemacht hat, dass man „ihren“ Code auf keinem Server ausführen sollte, an dem einem etwas liegt.

¹Ein warmes Danke in die Karl-Wiechert-Allee, dass ich auch unter den Bedingungen des demnächst gültigen Leistungsschutzrechts bei meinem Link auf Heise ein angemessenes Zitat verwenden darf…

Warum Ads in Websites schlecht sind

Samstag, 1. Oktober 2011

Zu diesem Thema nur ein kurzer Thread, den ich kurzerhand aus dem Forum von Heise Online entnommen habe.

Schon seit Tagen (oder seit dem Update auf 7) beobachte ich das, ich klicke auf einen Link und er läd merklich zögerlich. Ich habe mich jetzt mal parallel mit Chrome angemeldet. Beide Fenster liegen neben einander. Klick auf Link im Firefox, Seite läd... Danach klick auf Link in Chrome, Seite ist zeitgleich mit Firefox geöffnet. Bei anderen Seiten fällt der unterschied nicht ganz so extrem auf. Oder bilde ich mir das jetzt nur ein?

Ich habe auch seit einigen Wochen ernsthafte Performance-Probleme bei den Heise-Seiten festgestellt. Da der Browser (Seamonkey 2.3 - basiert auf FF6) jedoch immer bei der Meldung 'warten auf heise.de' in der Statuszeile eine Gedenkpause einlegt, vermute ich, dass das an den Heise-Servern liegt, zumal das Problem auch nicht immer auftritt. Vielleicht sind die Server einem Anstieg des Besucheransturms nicht mehr gewachsen, oder aber es wurde im RZ etwas gespart...

mmmmhhh bei mir scheint es so, als warte er auf antworten von doubleclick.net. Und erst wenn davon der Timeout abgelaufen ist, dann kommt der rest der Seite. Vielleicht sollte ich AdblockPlus wieder anschalten.

Verdammt! Im Chrome ist Adblock+ auch bei Heise aktiv. Im Firefox hatte ich es aus Solidarität für Heise deaktiviert. Mal gucken, ob es mit Adblock wieder besser geht. Sorry Heise

Alle Investition in Technik wird (aus Nutzersicht) sinnlos, wenn die Website durch die eingebettete Reklame und die dazukommenden, immer aufgeblähteren Trackingskripten in JavaScript zähflüssig und langsam wird. Wer sich zu helfen weiß, der weiß, wo es Adblocker für seinen Browser gibt. Der Weg zu einer schnelleren, weniger nervigen und für die Privatsphäre schonenderen Weberfahrung ist nur einen Klick entfernt. (Opera-Anwender: hier lang, Chrome- und Chromium-Anwender hier lang und Leute, die den IE bevorzugen, hier lang)

Solidarität? Wer mag, kann immer noch Ausnahmen definieren und sich über schleichende Websites und versteckte Tracking-Funktionen „freuen“. Es sind die Werber, die sich mit immer aufgeblähteren „Lösungen“ für die Verpestung des Webs selbst ins Knie schließen, statt einfach einen schlichten Link oder ein einfaches Banner einzublenden. Vor dem Aussterben ist übrigens das Ansterben gesetzt… :mrgreen:

wordpress-seoplugin.info

Freitag, 2. September 2011

Autor: Tennie Kuhnen
Homepage: wordpress (strich) seoplugin (punkt) info

Hello Web Admin, I noticed that your On-Page SEO is not that great, for one you do not use all three H tags in your post, also I notice that you are not using bold or italics properly in your SEO optimization. On-Page SEO means more now than ever since the new Google update: Panda. No longer are backlinks and simply pinging or sending out a RSS feed the key to getting Google PageRank or Alexa Rankings, You now NEED On-Page SEO. So what is good On-Page SEO?First your keyword must appear in the title.Then it must appear in the URL.You have to optimize your keyword and make sure that it has a nice keyword density of 3-5% in your article with relevant LSI (Latent Semantic Indexing). Then you should spread all H1,H2,H3 tags in your article.Your Keyword should appear in your first paragraph and in the last sentence of the page. You should have relevant usage of Bold and italics of your keyword.There should be one internal link to a page on your blog and you should have one image with an alt tag that has your keyword….wait there’s even more Now what if i told you there was a simple WordPress plugin that does all the On-Page SEO, and automatically for you? That’s right AUTOMATICALLY, just watch this 4minute video for more information at. WordPress Seo Plugin

Diese freundliche Spamkommentator macht große Versprechungen: Man braucht nichts zu tun und bekommt durch ein einziges installiertes WordPress-Plugin ganz große Liebe von Google. Die Anrede „Hello Web Admin“ (nicht einmal den Namen gefunden, trotz der angeblich so dicken SEO-Analyse) wirkt zwar nicht besonders überzeugend, weil sie in ganz willkürlich ausgewählten Artikeln ohne technischen Hintergrund verwendet wird, aber hey, dafür gibt es umso mehr Wörter.

