Oftmals sind gut gut gemeinte Features in einer Software einfach nicht unbedenklich. Und die Kritiken am Datenschutz von Facebook sind in aller Munde und wohl bekannt.

Ich möchte hierzu ein kleines Feature aufgreifen und zum Nachdenken anregen: Das Tagging von Freunden und Personen in Facebook.

Es ist ganz einfach. Ich habe ein Foto und lade dieses hoch. Darauf bin ich oder, wie oben ein Freund und damit auch jeder weiß wer das ist, kann ich ihn nun im Foto “taggen” (= das Gesicht mit einem Namen versehen). Dadurch ist es auch leichter Fotos einer Person in Facebook zu finden.

Jedoch, je nach Einstellungen  zum Beispiel auch in Google, Bing oder anderen Suchmaschinen. Viele Fotos in Facebook sind von Parties und nicht unbedingt für ein unbekanntes Publikum bestimmt, und meist auch nicht für den Arbeitgeber oder einen potentiellen Arbeitgeber. Ein falsches Hackerl und ein Tag im Foto und schon kann es passieren, dass man den Traumjob vielleicht doch nicht bekommt, weil man zuvor “gegoogelt” wurde und das Ergebnis ein Foto war, in welchem man vollgetrunken halb-bewustlos herumliegt.

Keine schöne Vorstellung? – Realität!

Spinnen wir die Gedanken weiter. Intelligente Algorithmen die selbstlernend sind, wie Gestichtserkennungsalgorithmen benötigen immer Beispiele um zu lernen. Die steigende Leistung der Computer macht die Algorithmen schön langsam richtig nützlich. Dadurch ergeben sich weitere Möglichkeiten:

Diese Algorithmen können nun Gesichter erkennen und gehen wir davon aus, dieses Gesicht in anderen Fotos wiederfinden, vor allem wenn genügend Beispielbilder vorhanden sind.

Dadraus ergibt sich noch mehr bedenkliches! Denn ist man nur oft genug in Facebook, oder auch anderen Plattformen, in einem Foto getaggt, desto genauer ist das “Phantombild”, dass ein Computerprogramm von einer Person erzeugen kann und desto einfacher ist es für ein Programm eine Person auf einem Foto (oder Bild von einer Überwachungskamera) zu identifizieren, auch wenn es nicht zuvor getaggt wurde.

Das Gesichter-Tagging bereitet also den Weg für das Auffinden beliebiger Personen auf Fotos, Filmen etc. und dabei reicht es oftmals den Namen zu wissen, oder ein Beispielfoto zu haben. Außerdem kann es den Job kosten!

Was kann ich dagegen tun?

Realistisch betrachtet kaum etwas, der Anteil des einzelnen ist zu gering – aber wie heißt es so schön “Kleinvieh macht auch Dreck”. Drum hier ein paar Tipps:

1. Das Wichtigste: Gleich mal keine Gesichter taggen.
2. Wenn ich getaggt wurde, werde ich normalerweise darüber informiert – tagging entfernen.
3. Immer gut überlegen welches Foto man wirklich im Netz veröffentlichen will und im Zweifelsfall nicht veröffentlichen
4. Oder wie in meinen 2 Screenshots: Man kann ja auch andere spannende sachen Taggen. z.B.: einen Bagger, ein Schild, etc. :-) Die Zuordnung für einen Gesichtserkennungsalgorithmus wird hierdurch nicht nur erschwert, sondern es stört auch bereits vorhandene Auswertungsergebnisse, da es eine Falschinformation ist.

In diesem Sinn: Auf ein klein wenig Privatsphäre!

Die Herausforderung ist folgende: Man nehme eine Seite, welche per http-Authentication geschützt ist und diese Seite hat ein JQuery oder Javascript, welches mittels eines AJAX-Requests Daten aus einem weiteren Service holt, welcher Ebefalls der gleichen Authentifizierung unterliegt.

Beim Aufruf der Seite wird der Benutzer davon überzeugt, dass seine Zugangsdaten erforderlich sind:

Das ist auch  gut so, ABER sobald das weitere Daten mittels AJAX abgefragt werden, werden die Zugangsdaten erneut abgefragt – und zwar für den Service-Aufruf. Der Grund: der aktuell gültige Authentifizierungstoken im HTTP-Header wird nicht mitgegeben!

Hierzu ist es notwendig, dass beim Aufruf zusätzlich Username und Passwort mitgegeben werden:

Dann funktionierts auch mittels AJAX.

Doch….

• Doch woher Username und Passwort nehmen, wenn diese lediglich der Benutzer besitzt?
• Eine Alternative wäre das direkte Setzen des aktuellen Authentication Tokens:

doch auch hier beißt sich die Katze in den Schwanz, denn woher diesen nehmen?

• Es gibt per JS keine  Möglichkeit aktuelle HTTP-Header auszulesen. und dadurch den Authentication Token zu ermitteln.
• Die wie in http://coderseye.com/2007/how-to-do-http-basic-auth-in-ajax.html, oder in http://stackoverflow.com/questions/1002179/how-can-i-pass-windows-authentication-to-webservice-using-jquery vorgeschlagenen Methoden benötigen auch wieder Benutzername und Passwort und funktionieren daher auch nicht wie gewünscht.
• Das Durchreichen der aktuellen Logon-Informationen scheint auch nicht möglich zu sein.

Aus Security-Sicht ergibt es Sinn, dass dies nicht möglich ist, aus Usersicht jedoch ist diese Situation die sich daraus ergibt jedoch untragbar. Lösung: Keine :( – Das heißt: wir benötigen Cookie Based Authentication