Um Facebook connect realisieren zu können, muss man vorab den technischen Ablauf verstehen: Im Grunde befindet sich zwischen der eigenen Seite und Facebook als Schnittstelle im Login-Prozess der Access-Token. Dieser wird von Facebook zurückgegeben, wenn dort die Authorisierung der entsprechenden Seite erfolgt ist. Da die Intentität des Users durch sein Login bei Facebook bestätigt ist, kann mittels des Tokens die UserID von Facebook abgefragt werden, und anstatt eines User-Passwort Tupels für den Login auf unserer Seite benutzt werden.

Um einen gültigen Access-Token zu bekommen muss der User natürlich bestätigen, dass er der jeweiligen Seite seine ID und optional weitere Informationen zur Verfügung stellen will. Facebook identifiziert die Seite über eine vom Seitenbetreiber erstellte Facebook-App. Diese hat insofern keinen spannenden Inhalt da sie ausschließlich speichert, welche Informationen des Users abgefragt werden sollen, und welche Seite dafür gültig sein soll.

Facebook-Connect

Beim Klicken auf den Facebook-Connect-Button wird der User um Bestätigung aufgefordert, die entsprechende Anwendung (die auf unsere Seite weiterleitet) mit den entsprechenden Rechten (Lesen von Posts, Bildern, schreiben von Posts, etc.) zu authorisieren. Ist die Authorisierung erfolgt wird der User auf die angegebene Landing-Page weitergeleitet. Mit dem nun erhalteten Access-Token kann die Seite einen Registrierungs- bzw. Login Prozess durchführen. In unserem Falle speichern wir Magento-User-Ids und Facebook Ids in einer Tabelle und können mittels LoginById() – Methode des Session-Models einen Login durchführen, sobald eine gültige Facebook-Id zurückkommt.
Sobald der Facebook-User einmal die Anwendung authorisiert hat, wird dieser Schritt übersprungen, wodurch ein One-Click-Login möglich ist.

Die Grundmotivation für den Einbau von Facebook-Connect in unseren Shop war es neben der generellen Connect-Idee, die kurz zuvor von Facebook gestartete Freigabe von Adressen und Telefonnummern der User zu nutzen. Dies wäre insofern praktisch gewesen, dass dem Magento-User eine Registrierung mit notwendiger Adresseingabe erspart geblieben wäre, da diese direkt von seinem Facebook-Account gelesen worden wären. Leider wurde die Bekanntgabe von Facebook von manchen Medien falsch aufgefasst und als weiterer drastische Einbuße von Datenschutz interpretiert, wodurch sich Facebook gezwungen sah, diese beiden User-Informations-Freigaben wieder zu deaktivieren. Dadurch konnten wir dem User die Dateneingabe im Registrationsprozess nicht abnehmen, jedoch bleibt noch immer der Vorteil des schnellen einloggen und registrierens.
Auch ein Verschmelzen von bereits existierenden Magento-Accounts wurde implementiert. Der User kann im Nachhinein seinen Account mit Facebook-Connect verbinden.

Fühlen - Sehen - Kippen

Fäschungssicherheit spielt bei Geld eine große Rolle. Der Euro ist mit ungefähr 50 Sicherheitsmerkmale ausgestattet, von denen jedoch nur ein Teil bekannt und von normalen Konsumenten überprüfbar sind.  Diese Sicherheitsmerkmale beruhen vorallem auf das Prinzip Fühlen – Sehen – Kippen. Ein paar dieser Sicherheitsmerkmale sind: Wasserzeichen (ein Symbol, welches durch Gegenlicht besser sichtbar wird), Sicherheitsstreifen (ein dunkler streifen, im Gegenlicht sichtbar), Hologramm (verändert das Aussehen beim Kippen), Tiefdrucke (erzeugen ein fühlbares Relief). Trotzdem wird jährlich haufenweise Falschgeld registriert. 2009 waren es 52.500 Blüten in Deutschland.