Sicherlich, technisch ist einiges an den Darlegungen falsch, es gibt zum Beispiel sechs HTML-Tags für die Auszeichung einer Überschrift (und das kann in einigen Fällen sinnvoll sein). Auch ist es eher ein Aberglaube, dass das Fett- oder Kursivsetzen von Keywords einen großen Einfluss auf die Bewertung durch Suchmaschinen habe. (Die Position von Wörtern im Satz und im Absatz macht hingegen mehr aus, als mancher glaubt.) Auf die anderen, überwiegend hirnrissigen Darlegungen mag ich gar nicht weiter eingeben. Aber dieser ganze Wortschwall ist eben Spam, und diese Spam richtet sich nicht an Wissende und Fähige, sondern an Dumme und Unfähige, die allen Ernstes glauben, dass man mit der schlichten Installation eines Plugins Wunder in der Bewertung durch Suchmaschinen bewirken könnte, ohne dass weitere Maßnahmen erforderlich seien… zum Beispiel das bewusste Verfassen gut strukturierten Textes. Letzteres kommt übrigens auch normalen Lesern zugute.

Was von dem Angebot unter wordpress (strich) seoplugin (punkt) info zu halten ist, dürfte auf diesem Hintergrund klar sein: Es ist Bauernfängerei. Und womöglich ist es eine gefährliche Bauernfängerei, denn es wäre nicht das erste Mal, dass Kriminelle versuchen würden, Leute zur Installation von WordPress-Plugins mit integrierter Schadsoftware zu bringen – etwa, um ein laufendes Blog in eine reine Spamschleuder umzubauen.

Wenn ein WordPress-Plugin mit massiver Spam in Blogkommentaren beworben wird, sollte das jedenfalls alle Alarmglocken klingeln lassen.

SEOPlugins.org

Mittwoch, 17. August 2011

Hey, wer kommentiert denn da einen deutschen Text auf Englisch? Mit einer IP-Adresse der Nobis Technology Group, der ich übrigens gerade eine kleine, zwar eher technische, aber doch sehr freundlich formulierte Mail an die Abuse-Adresse geschickt habe? Na, hast du etwa extra ein kleines virtuelles Serverchen zum Spammen angemietet, Spammer? Oder erledigen deine Drecks-Plugins, die du Leuten für ihr WordPress andrehen willst, nebenbei noch ein paar schmuddelige Spam-Jobs für dich? Ist es vielleicht das, was du unter SEO verstehst? Das würde zu deinem Charakter passen, Spammer.

Name: Rich
Homepage: seoplugins.org
Mailadresse: Rich (at) seoplugins (punkt) org

Webmaster, I am the admin at SEOPlugins.org. We profile SEO Plugins for WordPress blogs for on-site and off-site SEO. I’d like to invite you to check out our recent profile for a pretty amazing plugin which can double or triple traffic for a Worpdress blog. You can delete this comment, I didn’t want to comment on your blog, just wanted to drop you a personal message. Thanks, Rich

Ja, das merkt man, dass du das Blog nicht kommentieren wolltest. Man merkt sogar, dass du nicht einmal ein Mensch bist. Und die restlichen 74.500 von dir „kommentierten“ Blogs, die Google zurzeit kennt, wolltest du wohl auch nicht kommentieren. Da du weder einen Weg an AntispamBee noch an Akismet vorbei gefunden hast, sind diese rund 75.000 Blogs also nur jene, die gar keinen Spamschutz haben und deren Betreiber auch nicht auf die Idee kommen, offensichtliche Spamkommentare von Hand zu löschen. Das ist ein vernichtend kleiner Teil aller WordPress-Installationen. Es heißt also, dass du viele Millionen Male irgendwelche wahllos ausgewählten Blogs mit mechanischen Kommentaren „nicht kommentieren“ wolltest. Großes Kino, du Idiot!

