Zertifikats- und Siegelerschleichung


Hin und wieder teste ich meine Seiten mit Tools, die dazu gemacht sind (achtung!) Seiten zu testen. Das mache ich meistens einfach aus Spaß, um zu sehen, was dabei herauskommt.

Es gibt da mehrere Seiten, bekannt dürfte Seitwert sein, hier wird die Seite nach technischen Gesichtspunkten, sowie nach Reichweite (Social Media, Verlinkungen, SEO) bewertet und der „Seitwert“ (ein Prozentwert), sowie ein Ranking errechnet.

Um Seitwert soll es hier aber nicht gehen, sondern um eine andere Seite, deren Namen ich hier nicht nennen werde, da ich sie zwar darüber informiert, ihnen aber keine Zeit gegeben habe, zu reagieren. Hier wird ebenso eine Internetseite nach bestimmten Aspekten bewertet und eine Note vergeben.

Nach absolviertem Test besteht die Möglichkeit, das Ergebnis in Form eines „Zertifikats“ (das haben fast alle solchen Seiten) in die eigene Seite einzubinden. Nicht, dass ich das vorhatte, aber ich habe mal darauf geklickt und musste erst einmal Lizenz- und Nutzungsbedingungen akzeptieren. Darin steht, unter welchen Bedingungen das Logo eingebunden werden darf, dass man den Test aktualisieren muss, dass die Grafik und der Code Urheberrechtlich geschützt ist und dass man Missbrauch melden muss (interessant, wenn man das Logo auf seiner Seite anzeigen will, muss man sich verpflichten, jeglichen Missbrauch, von dem man Kenntnis erhält, sofort zu melden).

Davon, was Missbrauch ist und was man mit dem einzubindenen Code tun darf, steht da nichts. Trotzdem macht mich so etwas immer erst mal Misstrauisch. Ich bestätigte also und erwartete ein Snippet mit einer Grafik, deren Name irgendwie aus einem geheimen Hash besteht (bei Seitwert gibt es so etwas) und wurde enttäuscht: Es wird ein minimales Javascript eingebunden und an die Funktion darinnen werden dann gewisse Daten übergeben.

Diese Daten sind:

  • Die Schulnote multipliziert mit 70 („Verschlüsselung“?), die darüber entscheidet, welche Note dargestellt und welcher Text angezeigt wird
  • Das Datum als String (komischerweise wird hier ein sechstelliger String übergeben, dessen zweite und dritte Stelle minus 4 das Jahr, und dessen fünfte und sechste Stelle den Monat darstellen)
  • Die URL im Klartext
  • Eine Zahl, die im Script nirgendwo genutzt wird
  • Eine Zahl, die entweder 22 (fünf Sterne), 24 (drei Sterne) oder 26 (vier Sterne) sein sollte und bestimmt, wieviele Sterne angezeigt werden (und komischerweise, ob die Note angezeigt wird, was nur bei 26, also vier Sternen der Fall ist).

Fazit:

Es ist für den Webmaster überhaupt kein Problem (das was ich hier gemacht habe, kann man ja beim besten Willen nicht Hacken nennen), ein solches Zertifikat mit seinem Wunschergebnis einzubinden. Das ist jetzt natürlich nicht der einzige und der einfachste Weg, wenn er einfach die Grafik als Bild speichern und hochladen würde, sähe das genauso aus. Jedoch gibt es hier den Unterschied, dass es sich um ein valide eingebundenes Script handelt, das zwar gefakete Werde anzeigt, aber absolut original aussieht (weil es eben genau so genutzt wird, wie es gedacht ist, die Werte werden quasi im Klartext an das Script übergeben).

Natürlich handelt es sich hier nicht um irgendein Siegel oder Zertifikat, das irgendeine wirkliche Bedeutung hat, es ist eben nur ein Banner zum Angeben, daran hängt nichts. Aus dem Grunde finde ich das auch nicht besonders dramatisch, wollte aber wohl darüber schreiben, weil es mich irgendwie an die Umfragenmanipulation einer großen Schokoladenfirma beim hoohead erinnerte. Auch da wurde etwas offensichtlich aus dem Boden gestampft und mit möglichst wenig Aufwand und quasi ohne Schutzmechanismus auf die Öffentlichkeit losgelassen. Vielleicht ändert sich bei den Agenturen und Applikationsentwicklern da ja noch mal was.

,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert