Kommentarfunktion funktioniert wieder

Liebe Leserinnen und Leser meines Blogs,

ein aufmerksamer Leser hatte mir mitgeteilt, dass das Hinterlassen von Kommentaren seit einiger Zeit nicht möglich war: Es erschien eine Fehlermeldung, wonach eine Datenschutz-Einwilligung fehle. Der eingegebene Kommentar ging verloren. Ich bedauere Unannehmlichkeiten; inzwischen ist der Fehler behoben.

Kompatibilitätsprobleme bei WordPress

Für diejenigen, die es interessiert, erläutere ich auch gern die Fehlerursache: Sei lag im Setup des Veröffentlichungssystems (WordPress). Ein Datenschutz-Plugin namens “Akismet Privacy Policies” war mit einer verbesserten Kommentarfunktion (Jetpack Kommentare) inkompatibel. “Jetpack Kommentare” ist nun abgeschaltet; genutzt wird wieder die Standard-Kommentarfunktion von WordPress.

Spam wird über die Kommentarfunktion auch auf Webseiten abgeladen

Nicht nur in E-Mail-Postfächern, sondern auch auf Webseiten, die eine Veröffentlichung von Kommentaren vorsehen, wird Spam “abgeladen”. Zumeist handelt es sich dabei um kurze, nicht auf das Thema bezogene Texte, die einen Link zu einer typischerweise zweifelhaften Webseite enthalten und von Robotern hinterlassen werden, die systematisch Blogs suchen, Schwachstellen analysieren und den Spam dann automatisch hinterlassen.

Halb aufgeklappter Laptop. Auf der Tastatur und davor liegen zahlreiche weiße Zettel, auf denen handschriftlich jeweils einmal das Wort "SPAM" geschrieben steht. Das Bild symbolisiert den Missbrauch der Kommentarfunktion von Blogs für Spam.

Spam wird nicht nur per E-Mail, sondern auch in Form von Website-Kommentaren verbreitet. Bild: © Antje Delater / pixelio.de

Wenn ich die Nutzungsdaten dieses Blogs anschaue, stelle ich fest, dass Roboter teils unbekannter Art meine Seiten zigfach am Tag “abgrasen” und teils auch typische URLs (“maor.de/admin” usw) durchprobieren, um in das hinter dem Blog liegende System einzudringen. Als Blogbetreiber sollte man mögliche Schwachstellen also beseitigen. Bei den Kommentarformularen funktioniert dies naturgemäß nicht hundertprozentig: Diese sollten schließlich den Nutzern als Kommentarbereich markiert und sichtbar sein – und sie sind es damit auch zugleich für die Roboter. Also muss hier der Schutz  Von den so genannten Captchas (diese verpixelten Bilder mit sinnlosen Zahlen- und Buchstabenkombinationen, die abzutippen sind) halte ich dabei recht wenig – zum einen, weil diese oft auch für Menschen schwer zu entziffern sind, zum anderen, weil sie meist nicht wirklich barrierefrei ausgestaltet sind und zudem auf einige Nutzer abschreckend wirken, und weil ihr Zweck nicht für alle Nutzer selbsterklärend ist. Zudem sind nach einem Bericht in “Spiegel Online” einige Captchas bei richtiger Programmierung von Maschinen zu entziffern, und zwar mit einer höheren Erkennungsrate als bei Entzifferungsversuchen durch Menschen. Intelligente Spam-Erkennungssysteme wie Akismet sind daher sinnvoller; speziell Akismet ist für die Verwendung mit dem WordPress-System, das ich für diesen Blog nutze, speziell ausgerichtet; überzeugende Alternativen sind mir zumindest nicht bekannt.

Akismet erfordert möglicherweise ein ausdrückliches “Opt-In”

Zur Vermeidung von Kommentar-Spam wird auf diesem Blog also das System “Akismet” eingesetzt. Eine rechtliche Herausforderung besteht darin, dass die Kommentare durch das System zur Spam-Analyse (und nur zu diesem Zweck) in die USA gesendet werden. Da das europäische Datenschutzrecht sehr strikt ist und für diese Analyse nach Auffassung des auf das Thema spezialisierten Rechtsanwalts Thomas Schwenke (vgl. auch diese Erläuterungen) eine ausdrückliche Zustimmung jedes Kommentators verlangt, sollte auch auf diesem Blog eine ausdrückliche Einwilligung in diese Handhabe angefordert werden, ohne die kein Kommentar abgegeben werden kann.

Einwilligungsfunktion funktionierte nach Update nicht mehr

Diese Einwilligung sollte von Kommentatoren über das Anklicken einer zusätzlichen Checkbox abgegeben werden, die das Plugin “Akismet Privacy Policies” in das Kommentarformular einbaut. Eine ganze Weile funktionierte dies gut – bis über das WordPress-“Verbesserungsprogramm” Jetpack eine überarbeitete Kommentarfunktion bereitgestellt wurde. Nach der Aktivierung dieser “Verbesserung” war die Checkbox mit der Einwilligungserklärung nicht mehr sichtbar. Die “verbesserte” Kommentarfunktion von “Jetpack” arbeitet schlicht nicht mit dem Datenschutzerklärungs-Plugin zusammen. Fatal war, dass die Überprüfung, ob bei Abgabe eines Kommentars die (eben nicht mehr angezeigte) Checkbox zur Einwilligung aktiviert ist, dennoch unverändert stattfand.