Wenn du so ein tolles Hokus-Pokus-SEO-Zauber-Plugin hast, das selbst bei meinen eher uninteressanten Blogs mal eben den Traffic verdoppelt oder verdreifacht, dann frage ich mich, warum du überhaupt noch spammen musst, um Aufmerksamkeit dafür zu erlangen. Warum verlässt du dich nicht auf deinen eigenen, die Google-Liebe geradezu erzwingenden Code, und Abrakadabra schwutsch schwutsch schwutsch kommen die Besucher? Könnte das vielleicht daran liegen, dass deine Drecksplugins gar nicht so gut sind?

Ach hey, du bist ja ein Spammer, da stellt sich die Frage gar nicht. In deinem Auftritt wächst zusammen, was von seiner Natur her schon immer zusammengehörte: Spam und SEO. Was du anbietest, ist krimineller, betrügerischer Dreck, der ohne Spam keinen besonderen Schaden anrichten könnte. Für das Google-Ranking ist derartiger Hokuspokus übrigens auch irrelevant. Klick und weg, geh sterben!

Dringende Warnung vor Google+Facebook

Sonntag, 10. Juli 2011

Aktueller Nachtrag, 11. Juli, 3.38 Uhr: Inzwischen haben die Betreiber der Domain crossrider (punkt) com auf Reddit Stellung genommen, was ich gern der Vollständigkeit halber hier verlinken möchte. Der Ton ist höflich und sucht seriös rüberzukommen, die aufgedeckten Vorgehensweisen in der Programmierung der Erweiterung werden entweder wortreich dementiert oder ebenso wortreich als eine normale Praxis wegerklärt. Was mir beim Überfliegen (ich tue mich schwer damit, aufgedunsenen Bullshit zu lesen) allerdings sofort aufgefallen ist: Es wird nicht einmal auf die Tatsache eingegangen, dass der Code der Browsererweiterung versucht, über Webmailer auf das persönliche E-Mail-Konto seines Anwenders zuzugreifen und dieses hinter dem Rücken des Anwenders aktiv zu benutzen. Dass auf einen Vorwurf derartiger Schwere nicht eingegangen wird, während gleichzeitig Beschwichtigung durch Wortreichtum und autoritär-offizielle Sprache versucht wird, lässt bei mir alle Alarmglocken läuten. Wer des Englischen mächtig ist, mache sich anhand des Links selbst ein Bild davon.

Ursprünglicher Text

Liebe Facebook- und Google-Plus-Anwender,

bitte glaubt nicht alles, was auf einer Website steht! Bitte seid auch dann skeptisch, wenn das, was dort steht, so klingt wie das, was ihr euch gerade besonders stark wünscht. Nein, seid dann besonders skeptisch, denn mit solchen Ködern angeln die Internet-Kriminellen ihre Opfer.

Es ist im Moment zum Beispiel nicht möglich, einen Zusatzdienst für Google Plus anzubieten. Google hat nämlich für sein neuestes Experiment in Sachen Beziehungsvermarktung zurzeit noch keine API vorgesehen. Es gibt einfach keine Schnittstelle, über die derartige Zusatzdienste mit Google Plus kommunizieren können; es gibt also nichts, was ihr von Facebook oder Twitter gewohnt seid.

Warum Google das so macht? Das müsst ihr Google fragen, die haben dort bestimmt einen guten Grund dafür. Vielleicht möchte Google in der Beta-Phase die Nutzer erstmal in der Website halten, um aufgrund ihres Verhaltens den letzten Feinschliff an der Benutzerschnittstelle anzulegen (und die Nutzer an den neuen Google-Dienst zu gewöhnen, statt sie einfach mechanische Statusmeldungen erzeugen zu lassen). Vielleicht ist die API auch noch nicht stabil. Vergesst nicht, dass es sich um eine Beta-Phase handelt! Google Plus ist noch nicht fertig, sondern wird gerade mit „richtigen Anwendern“ getestet, damit Fehler verschwinden. Und dabei kommt es auch zu eher peinlichen Aussetzern wie versehentlichem „Spamversand“. Vielleicht wird es auch niemals eine API geben. Alles ist spekulativ, und die wirklichen Antworten kennen nur die Leute bei Google, die einen strategischen Plan ersonnen haben und verfolgen, aber die Einzelheiten nicht an die große Glocke hängen. Ist eben so. Wer das nicht mag, muss Google Plus nicht nutzen oder kann warten, bis die Beta-Phase vorbei ist und ein stabiles Produkt Gestalt angenommen hat, das ihm eine vernünftige Entscheidung über die Nutzung ermöglicht. In der Zwischenzeit verpasst man nicht viel.

Den Verzicht auf Google Plus (und natürlich auch auf die stinkende Spamsau Facebook) würde ich jedem Menschen empfehlen, der seine menschlichen Beziehungen nicht zur Marktware des Web-Zwo-Null machen will. Aber ich weiß natürlich, dass solche Gedanken im Taumel der geilen, zum Selbstzweck gewordenen Technik leider keine große Rolle spielen. Deshalb hier meine hoffentlich deutliche Warnung an alle Nutzer von Google Plus: Seid extrem skeptisch, wenn jemand zurzeit Browser-Plugins, Zusatzdienste oder sonstwas für Google Plus anbietet, denn ein solches Angebot wird von Google technisch nicht ermöglicht! Lasst am besten die Finger davon! Es wird sich ausnahmslos um Betrugsversuche durch fragwürdige Zeitgenossen handeln. Ich wiederhole: ausnahmslos.

Wieso ich das schreibe?

Zurzeit wird, wie mir einige Male berichtet wurde, über Twitter und Facebook ein Link auf ein besonders fragwürdiges Angebot verbreitet. Ich habe auch mehrere Mails mit Hinweisen auf dieses Angebot bekommen, die scheinbar von mir persönlich bekannten Menschen kamen. Es handelt sich um eine Browser-Erweiterung, die angeblich Google Plus und Facebook zusammenführen soll. Die in diesen Hinweisen angegebene Seite möchte ich aus nahe liegenden Gründen nicht verlinken, ihre Inhalte habe ich für die Neugierigen mit Hilfe von WebCite archiviert. Diese Seite sieht in ihrer ganzen „Herrlichkeit“ so aus:

Screenshot der betrügerischen Webseite Google+Facebook

Bestandteil dieser betrügerischen Seite sind die inzwischen leider überall üblichen „social buttons“, die mir verraten, dass diese Seite zurzeit 1.657mal getweetet, 2.536mal geliket und ca 5.200mal gepluseinst wurde. Das ist eine beachtliche Reichweite, und sie wird leider von Minute zu Minute größer. Sehr viele Menschen sind also mit dem Link auf diese Seite konfrontiert, auf der sie unter anderem einen Preview-Screenshot sehen, der wohl viel zu selten die Frage aufwerfen wird, warum nicht einfach die entsprechende Timeline bei Google Plus mitverlinkt wurde, um das Ganze überzeugender zu machen (na warum wohl: Weil es nur im Browser mit der beworbenen Erweiterung so aussieht):

Screenshot eines angeblichen Google-Plus-Profiles mit eingebetteter Facebook-Timeline

Dort, wo dermaßen stark und lecker duftende Köder eingesetzt werden, kann man eine Browser-Erweiterung herunterladen, die einem erlaubt, den eigenen Facebook-Stream [Frage an die aktiven Facebooker: Heißt das auch auf Deutsch so?] innerhalb von Google Plus zu sehen. Einfach nur zu Facebook connecten, und alle Updates erscheinen in einem Tab in Google Plus. Und bitte bitte weitererzählen, dafür sind die Buttons da: Tweet, Like, Pluseins…

Nun, die Seite dieses Anbieters in der Domain crossrider (punkt) com mochte ich nicht verlinken, aber dafür verlinke ich gern eine andere Seite auf reddit.com. Ich verlinke diese Seite nicht nur, sondern ich übersetze sogar den dort veröffentlichten Text zu größeren Teilen in die deutsche Sprache, weil ich hoffe, dass das viele Menschen von einer Installation dieser Schadsoftware abhält.

Ja, Schadsoftware. Es handelt sich um einen Trojaner, der beachtliche Missbrauchsmöglichkeiten eröffnet und nicht einmal davor zurückschreckt, auf persönliche Mails zuzugreifen und Mails an persönliche Kontakte zu versenden. Und im Gegensatz zur Anpreisung auf der erwähnten betrügerischen Webseite ist es auch nicht leicht möglich, diesen Code wieder zu deinstallieren – es ist sogar vorsätzlich unmöglich gemacht worden.