Mehr Sicherheit dank der Elektronik

Deutsche und japanische Forscher haben nun eine neue Methode entwickelt, um Geld noch fälschungssicherer zu machen und diese im Fachmagazin Advanced Materials beschrieben. Es ist ihnen gelungen einen elektronischen Schaltkreis zu kreieren, welches sich in Geldscheine einarbeiten lässt. Dieser Schaltkreis, bestehend aus unter anderem Gold und Aluminiumoxid, erreichen nicht einmal eine Dicke von 250 Nanometern. Damit soll erreicht werde, dass die Geldscheine die Strapazen in der Brieftasche heil überstehen. Aufgrund der Sensibilität des Geldscheins, muss beim Einbau des Chips auf aggressive Chemikalien und hohe Temperaturen verzichtet werden können. Der Schaltkreis benötigt zum Ablesen eine Spannung von 3 Volt. Die Energieversorgung könnte, wie von RFID-Chips gewohnt, mittels Lesegerät erfolgen.

Bessere Überwachung

Die Idee, Chips in Geldscheinen einzubauen. ist keinesfalls neu. So hatte die Europäische Nationalbank schon 2001 mit dem Gedanken gespielt, Geldscheine mit einem RFID-Chip zu versehen. Dabei wurde dies nicht nur die bessere Fälschungssicherheit in Betracht bezogen, auch eine bessere Überwachbarkeit ließe sich damit bewerkstelligen. Bisweilen war es nur sehr schwer möglich den Weg der Scheine zurück zu verfolgen. Mit einem Chip ließe sich der Geldfluss ähnlich überwachen wie bei elektronischem Geld.

Das ein Entwickler auf die Idee kam, gezielt nach diesen Informationen zu suchen, scheint ein logisches Resultat aufgrund der “Freizügigkeit” mancher Internet-Benutzer. Personensuchmaschinen wie Yasni oder 123people fassen dabei Suchergebnisse aus Google und anderen verschiedenen Anwendungen zusammen. So sind nicht nur Informationen auf einzelnen Webseiten, sondern auch Telefonnummern, E-Mailadressen oder einzelne Profile auffindbar. Ein Schock für den unachtsamen Anwender.

Ist der Anwender selber schuld?

Früher wurde auf die Privatsphäre nur wenig eingegangen. Es oblag dem Benutzer selber, ob er sein Profil ausfüllte oder nicht. Diese sowie seine Beiträge waren oftmals frei Zugänglich. Auch die ersten modernen sozialen Netzwerke benötigten einige Zeit ehe sie Funktionen zum Schutz der Privatsphäre einbauten, oftmals erst nach Protesten ihrer Nutzer.

Die Personensuchmaschinen machen demnach nichts illegales. Sie tragen lediglich Daten, die öffentlich sind und mit ein wenig Aufwand für jeden auffindbar sind, zusammen. Somit benötigt man nur eine Suchanfrage, wo man früher 10 gebraucht hat. Verbraucherschützer und Datenschützer halten diese Funktionsweise für bedenklich, gesetzlich gibt es aber keine eindeutige Möglichkeit dagegen vorzugehen, vorallem da die relevanten Daten nicht bei den Personensuchmaschinen selbst gespeichert werden.

Vorteile von Personensuchmaschinen

Das Aufkommen dieser Suchmaschinen kann man auch als Chance sehen. Unerwünschte Informationen über sich werden gesammelt gefunden. Somit ist es sehr einfach gezielt gegen diese Informationen vorzugehen, einzelne Seiten zu besuchen und so seine Daten zu löschen oder auch nur unkenntlich machen.

