Wenn das Blog der deutschen WordPress-Homepage in bewusst verharmlosenden Ton das Folgende zum Datenschutzproblem in WordPress 2.3 verlautbart…
…, denn kommt das einer Unverschämtheit gleich, wie ich sie in einem OS-Projekt so noch nie erlebt habe. Diese Unverschämtheit voller Chuzpe wird sogar noch größer und prolliger dadurch, dass sie auf einen entsprechenden Thread im Support-Forum verweist, in welchem dieses Problem durchaus sachlich zutreffend zur Sprache kam.
Es sind nicht die “Update-Benachrichtigungen”, die im Vorfeld einiges an “Unklarheiten” aufkommen ließen. Es ist der Umfang an technisch und sachlich unnötigen Datenübertragungen zum Server api.wordpress.org, der bei jedem Update-Test durchgeführt wird. Dieser Umfang unnützer Datenübertragung führte dazu, dass die Implementation dieser Funktion als ein völlig unnötiges Datenschutz-Problem betrachtet wurde. Und zwar nicht “unklar”, sondern völlig klar — hier wurde nämlich ein Grundsatz des Datenschutzes, nämlich die Vermeidung unnützer Datenübertragung und Speicherung, bewusst ignoriert.
Dass der Kern der WordPress-Entwickler dennoch in einer geradezu kindischen Arroganz an diesem “Feature” festhält und inappelabel gegenüber vernünftigen Einsprüchen geworden ist, lässt leider nichts Gutes für die Zunkunft dieses Blogsystemes vermuten. (Ich plane übrigens jetzt bereits einen Umstieg.) Dabei wird von den Entwicklern sogar offen eingeräumt, dass diese Daten zurzeit gar nicht benötigt werden. Wer öffentlich sagt, dass die Daten vielleicht in Zukunft einmal nützlich sein könnten, der sagt damit eben auch, dass sie in der Gegenwart noch gar nicht benötigt werden. Warum man von Seiten des Kernteams der WordPress-Entwickler trotzdem an der Übermittlung sinnloser Daten festgehalten hat, das ist das einzige, was in diesem Zusammenhang unklar ist. Es wirkt nach dem Verhalten eines lichtscheuen Gesindels, was einem da als Anwender präsentiert wird.
Das Blog von WordPress Deutschland sollte nicht auf die Idee kommen, diese offenbare Arroganz des Kernteams der Entwickler aufzugreifen und den WordPress-Anwendern in Deutschland mit dreisten rhetorischen Kunstgriffen ohne inhaltliche Aussage ins Gesicht zu spucken. Ich reagiere darauf sehr empfindlich, und ich werde gewiss nicht der einzige sein.
Ihr seid nämlich nicht so unentbehrlich, wie ihr es gerade glauben müsst.
Nur, um das einmal klar zu stellen.
Aktueller Nachtrag: Zwar mit ein paar Tagen Verzögerung, aber schließlich doch. Es gibt bei WordPress Deutschland eine Klarstellung des Sachverhaltes. Diese Klarstellung ist nicht deutlich genug, teilweise sogar unrichtig, befindet sich leider außerhalb der “richtigen Seitenhierarchie” und damit etwas versteckt im Forum und dürfte somit von vielen Menschen gar nicht richtig wahrgenommen werden:
Was macht die neue Update-Benachrichtigung?
Die Update-Benachrichtigung überprüft, ob die benutzte Version und die verwendeten Plugins aktuell sind. Gibt es eine neue Version wird das im Administrationsbereich angezeigt. Für den Abgleich werden Daten an einen WP.org-Server gesendet. Die Update-Benachrichtigung ist nicht optional, das heisst, wenn sie nicht über den Umweg eines Plugins oder eines Codeeingriffs abgeschaltet wird, ist sie aktiv. Es werden Daten gesendet, die für diese Funktion eigentlich nicht notwendig sind, zum Beispiel die Blog-URL.
Was macht Automattic mit den Daten der Update-Benachrichtigung?
Wir wissen es nicht, weder was Automattic mit den Daten macht, noch ob sich in kommenden Releases dahingehend etwas ändert. Es gibt einen langen Beitrag, in dem sich Matt mehrmals dazu äussert: Plugin update & security / privacy – wp-hackers | Google Groups Tatsache ist, dass Automattic über Ping-o-matic und Akismet schon seit Jahren die gleichen Daten bekommt wie jetzt auch. Auf der Automattic-Seite steht: “We don’t store personal information on our servers unless required for the on-going operation of one of our services.”
Das sind deutliche Worte, die aber leider nicht ganz zutreffend sind.
