Slido

14.01.2020 Jonas L.

Slido/ sli.do ist ein Dienst für Live-Umfragen. Wie auch bei vielen anderen Diensten sieht es beim Datenschutz nicht so schön aus.

In der Datenschutzerklärung des Dienstes gibt es eine Liste von Unternehmen, die Daten für Slido verarbeiten. Diese Liste hat 19 Einträge.

Drei Einträge möchte ich hervorheben: “Amazon Web Services, Inc.” mit der “Location Ireland”, “Google Inc.” mit dem Purpose “Emails and Workspace” und “Hotjar Ltd”.

Zu Hotjar verweise ich nur auf deren Marketingmaterial. Die Funktion “Visitor Recordings” sieht sehr nach Überwachung aus. Zwar kann dort der Seitenbetreiber einige Inhalte von der Aufnahme ausschließen, aber dabei kommt es Berichten zufolge immer wieder zu Fehlern, u.a. weil Benutzer Werte aus der Zwischenablage auch mal versehentlich im falschen Fenster/ Eingabefeld eingeben.

Google(-Mail) findet man, wenn man auf einer Kommandozeile host sli.do eingibt.

Amazon kann man mittels curl -I https://sli.do auf der Kommandozeile “sehen” - der Header x-amz-cf-id signalisiert, dass die Webseite per Amazon Cloudfront ausgeliefert wurde. Die zu den europäischen Amazon-Rechenzentren gehörenden IP-Adressen fallen auch in die Region USA, sodass man nicht gut einschätzen kann, wo nun die Datenverarbeitung stattfindet.

Aber das waren jetzt nur theoretische Betrachtungen.

Die Hauptseite (https://sli.do) ist schlecht für die Privatsphäre, aber das ruft auch nur der “Verwalter” auf. Die “Teilnehmer” einer Umfrage rufen https://app.sli.do/ auf. Daher betrachtet ich zuerst die zweite Seite:

Tor-Browser mit geöffneter Nettzwerkanalyse auf app.sli.do

Was ist hier, was hier nicht hingehört?

  • googletagmanager.com
  • googleapis.com
  • gstatic.com
  • google-analytics.com
  • logentries.com
  • newrelic.com
  • nr-date.net

In der Datenschutzerklärung stand zu Google nur “Emails and Workspace”. Eine Google-Einbindung auf der Seite erklärt das nicht. Logentries.com und New Relic sind in der Datenschutzerklärung nicht einmal auffindbar.

Jeder Teilnehmer, der die Seite aufruft, stellt Verbindungen zu diesen Unternehmen her. Dabei ist der Teilnehmer nicht darüber aufgeklärt und diese Verbindungen sind nicht erforderlich. An dieser Stelle als Beispiel eine Verbindung:

Anfrage von app.sli.do an logentries.com

Hier wird übermittelt, auf welcher Seite der Nutzer ist und welchen Browser er verwendet. Aber man kann auch noch mehr übertragen:

Telemetrie über New Relic bei sil.do

Hier wird genau übermittelt, was wann unter welchen Umständen passiert ist.

So etwas ist zwar normal, aber kein guter Datenschutz. Wenn man die Seite außerhalb der EU aufruft oder man zustimmt, dann kommen noch Verbindungen zu Facebook, exponea.com und Google Ads dazu.

Wenn man es einsetzen würde, dann sollte man die Teilnehmer erst einmal darüber aufklären, dass bei der Nutzung dieses Dienstes Daten an bekannte Datensammler fließen. Man kann aber auch einfach auf diesen Dienst verzichten.

Für die Vollständigkeit noch die Hauptseite:

Netzwerkanalyse beim Aufruf der Seite sli.do

Google entgeht Nichts - auch nicht, wenn man sli.do aufruft und das nicht über die Google-Suche macht.

Dazu liegt bei dieser Seite auch noch ein Konfigurationsfehler vor: curl -I https://www.sli.do zeigt u.a. folgende Zeile: strict-transport-security: max-age=31536000; includeSubDomains; preload. Das bedeutet, dass die Seite in die HSTS-Preload-Liste soll.

HSTS-Preloading von Subdomains gibt es nicht mehr

Aber auch die Hauptseite kann nicht in der Liste:

sli.do kann nicht in die HSTS-Preload-Liste

Wenn man den Parameter preload setzt, die Seite nicht preloaden kann und dann den Parameter nicht wieder entfernt, signalisiert das, dass einem nicht ganz bewusst ist, was man eigentlich macht.

Auch interessant ist das, was nicht da ist - wie z.B. ein Content-Security-Policy-Header. Dieser würde, wenn er vorhanden wäre, Script-Injection-Attacken verhindern. Aber dafür müsste man auch alle Datensammler aufzählen, zu denen eine Verbindung aufgebaut werden soll, damit diese Verbindungen nicht durch den Header gesperrt werden.

Wenn man Datenschutz möchte, dann sollte man diesen Dienst nicht benutzen.