Dieser Fehler ist inzwischen behoben. Die Checkbox erscheint wieder.

Dank für die Hinweise

Dank einer persönlichen E-Mail eines Nutzers hatte ich den Fehler entdeckt, nach einiger Zeit der Suche die Ursache finden können und dann den Fehler beseitigt. Diesem Leser danke ich sehr für den Hinweis. Auch anderen Lesern wäre ich für Verbesserungs- und Themenvorschläge dankbar.

2 Antworten

  1. Anonymous sagt:

    Hinweis für Kommentatoren:
    Adblock muss man pausieren und dann z.B. in uMatrix das fremde Script von cloudfare.com explizit erlauben.
    Der Webseitenbetreiber übernimmt natürlich die Haftung, auch für fremde Scripts…
    Im Zeitalter von allen möglichen Bedrohungsszenarien ist das natürlich ausgesprochen mutig, auch vom Kommentierer.
    Schöner wäre eine fremdscriptfreie Lösung.
    Aber der Inhalt (=Daumen hoch!) ist das Risiko wert!

    • Hallo, diese Seite ist nicht für den Betrieb mit Adblockern gestaltet. Die Anzeigendichte habe ich hier begrenzt, so dass ein komfortables Lesen auch ohne Adblocker möglich ist. Zudem betreffen die Anzeigen zumindest überwiegend Themen, die die Besucher dieses Blogs auch interessieren dürften.

      Bei Cloudflare handelt es sich um ein Content Delivery Network, also ein System, das Kopien der Website auf Servern an verschiedenen Orten der Welt speichert, um einen rascheren Abruf zu ermöglichen. Hierauf wird in Nummer 7.2.2 der Datenschutzerklärung hingewiesen. Diese Dienste von Cloudflare werden umfassend von vielen Seiten genutzt, auch von deutschen staatlichen Stellen. Cloudflare kopiert dabei auch programmierte Skripts und pflegt sie gleichsam als eigene Skripts in das Web-Angebot ein. Zudem schützt Cloudflare Webseiten, die von ihnen ausgeliefert werden, zusätzlich durch eigene Sicherheitselemente.

      Bei den Skripts handelt es sich um Sicherheitselemente, die auch leider erforderlich sind. In Nummer 7.3.5 der Datenschutzerklärung sind zur Begründung der Sicherheitsmaßnahmen Zahlen hinterlegt, die vor dem Einsatz von Cloudflare von den von mir selbst eingerichteten Sicherheitssystemen rückgemeldet worden sind. Seit dem Einsatz von Cloudflare sind sie etwas zurückgegangen. In den vergangenen sieben Tagen wurden von meinen eigenen Sicherheitssystemen nur noch 13 harte Versuche abgewehrt, die Webseite zu “übernehmen”.

      Verschiedene Bots versuchen dennoch weiterhin, Spam-Kommentare abzuladen, die in etwa “Themen” aufgreifen, wie man sie auch von Spam-Mails kennt, also die männliche oder finanzielle Potenz. Diese werden automatisch ausgefiltert. Im Januar 2018 gab es hierzu ebenfalls 13 Versuche, im Dezember 2017 waren es 25; Spitzenreiter der vergangenen zwölf Monate war der August 2017 mit 89 Versuchen, Spam-Kommentare zu hinterlassen. Cloudflare selbst wehrt dies nicht ab, so dass hierzu – sehr zuverlässig – “Akismet” eingesetzt wird, was in Nr. 7.18 der Datenschutzerklärung erläutert wird; zudem wird hierzu noch das individuelle Einverständnis der Nutzer eingeholt.

      Die vorgefundenen Skripte werden also eben verwendet, um dem “Zeitalter von allen möglichen Bedrohungsszenarien” gerecht zu werden. Eine realistische Gefahr einer Haftung sehe ich hier nicht. Bei der Auswahl von Cloudflare habe ich die erforderliche Sorgfalt aufgewendet, so dass ich nach § 831 Absatz 1 Satz 2 BGB von einer Haftung für deren Skripte befreit bin. Und eine vertragliche Haftung gegenüber den Besuchern meiner Website besteht nicht. Außerdem müssten angeblich Geschädigte mir nachweisen, dass ein Besuch meiner Website für einen Schaden an ihrem Rechner ursächlich ist, und nicht etwa das Hantieren mit irgendwelchen Add-Ons, wie zum Beispiel Ad-Blockern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ich stimme mit dem Absenden der Nachricht zu, dass der Betreiber dieser Webseite meine hier eingegebenen Daten speichert und verwendet, damit er die Anfrage bearbeiten, die Veröffentlichung prüfen und vornehmen und gegebenenfalls auf sie antworten kann. Ich stimme auch zu, dass die übermittelten Daten automatisch danach überprüft werden, ob sie wahrscheinlich von einem Menschen und nicht von einem Bot stammen. Hierzu gelten unsere Hinweise zum Datenschutz, Sie müssen nicht Ihren wirklichen Namen verwenden.