Bei Verwendung des Akismet-Plugins wird zwar die URL des Blogs übermittelt, aber es werden keine Interna der Installtion preisgegeben, sondern nur die Eigenschaften und der Text der eingehenden Kommentare, um Spam erkennen zu können. Da “richtige” Kommentare sowieso offen lesbar sein werden (wenn sie nicht manuell gelöscht werden), ist damit überhaupt kein Problem verbunden.
Auch Ping-O-Matic liefert die URL des Blogs aus, aber auch dort werden keine Interna der Installation preisgegeben. Mit diesen Angaben werden diverse andere Dienste angepingt und so über einen neu veröffentlichten Beitrag unterrichtet. Die Angabe der URL ist dabei unvermeidlich.
Was die Aktualitätsprüfung für Plugins so bedenklich macht, ist die Tatsache, dass hier mögliche Angriffspunkte zusammen mit einer verwendbaren URL durch das Internet bewegt und möglicherweise gespeichert werden, obwohl diese Informationen für den angegebenen Zweck nicht erforderlich sind. Das ist eine ganz andere Kategorie von Problem. Angesichts der Tatsache, dass sogar eingeräumt wird, dass diese Daten nicht erforderlich sind, hinterlässt das Beharren auf dieser Implementation einen äußerst unangenehmen Nachgeschmack.
Dieses Problem ist wesentlich größer als das viel emotionaler diskutierte Problem der Plugin-Spam in der deutschen Version, und es lässt sich auch keineswegs so einfach wie ein unerwünschtes Plugin zur Massenwerbung für einen Reklameanbieter von WordPress Deutschland abstellen, da es sich um Kernfunktionalität der Release handelt. Dass es verschiedene Möglichkeiten gibt, diesem Problem zu begegnen, macht die Tatsache nicht erfreulicher, dass im besten Fall eine fatale Gedankenlosigkeit und Arroganz der gegenwärtigen Kernentwickler von WordPress gegenüber Fragen des Datenschutzes vorliegt. Ich sehe an dieser Stelle WordPress in wirklich trübe Gewässer fahren, auch wenn “nichts schlimmes passiert”.
An Stelle einer solchen, weiteren sprachlichen Nebelgranate wäre es wohl für alle besser gewesen, wenn dieser eine Sachverhalt deutlich und unübersehbar kommuniziert worden wäre — einschließlich vernünftiger Aufklärung über mögliche Abhilfen. Nun gut, es gibt zum Glück noch Blogger, die das tun — oder nicht gut, da WordPress Deutschland nur einfach hätte abschreiben müssen. 
Ich fordere jeden WP-Blogger auf, die erforderlichen Maßnahmen zu ergreifen, damit diese unnütze Datenübertragung nicht stattfindet. So bemerkt man vielleicht auch auf Seiten der WP-Entwickler und auf Seiten von Automattic, dass ein solches Datenschutzproblem ernst genommen werden muss und von vielen ernst genommen wird. Vielleicht gesteht man ja auch dort ein, dass man in dieser Implementation einen Fehler gemacht hat und korrigiert diesen — zum Nutzen eines größeren Datenschutzes und weniger von Hackern angreifbarer Blogs. Rationeller Argumentation gegenüber ist man dort leider zurzeit noch verschlossen.
Abmahnen wegen Verletzung des Grundsatzes der Datensparsamkeit };->
Ich muss das team von WP-Deutschland mal in schutz nehmen. Immerhin haben sie daruaf verwiesen. Sie hätten es auch sein lassen können und das ganze so verklausuliert, wie in der englishen bekanntmachung, übernehmen können. Und “einiges an Unklarheiten” macht doch neugierig.
Zu Morty:
Nein, ich bin nicht so ein Bückgeist, dass ich so eine dreiste Formulierung hinnehme. Stünde mir jemand gegenüber, der in derart hinterfotziger, ehrloser, manipulativer und herabsetzender Weise mit mir umzugehen versuchte, bekäme er sogar einen ansatzlosen, geraden Fauststoß direkt in die Fresse. Wer ohne Not mit solchen Frechheiten kommt, der zeigt damit deutlich, dass er keinen Frieden will. Und wer keinen Frieden will, kriegt von mir auch keinen Frieden. Ganz einfach.
Dass die selbst ernannte “Deutsche WordPress Community” jetzt auch noch unter die Spammer gegangen ist, verstärkt nur den Eindruck, dass man es hier mit ehrlosen, friedensverachtenden Lumpen zu tun hat.
Nein, ich habe diesen Stil nicht angefangen, der gerade als der Stil des “Teams” von WP-”Deutschland” erscheint. Ich fange — wenn du es nicht glaubst, schau dir ruhig das Blog hier an — niemals mit einem Rückfall in barbarische Formen des Miteinanders an. Aber ich lasse mir auch nicht vion ein paar dahergelaufenen Aushilfsdemagogen die Barbarei aufdoktrinieren und halte auch noch meine Fresse dazu. So weit kommts noch!