Anfang der Übersetzung [ich verwende im Folgenden durchgehend das informelle „Du“, um den Stil des Original-Textes besser wiederzugeben]:

Google+Facebook ermöglicht dir, deinen Facebook-Stream in Google+ zu betrachten
Beitrag von RogueDarkJedi, 16 Stunden alt

Ich habe mir den Code angeschaut und beschlossen, ein paar Anmerkungen zu machen. Wenn du lesen möchtest, was ich gefunden habe (das ist vielleicht alles ein bisschen technisch), lies es. Aber vor allem möchte ich eines klar machen: INSTALLIER DIR DIESES ADDON NICHT. Dieses Addon verhält sich wie eine Schadsoftware und der Dienst ist eine künstlich gelegte Sicherheitslücke, die darauf wartet, dass sie ausgebeutet wird. […]

Die folgenden Anmerkungen beziehen sich auf die Firefox-Version dieser Erweiterung (denn diese Version konnte ich bekommen, als ich mir das Skript auf der Installationsseite anschaute), aber ich bin mir sicher, dass die Chrome-Version ähnliche Machenschaften verfolgt.

Meine Anmerkungen habe ich in vier Kategorien unterteilt (und ich hoffe, dass so alles leichter zu lesen und zu verstehen ist):

PRIVATHEIT – (für Dinge, welche die Erweiterung und ihren Umgang mit deinen Daten betreffen)
SICHERHEIT – (für Sicherheitsrisiken)
SCHADEN – (für unerwünschte Änderungen, die diese Erweiterung hinter deinem Rücken macht oder für Schadsoftware-Funktionen, die ausgeführt werden)
DIVERSES – (für verschiedene andere Anmerkungen, die nicht in die vorherigen Kategorien passen.)

SICHERHEIT – Die Erweiterung hängt von externem JavaScript ab, das von einem anderen Server nachgeladen wird. (Das heißt: Sie muss eine JavaScript-Datei herunterladen, bevor sie auch nur arbeiten kann. Und das geschieht bei jedem neuen Start.) Mozilla akzeptiert eine derartige Praxis nicht, weil sie Man-in-the-middle-Attacken ermöglicht und hohe Anforderungen an die Serversicherheit stellt (wenn jemand die Macht über den Server erlangen sollte, sind alle Installationen einem hohen Risiko ausgesetzt). Das ist der Grund, warum Conduit Toolsbars nicht in Mozillas offizieller Addon-Datenbank aufgenommen wurden.

Hier ist die Datei mit welcher die Erweiterung die [externe] JavaScript-Datei anfordert – diese sieht zurzeit so aus. [Meine Anmerkung: Beide Links gehen auf die Domain des Addon-Anbieters und können sich im Laufe der Zeit inhaltlich ändern oder sogar ungültig werden. Ich bin allerdings nicht gewillt, an dieser Stelle eine gefährliche Software zu hosten, deshalb lasse ich das so.]

SCHADEN – Die API referenziert mehrfach auf einen [kostenpflichtigen] Premium-Dienst. Was das bedeutet? Wenn der Autor der Erweiterung irgendwann einmal nicht in der Lage sein sollte, das Geld für diesen Dienst zu bezahlen, dann kann CrossRider alle Anwender dieser Erweiterung dazu nötigen, zusätzlichen Schrott zu installieren. Das ist eine erzwungene Änderung, die dir keine Wahlmöglichkeit lässt.

PRIVATHEIT / SICHERHEIT / SCHADEN – Du kannst es nicht mitbekommen, wenn sich diese JavaScript-Datei ändert. Sie wird geladen, wenn der Browser gestartet wird und läuft mit den Rechten der Browser-Anwendung (was als gefährlich betrachtet werden muss). Der Autor der Erweiterung kann zu jedem ihm passenden Zeitpunkt „Leck mich am Arsch“ zu dir sagen und dir ein neues Skript unterjubeln, dass deine persönlichen Daten sammelt und dich ausspäht. Aus deiner Sicht ist das völlig in Ordnung, denn diese Änderung geschieht im Hintergrund, ohne dass du etwas davon bemerken kannst.

