Extra: for english version click here.
Seit der Version 4.7x verfügt der Netscape-Browser als Option über die Funktion "SmartDownload". Sie startet automatisch jedes Mal, wenn der Benutzer eine Datei aus dem Web herunterlädt. Dabei öffnet sich ein neues Fenster, in dem der Download stattfindet. Zusätzlich wird noch eine Anzeige eingeblendet.
Der Vorteil von SmartDownload ist, dass Dateien auch nach einem Abbruch der Verbindung nicht komplett neu übertragen werden müssen. Die Routine setzt den Download an der letzten gültig übertragenen Stelle fort.
Hinter den Kulissen werden dabei aber eine Reihe von Daten an einen Server von Netscape übertragen - ohne dass der Benutzer darüber informiert wird.
In der Redaktion von tecChannel.de wurde ein solcher "SmartDownload" mit dem Analysetool "Sniffer" von Network Associates überwacht. Sniffer kann die einzelnen Datenpakete einer Internetverbindung auf der lokalen Festplatte ablegen und so genau protokollieren, welche Daten übertragen werden.
Kurz nachdem der Download startet, schickt SmartDownload ein Paket an den Server "cgi.netscape.com". Darin sind der Server, von dem Datei geladen wird, und der Dateiname enthalten. Die IP-Adresse des Benutzers wird ebenfalls übertragen. Wenn der Anwender sich bei der Netscape-Seite "Netcenter" angemeldet hat, wird auch seine E-Mail-Adresse transferiert. Viele Netscape-User sind bei Netcenter registriert, da sich so neue Versionen der Netscape-Software besonders einfach installieren lassen. Daneben werden auch der Name des Rechners im lokalen Netzwerk und das verwendete Betriebssystem an AOL/Netscape übermittelt.
Suchabfragen werden übermittelt
Das Protokollieren, wer welche Datei aus dem Internet herunterlädt, ist schlimm genug. Doch die Suchfunktion des Netscape-Browsers geht noch einen Schritt weiter. Hier kann Netscape auch noch mitschreiben, wie der Surfer für ihn interessante Angebote gefunden hat - und was er im Web überhaupt sucht.
Hinter der Schaltfläche "Search" des Netscape-Browsers steckt ein ähnlicher Mechanismus wie bei SmartDownload. Wenn der Benutzer ihn anklickt, landet er bei einer Webseite von Netscape mit einem Abfrageformular. Was dort eingetragen wird, füttert Netscape automatisch an mehrere Suchmaschinen - aber auch an die eigene Firma.
Über den schon von SmartDownload bekannten Mechanismus wird mit der Suchabfrage wieder ein Datenpaket an "cgi.netscape.com" geschickt. Wie der Sniffer auch hier zeigt, stecken darin nicht nur die Begriffe nach denen gesucht wurde, sondern auch die E-Mail-Adresse des Suchenden.
Mit der Kombination aus dem Protokollieren der Downloads und dem Belauschen der Suchabfragen wird der Benutzer des Netscape-Browsers endgültig zum gläsernen Surfer: Was er im Netz sucht, und welche Dateien er sich letztlich auf den eigenen Rechner lädt, schreibt Netscape fleißig mit.
Dass auch die Funktion "Smart Browsing", die ebenfalls einen eigenen Button im Netscape-Fenster namens "What's related" hat, die gleichen Nebenwirkungen hat, komplettiert das Bild. Wenigstens kann man diese Funktion über das Menü "Edit/Preferences" oder "Bearbeiten/Einstellungen" bei einem deutschen Netscape-Browser abschalten.
Einladung zum Spam
Besonders brisant wird die Schnüffelei von Netscape, wenn Downloads und Suchabfragen sich einer E-Mail-Adresse zuordnen lassen. Über den Befehl "finger" lässt sich in vielen Unternehmensnetzen im Handumdrehen der Realname der Person ausfindig machen. Aber die Kombination aus E-Mail-Adresse plus Interessen eines Surfers allein reicht schon, um die erschnüffelten Daten interessant für Werbefirmen zu machen. Diese könnten dann mit Massen-Mails, sogenanntem Spam, dem Surfer das Leben schwer machen - und der weiß noch nicht einmal, wie diese Firmen an seine Daten gekommen sind. Wie man sich vor Spam generell schützen kann, zeigt ein eigener Report im tecChannel.
Doch zumindest die Übermittlung der Mail-Adresse kann man dem Netscape-Browser abgewöhnen. Er übermittelt nach unserem bisherigem Kenntnisstand diese Information nur, wenn sich der Benutzer beim Netcenter von Netscape angemeldet hat.
Das Netcenter legt dabei ein sogenanntes "Cookie" in Form einer Textdatei auf der Festplatte des Benutzers ab. Dieses Vorgehen ist zwar seit Jahren umstritten, aber bisweilen kaum zu vermeiden. Websites können so beispielsweise den Login zu einem geschützten Bereich für den Surfer einfacher machen, wenn dessen Browser das einmal abgelegte Cookie bei einem späteren Besuch an die Site schickt.