Ende meiner Mitteilungen in dieser Sache.
Wens nicht gefällt, der kann gern weiterhin Scheiße fressen. Meine Neigung dazu ist sehr gering. Und ich bin stinkesauer über diese Aussage voller Chuzpe und Verächtlichkeit.
Zumindest würde ich es für richtig halten, eine Option zum Abschalten dieser Update-Anfragen anbieten. Ich habe vorher nie den Update-Monitor benutzt, sondern habe mich zur manuellen Prüfung entschieden, da ohnehin nicht alle Plugins abgefragt werden – bzw sogar die meisten, die ich benutze, nicht abgefragt werden. Grundsätzlich gefällt mir das Feature, aber könnte ich es, würde ich es nur dann anschalten, wenn ich gerade Zeit für Plugin-Updates habe und wissen möchte, was zu aktualisieren ist.
Von daher verstehe ich die Kritik. Datenschutzrechtlich wäre WP wohl auch angeraten, in naher Zukunft eine Option zum Abschalten des Datenflusses einzubauen.
das wird ja immer besser….
zuerst kommt wordpress.org mit der datensammelwut und nun das nette linklift plugin der deutschen community.
ich hab ja nix dagegen wenn einer so ein spam ähm advertisement plugin schreibt und das dann der öffentlichkeit zur verfügung stellt – wers braucht !
aber dass dann sowas quasi mit dem core ausgeliefert wird ist schon ein starkes stück……
wer sich da wohl das geld einsteckt, bei wordpress deutschland ?
da bin ich doch grad froh dass ich wordpress momentan nirgens einsetze und bei joomla weder der eine datamining noch der andere spam müll im core vorhanden ist.
mit joomla 1.5 wird dann vermutlich auch wordpress überflüssig – da freu ich mich drauf
hmmm zwischen wordpress (deutschland ?) und linklift muss vermutl. eine beziehung bestehen.
hab mir gerade mal ein flash-tutorial bei linklift angeschaut wie denn das funktionieren soll mit den links geld zu verdienen und da wird gezeigt dass man einen scriptcode in seine seite einbinden muss und in der dropdown-liste für die arten des scripts gibt es 3 einträge. PHP, perl und WORDPRESS
ich vermute mal dass die systeme hinter den kulissen auf einander abgestimmt wurden und mich würde es nicht wundern wenn der betreiber von linklift mit einem verantwortlichen von wordpress (deutschland?) zusammenarbeiten würde, wenn nicht sogar linklift einem dort gehört.
das ganze ist ja noch beta und unterstreicht den eindruck dass linklift sowohl das plugin erst kürzlich zusammen gereift sind.
@Nachtwächter: Ich merke du bist für eine entspannte und gelassene Diskussion immer zu haben….
Zu Morty: Ich bin nur dann für eine Diskussion zu haben, wenn Interesse am Austausch besteht. Ansonsten kümmere ich mich lieber um die Behandlung meiner eigenen Lebensnot, statt meine Kraft an Zeitgenossen zu verschwenden, die in wandkalter Weise zeigen, dass ihnen ihre Mitmenschen scheißegal sind.
Zumindest im Moment funktioniert der Update-Service auch wenn man weder seine Blog-Adresse noch die aktiven Plugins preisgibt.
Leider lässt sich das nicht per Plugin machen, sondern man muss die Datei wp-admin/includes/update.php bearbeiten.
Falls ich es eleganter hinbekomme mache ich daraus gerne ein Update, bis dahin gibts den Code nur auf Anfrage.
Ja, es gibt eine elegantere Lösung: Die Funktion umbennen, anpassen in ein plugin packen. Den original hook entfernen und durch eine der auf die Funktion im Plugin zeigt ersetzen.
das wird ja immer besser….
zuerst kommt wordpress.org mit der datensammelwut und nun das nette linklift plugin der deutschen community.
ich hab ja nix dagegen wenn einer so ein spam ähm advertisement plugin schreibt und das dann der öffentlichkeit zur verfügung stellt – wers braucht !
aber dass dann sowas quasi mit dem core ausgeliefert wird ist schon ein starkes stück……
wer sich da wohl das geld einsteckt, bei wordpress deutschland ?
da bin ich doch grad froh dass ich wordpress momentan nirgens einsetze und bei joomla weder der eine datamining noch der andere spam müll im core vorhanden ist.
mit joomla 1.5 wird dann vermutlich auch wordpress überflüssig – da freu ich mich drauf
die informationen dürften doch auch im englischsprachigen raum einiges an diskusionen hervorrufen. habe aber duzu bisher nichts gelesen
Gelesen und Verstanden! Gibt aber auch andere Plugin-Lösungen!