Salzberg: Die grundlegende Idee ist der E-Mail sehr ähnlich. Sie können einen Yahoo-Account haben, und ich habe einen Google-Mail-Account. Es sind unterschiedliche Anbieter, aber wir können uns gegenseitig E-Mails schicken. Ähnlich funktioniert auch Diaspora.
Jeder Diaspora-Seed kann eine beliebige Anzahl von Endnutzern beinhalten. Sie können Diaspora nur für sich selbst oder für Ihre ganze Familie installieren. Jeder Nutzeraccount ist aber von anderen Nutzeraccounts komplett unabhängig und könnte auch woanders liegen. Es ist also nicht so, dass Sie ein Soziales Netzwerk installieren.
Wir legen großen Wert auf die Datenportabilität und die Kontrolle über die Daten und wollen uns zunächst auf die dafür notwendigen Features konzentrieren. Wir wollen, dass Diaspora von möglichst vielen Leuten genutzt wird. Unser Ziel ist es, tektonische Platten zu verschieben und nicht einen Felsen durch das Universum zu schießen.

Um das Netzwerk nutzen zu können, muss Diaspora auf einem Server installiert werden. In näherer Zukunft kann es aber durchaus sein, dass es z.B. etwa Hosting-Angebote wie bei WordPress geben wird, die die User ohne Server-Fachkenntnisse nutzen können.
Ein erstes Alpha-Preview kann man diesen Oktober erwarten und gespannt sein, ob Diaspora der große Facebook-Killer, ein riesiger Flop oder, und das ist meine Vermutung, eine gesunde Alternative werden, die zwar Facebook nicht den Rang ablaufen wird, aber eine solide Gemeinde haben wird.

HTTP-Anfrage, Javascript & Flash helfen bei Erkennung

Bei jedem Seitenaufruf stellt der Browser (egal ob Firefox, Internet Explorer oder andere) eine Anfrage an das Ziel und schickt dabei Informationen die für die Übertragung der Daten wichtig sind mit. Detailierte Browsererkennung, akzeptierte Zeichencodes und Sprachen sowie Komprimierungsmethoden schaffen es zusammen mit der IP-Adresse und eventuell vorhandenen Cookies schon ein differenzierteres Ergebnis zu erhalten.

Um die Auswahl zu verfeinern greift man nun zu Informationen welche über Javascript einfachst zu erfragen sind. Bildschirmauflösung oder eingestellte Zeitzonen um nur zwei Beispiele zu nennen können Problemlos via Javascript abgefragt und gespeichert werden. Wem dies noch nicht reicht, der fragt via Flash oder Java-Applet einfach die installierten Systemschriften ab. Sogenannte Supercookies (Cookies die via Flash separat gespeichert werden) krönen das perfekte Datenpaket für die nahezu eindeutige Identifizierung.

Fast 95% der Zugriffe eindeutig identifizierbar

Laut einer Studie (Beitrag zum Thema bei Golem) sind 83,4% der Besucher eindeutig zu erkennen gewesen, sofern Javascript und Flash aktviert bzw. installiert war sind 94,2% der Zugriffe eindeutig identifizierbar gewesen. Weitere 4,8% der insgesamt über 470.000 getesteten Benutzer kamen nur zweifach vor, nur knapp 1% der Besucher gingen in der Menge als nicht eindeutig zuordenbar unter.

Besucherhistory problemlos auslesbar

Auch die besuchten Seiten sind recht einfach abzufragen. Da diese Liste jedoch zugriffsgeschützt ist muss man sich mit einem Trick behelfen. Es genügt jedoch eine Referenzliste an Internetadressen sowie aktiviertes Javascript und schon kann man zumindest via Firefox sehen, ob die Seite besucht wurde (Beispiel). Mit ein wenig mehr Know-How geht es sogar ganz ohne Javascript einfach nur per CSS (siehe Beispiel).

Gläserner Konsument?

Die Beispiele zeigen wie einfach es ist das Verhalten eines Internetsurfers problemlos einem eindeutigen Profil zuzuordnen. Einen Nutzen hat dieses Wissen vor allem für Seitenbetreiber mit Besuchern die immer wieder vorbeischauen (Communities, Newsportalen, Suchmaschinen) da mit diesem Wissen das Klick- und Surfverhalten langfristig zuordnenbar und damit die Werbung leichter personalisierbar auf die Wünsche des Besuchers zugeschnitten werden kann. Dadurch erhöht sich die Klick- und sehr wahrscheinlich auch die Conversationrate.