Bei Netscape wird das Cookie von Netcenter aber missbraucht. Die darin gespeicherten Daten, unter anderem die Mail-Adresse, werden bei jedem SmartDownload und jeder Suchabfrage über den Search-Button - zusammen mit den Informationen über diese Aktionen des Surfers - an Netscape geschickt.
Das ist schlicht unnötig. Die Information, welche Datei wie weit übertragen wurde, kann der Browser leicht lokal auf der Festplatte speichern und muss sie nicht hinter dem Rücken des Anwenders bei Netscape ablegen. Andere Browser-Daten, etwa die zuletzt besuchten Sites, legt der Netscape-Browser auch auf der Festplatte ab, unter anderem in den Dateien "prefs.js" und "liprefs.js". Dorthin gehören auch die Download-Protokolle.
Lösung: Cookie und SmartDownload löschen
Da die Kopplung aus Downloads, Suchabfragen und E-Mail-Adresse über das Cookie des Netcenter arbeitet, sollte man dieses Cookie löschen. Das generelle Abschalten der Cookies führt nur dazu, dass viele Webseiten sich darüber beschweren, weil sie die Cookies für sinnvolle Zwecke einsetzen.
Der Netscape-Browser speichert alle Cookies in einer Datei namens "cookies.txt", die sich mit jedem Texteditor bearbeiten lässt. Ein Cookie nimmt dabei immer eine ganze Zeile ein.
Wenn Sie die Zeilen mit "netscape.com" in dieser Datei löschen, ist der neugierige Netscape-Keks damit zerbröselt - solange, bis Sie das Netcenter erneut aufsuchen, und sich anmelden. Dann muss das Cookie wieder gelöscht werden.
Die generelle Übermittlung Suchabfragen an Netscape ist damit jedoch nicht ausgeschaltet. Es empfiehlt sich, die Abfragen direkt bei den Suchmaschinen zu starten, nicht über den Search-Button des Browsers.
Wer auf SmartDownload gänzlich verzichten will, kann das zugehörige Programm in der Systemsteuerung von Windows unter "Software" deinstallieren. In den Menüs des Browsers findet sich zu diesem Feature keinerlei Eintrag.
Das liegt an der Art, wie SmartDownload installiert wird: Bei einem deutschen Browser kann man sich die Funktion als Plugin bei Netscape herunterladen. Wenn man den englischen Netscape-Browser über die Seiten von Netscape komplett neu herunterlädt, wird man kurz gefragt, ob das per SmartDownload geschehen soll. Wenn der Anwender das bestätigt, installiert sich das Programm ohne viel Aufhebens, und holt dann schon mit SmartDownload den Rest des Browsers vom Netscape-Server. Auf diese Weise hatten auch die Kollegen unserer Schwesterpublikation PC Welt sich SmartDownload eingefangen, und dann herausgefunden, wie man es wieder loswird.
Anonymisierer schützen nicht
Wie unsere Tests zeigen, schützt auch die Verwendung eines Anonymisierungsdienstes nicht vor der Schnüffelei von Netscape. Die wichtigsten Informationen stammen aus dem Netcenter-Cookie. Mit Anonymisierer wird außerdem noch an Netscape übermittelt, dass man einen benutzt.
Details zur Funktionsweisen von Anonymisierungsdiensten, und wie man sie sinnvoll einsetzen kann, zeigt ein Report im tecChannel.
Fazit
Die jetzt entdeckten Funktionen im Netscape-Browser stellen einen massiven Eingriff in die ohnehin schon spärliche Privatsphäre der Surfer dar. Das ist umso schlimmer, als der Anwender beim Benutzen der Funktionen nicht davor gewarnt wird.
Es kann nur spekuliert werden, was Netscape mit den übermittelten Daten anfängt. Die gesammelte Information "User A interessiert sich für B, und holt die Dateien dazu von Server C" bildet zusammen mit E-Mail-Adresse und IP-Adresse jedoch ein nahezu komplettes Profil des Surfers. Neben den berüchtigten Spammern dürfte sich auch jedes andere Marketingunternehmen dafür interessieren - von staatlichen Behörden einmal ganz abgesehen. So ganz nebenbei gehört Netscape auch seit November 1998 AOL, dem größten Online-Dienst und Internet-Service-Provider der Welt.
Auch die ein oder andere Plattenfirma dürfte sich für die von Netscape gesammelten Daten interessieren. Da das Sammeln von illegalen MP3-Dateien allmählich zum Volkssport wird, wären sie sicher daran interessiert zu wissen, wer wann welche MP3-Datei von welchem Server heruntergeladen hat.
Eine Stellungnahme des Unternehmens war am Tag der Entdeckungen nicht zu bekommen, da die Firma über keinerlei deutsche Vertretung mehr verfügt. Es bleibt zu hoffen, dass derartige Schnüffeleien mit der noch in Entwicklung befindlichen Open-Source-Version 6.0 des Netscape-Browsers ein Ende nehmen. (jlu/nie)