Emojis – Datenschutz à la WordPress

Mit WordPress 4.2 gibt es jetzt auch Emojis in WordPress. Und damit direkt auch schon wieder ein Datenschutz-Problem wie bei der Integration der Google Fonts.

Emojis Datenspuren

Denn WordPress lädt nun ein JavaScript in den wp_head, der die Codes zwar aus einer lokalen JavaScript lädt, jedoch auch eine Verbindung zu s.w.org aufbaut, wo die WordPress-Macher diverse Sachen hosten – unter anderem auch die Audios und Videos, die man auf der Seite sieht, wo die neuen Funktionen vorgestellt werden.

window._wpemojiSettings = {"baseUrl":"http:\/\/s.w.org\/images\/core\/emoji\/72x72\/","ext":".png","source":{"concatemoji":"http:\/\/chriszim.com\/wp-includes\/js\/wp-emoji-release.min.js?ver=4.2.1"}}; [...]

Aber nicht nur das: Auch in der lokalen JavaScript-Datei findet ein weiterer Aufruf auf einen externen Server statt – nämlich maxcdn, ein Content-Delivery-Network. Genauer auf die Seite twemoji.maxcdn.com, immerhin wird hier wenigstens https angestrebt (was an der Datensendung nichts ändert, aber wenigstens ein bisschen sicherer ist):

var m={base:("https:"===location.protocol?"https:":"http:")+"//twemoji.maxcdn.com/",ext:".png",size:"36x36",className:"emoji",convert: [...]

Wieso, weshalb, warum

Für solche Auslagerungen gibt es genau zwei Gründe, die gerne angeführt werden:

  1. Weniger Speicherplatz-Verbrauch
  2. Mehr Performance, wenn alle Websites z.B. auf Google Fonts verlinken, da die Font-Dateien somit schon im Browsercache vorhanden sind

Doch aus Datenschutz-Sicht ist das nicht so optimal. Denn technisch wird bei jedem Seitenaufruf auch ein Aufruf zu s.w.org und twemoji.maxcdn.com gemacht – und somit auch die IP-Adresse des Nutzers weitergeleitet, wodurch die beiden Dienste theoretisch nachverfolgen könnten, auf welchen Blogs sich eine IP-Adresse rumgetrieben hat.

Auch wenn ich nicht glaube, dass sowas bei maxcdn oder WordPress getrackt wird – als Blogbetreiber weiß man schlicht nicht, was auf diesen externen Servern passiert. Mir persönlich ist immer unwohl bei sowas, ich hoste Fonts und Scripte lieber komplett selbst.

Letztlich sind solche Anbieter natürlich auch beliebte Ziele von Angreifern. Wenn etwa über das maxcdn-Script Schadcode eingeschleust werden kann, wird es direkt über Millionen von WordPress-Blogs verteilt. Erst kürzlich wurde Schadcode über Google Ads ausgeliefert.

Abhilfe, Hoffnung und die rechtliche Sache

Und so wie es bereits ein Disable Google Fonts-Plugin gibt hat auch schon jemand ein Disable Emojis-Plugin gemacht. Die Codes aus den Plugins kann man theoretisch auch in seine functions.php übernehmen.

Ich hoffe, dass WordPress sich irgendwann eines besseren besinnt und diese Sachen komplett mit ausliefert. Der Speicherplatz ist nun wirklich gering und die Performance-Erspanis bewegt sich im Millisekunden-Bereich. Das sind Abstriche, mit denen jeder von uns problemlos leben kann.

Übrigens: Auch rechtlich kann diese Sache nicht ganz ohne sein. Wahrscheinlich muss man mindestens in der Datenschutzerklärung darauf hinweisen, wenn man solche Scripte nutzt, dass die IP-Adresse und womöglich andere Daten an Drittanbieter gesendet werden. Auch wenn das wohl die wenigsten machen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.