DIVERSESDiese Seite wird eingefügt, um Zugriff auf deine Facebook-Daten zu bekommen. Du musst das akzeptieren, bevor die Erweiterung irgendetwas mit Facebook machen kann.

PRIVATHEIT / SCHADEN – Die Erweiterung versucht, ein OpenSearch-Plugin zu installieren. Dabei wird die Suchseite verändert, zu der Firefox geht, wenn du eine Suche in der Adressleiste eingibst. Wenn du eine Suche wie „Was ist dieses Reddit?“ eingibst, leitet dich Firefox nicht mehr zu Google weiter, sondern zu einer Seite, die unter der Kontrolle von CrossRider steht. Auf diese Weise scheinen die Entwickler an Einkünfte zu kommen. Aber nicht nur das, diese Veränderung wird bei einer Deinstallation der Erweiterung nicht zurückgesetzt. Auch ist deren Such-Plugin ausgesprochen trügerisch und versucht alles, um genau so auszusehen wie das standardmäßige Google-Suchplugin, welches zu Firefox gehört. (Zwar stimmt das Piktogramm nicht, aber das Plugin verwendet Texte wie „Google powered web search“, damit du auf diese Machenschaften hereinfällst.) Es ist auch Code in der Erweiterung, der deren OpenSearch-Plugin dazu bringt, deine eingestellte Standardsuchmaschine in der Suchleiste zu überschreiben (das ist normalerweise Google). […]

PRIVATHEIT / SICHERHEIT / SCHADEN – Die Erweiterung schaut aktiv und zu willkürlichen Zeitpunkten nach bekannten Domains von Webmailern und beginnt damit, deine E-Mails zu lesen [!], bis es darin ein Zitat findet. Dort fügt es eine Signatur hinzu. Diese soll deine Freunde dazu bringen, dass sie ebenfalls diese Software verwenden [Das Addon spammt also aktiv unter deiner Adresse!]. Zurzeit läuft dieses „Signatur-Feature“ auf folgenden Domains:

  • mail (punkt) google (punkt) com
  • mail (punkt) yahoo (punkt) com
  • webmail (punkt) aol (punkt) com
  • mail (punkt) live (punkt) com

PRIVATHEIT – Die Erweiterung versendet Browser-Statistiken, während du im Einstellungs-Bildschirm bist. Die Daten umfassen die Browserversion, die Version der Erweiterung, die Skript-Version und diesen Wert namens bic (von dem ich annehme, dass er einzigartig ist und eine Identifikation ermöglicht [!]; er wird nur gesetzt, nachdem die Erweiterung Daten vom Server erhalten hat). Möglicherweise geschieht das auch an anderen Stellen.

DIVERSES – Der Code der API ist unleserlich geschrieben und verschleiert vorsätzlich die Funktion [!]. So etwas wird in einem Addon nur gemacht, wenn man etwas zu verbergen hat. Es ist unfassbar schwierig, diesen Code zu lesen.

SICHERHEIT – Im Code der Erweiterung sind große Mengen von trickreichen Programmierungen enthalten, die nur die Funktion haben, externes JavaScript mit größeren Berechtigungen auszuführen, als dies normalerweise möglich wäre. [!] Es ist ziemlich beschissen, wenn man darüber nachdenkt, dass Mozilla sichere Schnittstellen zur Verfügung stellt, um so etwas zu ermöglichen.

SCHADEN – An verschiedenen Stellen im Code wird versucht, deine eingestellte Startseite im Browser zu überschreiben [!]. Es gibt einen Ort, an dem ich sehen konnte, dass es dort geschieht, aber ich weiß nicht, wie dieser Code aufgerufen werden konnte. Der gesamte Quelltext ist ein einziges [vorsätzlich unverständlich formuliertes] Chaos.

DIVERSES – Du kannst einige Einstellungen ändern, wenn die Erweiterung installiert ist… vielleicht. Geht man vom Code aus, denn scheinen diese Einstellungen nicht besonders wirksam zu sein. Vielleicht verändert sich die Laufleistung mit deinen Einstellungen, aber es sieht eher so aus, als könntest du gar nichts tun, wenn das Plugin als Nicht-Premium registriert ist. [Also alles reine Verarschung, die einen hilflos und machtlos herumklicken lässt!]

SCHADEN – Eine Deinstallation setzt keine dieser Änderungen zurück. [!] Im gesamten Code ist eine Deinstallation nicht vorgesehen. [!] Das Addon kann diesen ganzen Scheiß jederzeit auf den Browser loslassen und räumt niemals auf. Die Zusicherung auf der Homepage, dass es leicht zu deinstallieren sei, ist Bullshit. [!] Premium oder nicht, es wird niemals richtig aufgeräumt. [!]

PRIVATHEIT – Deine Facebook-Daten gehen durch deren Service. [!] Sie haben dort keine Erklärung zum Datenschutz und zur Privatsphäre und keine allgemeinen Bedingungen für ihren Dienst (das ist überraschend, wenn man überlegt, dass die schon seit ein paar Monaten unterwegs sind). Dies sollte ein klares Stoppsignal sein.

Was meinst du? Sollte man diesen Typen vertrauen? Meiner Meinung nach, verdammte Scheiße, niemals. Installier dieses Addon AUF KEINEN FALL, es verursacht mehr Schaden als irgendwas anderes. Lass einfach die verdammten Finger davon!

Ende der Übersetzung.

Ja, liebe Facebook- und Google-Plus-Anwender,

so sehen die tollen Dienste aus, wenn sich Kriminelle darauf stürzen – sie sind nur ein weiterer Kanal für Spam und verbrecherische Attacken. Ihr lasst euch von solchen Web-Zwo-Nulldiensten verblenden und gar nicht wenige von euch lassen sich sogar dazu hinreißen, sich freiwillig eine Schadsoftware auf dem Rechner zu spielen, nur, um ein Minifünkchen Mehrwert auf Websites zu haben, auf denen ihr eigentlich selbst die Ware seid. Und dann wundert ihr euch darüber, dass auf einmal in eurem Namen Spam versendet wird, ohne dass ihr irgendeine Kontrolle darüber habt.

Nun, die Kontrolle habt ihr längst aufgegeben. Ihr habt sie aufgegeben, als ihr euch selbst und eure menschlichen Beziehungen an irgendwelche Web-Zwo-Nullvermarkter für ein paar Glasperlen Flashspielchen und Apps verkauft habt. Ihr gebt die Kontrolle jeden Tag ein bisschen mehr auf. Euer Kontrollverlust – genauer gesagt: Eure soziale Enteignung – ist das „Geschäftsmodell“ dieser ganzen Websites, die nur ein dürftiger, künstlich zentralisierter Ersatz für das eigentliche Potenzial des Internet sind. Ihr freut euch über die Bequemlichkeit und merkt die miesen Folgen dieser Enteignung gar nicht weiter, weil sie zurzeit eben nur von lichtscheuem Gesindel so richtig ausgenutzt werden. Das gleiche gilt auch für den dürftigen Internet-Ersatz in Form so genannter „Apps“ auf mobilen Geräten. Ihr habt alles aus der Hand gegeben und freut euch wie die kleinen Kinder über bunte bunte Bildchen, während man euch als Person beliebig missbrauchen kann.

Wenn sich dieser geschäftlich gewünschte Kontrollverlust und die Neigung zur Bequemlichkeit mit kriminellen „Geschäftsmodellen“ kombinieren, wird es eben unangenehm. Wenn ihr eine Erweiterung für einen Browser installiert, gewährt ihr dem Autoren dieser Erweiterung das Recht, beliebigen Code in eurem Browser auszuführen. Was immer der Browser unter diesen Anweisungen tun wird, es sieht von außen betrachtet genau so aus, als wenn ihr es selbst tätet. Es läuft mit euren Cookies und euren Anmeldedaten. Wie ihr am Beispiel des Zugriffs auf Webmailer seht, lässt sich dieses gewährte Privileg bereits sehr einfach zum Spammen ausbeuten – aber es wäre ebensogut möglich, auf diese Weise ein Botnetz aus übernommenen Browsern aufzubauen, das kriminelle DDoS-Attacken oder gar Schlimmeres ausführt, ohne dass ihr es bemerkt. Euer Vertrauen ist fehl am Platze. Je toller die Zusagen sind, desto kritischer solltet ihr sein. Wenn ihr nicht schon einen durch Schadsoftware-Erweiterungen manipulierten Browser habt, ist Google oft eine gute Wahl, um mal nachzuschauen, welche Erfahrungen andere Menschen mit bestimmten Erweiterungen gemacht haben – genau so habe ich den verlinkten und übersetzten Text gefunden, als mich die Spam wegen dieser Google+Facebook-Malware zu nerven begann. Es war übrigens Spam von Menschen, die ich teilweise persönlich kenne – und wäre der Text der Spam nicht in englischer Sprache gewesen, hätte ich vielleicht nicht einmal Verdacht geschöpft. So groß kann der Schaden durch soziale Enteignung und geistlose Bequemlichkeit werden; so groß, dass ein Mensch zum willfährigen Gehilfen krimineller Spammer wird.

Die klassische Mailspam ist längst am Ende. Die bloße Masse dieses Mülls hat deutlich nachgelassen (und das ist gut), und die Betrugsnummern sind sehr durchschaubar geworden. Aber die asoziale Idee der Spam findet immmer neue Kanäle. Theme-Spam und Plugin-Spam für Webanwendungen, Spam in diesen ganzen Web-Zwo-Nulldingern und immer häufiger Addon-Spam für Browser. Dort ist noch viel Potenzial für weitere Entwicklungen. Ich bin mir sicher, dass ich Mails aus derartiger Addon-Spam demnächst auch in gutem Deutsch haben werde, mit korrekter Anrede und mit meinem Namen aus einem Google-Adressbuch, so dass mich nur noch stilistische Feinheiten der Sprachwahl skeptisch machen könnten. Solche Spam wird hochgefährlich.

Ihr lieben Facebook- und Google-Plus-Anwender (und sonstigen viel zu arglosen Seelen, die ihr euch niemals mit diesem ganzen Technikkram befassen wollt, euch aber gut von dem ganzen Technikkram unterhalten lassen wollt),

wenn ihr gar nicht dazu imstande seid, euch gegen solche Missbräuche zu schützen, indem ihr vor der und bei jeder Computerbenutzung das Gehirn einschaltet, lasst doch bitte gleich die Finger vom Fratzenbuch und von Guhgell Doppelplusgut und installiert euch nur die allernotwendigsten Addons in eure Browser (ein Adblocker muss sein, und JavaScript will man auch nicht jeder dahergelaufenen Website erlauben)!

Und bitte: Denkt doch mal darüber nach, warum ihr eigentlich euren E-Mailverkehr über einen leicht missbrauchbaren und häufig angegriffenen Webbrowser macht! Es gibt wesentlich bessere Lösungen für das Abarbeiten der E-Mail. Wer diese verwendet, gewinnt nicht nur deutlich an Komfort, auch ist es beim völligen Verzicht auf einen Webmailer ungleich schwieriger, ja, nahezu unmöglich, durch den Angriff auf einen Browser Spammails zu versenden. Letzteres gilt natürlich nur, wenn nicht das Passwort im Browser gespeichert ist und wenn man am Webmailer nicht angemeldet ist; nur dann hat der Browser auch keinen Zugriff auf die Mail. Ist nur mistig, wenn man wegen dieses Google Plus immer angemeldet bleiben möchte und die Mailadresse ebenfalls bei Google hat… tja, ich weiß. Das sind eben die konzeptionellen Schwächen im Design der ganzen Web-Zwo-Nulldinger. Die Unsicherheit ist dort Bestandteil des Designs.

Nur, bitte, lasst es euch nicht mehr alles so erschreckend gleichgültig sein!

Euer Elias

„Like-it-Button“ jetzt auch hier

Samstag, 15. Mai 2010

Dieser komische „Button“ mit der Aufschrift „Like“ unter den Artikeln ist meine Reaktion auf das fragwürdige Facebook-Geschäftsmodell, das auf offene Spamwerbung nach außen und Nachrichten mit gefälschtem Absender nach innen setzt und auch ansonsten den Menschen mit allerlei Unverschämtheiten und Dreistigkeiten gegenübertritt. Der Text, der damit verlinkt ist, ist für Facebook nicht gerade schmeichelhaft, und er soll es auch nicht sein.

Wenn jemand Gefallen an diesem Button findet: Es handelt sich um ein WordPress-Plugin, das ich zum freien Download gestellt habe und unter Piratenlizenz lizenziere, damit damit auch wirklich jeder machen kann, was er mag. Es ist ein sehr einfaches Plugin, das auch sehr leicht angepasst werden kann.