Javaskript zu connect.facebook.com notwendig?

[Sandmännchen]

Noscript zeigt bei mir an, dass SSL Javaskripte von Facebook einbindet. Im Quellcode steht das etwas eigenartig:

Code: [Auswählen]

<script>
window.fbAsyncInit = function() {
FB.init();
};

(function(d, s, id){
var js, fjs = d.getElementsByTagName(s)[0];
if (d.getElementById(id)) {return;}
js = d.createElement(s); js.id = id;
js.src = "//connect.facebook.net/de_DE/sdk.js#xfbml=1&version=v2.3";
fjs.parentNode.insertBefore(js, fjs);
}(document, "script", "facebook-jssdk"));
</script>
Ich bin kein Experte für JavaSkript, aber mir scheint, dass hier auf obskude Weise ein Script-Codeblock eingefügt wird, der Code von Facebook in die Seite übernimmt.

Generell ist das Einbinden von Skripten fremder Seite ein Sicherheitsfiasko, da man kaum verhindern kann, dass die fremde Seite die Darstellung der eigenen Seiten völlig verändert und darüber Phishing u.a. möglich ist. Außerdem können darüber Nutzungsdaten gewonnen werden. Wenn man zeitgleich bei Facebook eingeloggt ist, hat Facebook damit die Information darüber, welcher Facebook-Account welchem SSL-Account entspricht.

Bei Facebook geht mein Vertrauen dann sowieso nochmal gegen Null.

Bin ich hier auf dem Holzweg? Oder ist das aus irgendeinem Grund zwingend notwendig?

[SSL-Admin]

Geschätztes Sandmännchen,

das Javascript wird für die Einbettung von Facebookbeiträgen benötigt. Auch wenn wir dir recht geben und die Einbettung von fremden Skripten ein Sicherheitsrisiko darstellen kann, halten wir die Gefahr die vom Facebook-JS-SDK ausgeht für überschaubar. Die von uns eingesetzte Trackingsoftware Matomo ehemals Piwik lädt die Skripte übrigens auf eine ähnliche Weise. Generell geht die fancy Web x.0 Entwicklung generell dazu über Frameworks nur noch aus CDNs zu laden.
Dein Argument bzgl. der Daten die Facebook damit gewinnen könnte ist berechtigt. Ist man bei Facebook angemeldet wird Facebook eine Verbindung zu allen eingebetteten Beiträgen herstellen können.
Ob Facebook tatsächlich die von der Forensoftware SMF gesetzten Cookies auswertet (welche in keiner Installation denselben Namen haben) entzieht sich unserer Kenntnis.

Bei Zweifeln bleibt einem die Option über Addons wie NoScript oder Adblock die Skripte der Domain *.facebook.* zu blockieren. Wir machen doch nur Angebote.

In mütterlicher Liebe
SSL-Admin

[Nordmann]

Ich hab mal eine Umfrage angehängt. Vielleicht sollten wir dieses Thema erneut diskutieren. Meiner Meinung nach ist die Integration hier nicht wirklich sinnvoll. Ich kann auch auf einen Link klicken und ein Screenshot hält den Irrsinn besser fest, als ein möglicherweise sehr kurzlebiger Komentar auf Facebook.
Auf der anderen Seite müsste man dann aber auch die Youtubeintegration kritisch hinterfragen ...

[lobotomized.monkey]

Ich bin bei der Diskussion auf Seite des geliebten Staatsvolks, das nur die geliebte Regierung als Regierung akzeptiert.
Aus diesem Grunde wäre es mir gelegen, wenn FB und andere "informationsverarbeitende Unternehmen" möglichst wenig Infos über meinen account hier erfahren. Bisher habe ich versucht meine Realweltdaten, z.B. meine Mobilrufnummer, vor FB zu verbergen.
Ich würde es gerne vermeiden, dass meine Pseudonym eben nicht mit Echtdaten, wie z.B. meiner Mobilrufnummer, verknüpft wird. Bei der letzteren gibt es inzwischen über die Ausweispflicht handfeste Hinweise auf meine Realweltidentität inkl. einer Wohnadresse.
Bei unerwarteten Besuch von Erwachten könnte das meinen Mitbewohnern eventuell nicht gefallen und die ♥♥♥ ist am Dampfen.

[Schattendiplomat]

Ganz klare Sache:
* es schadet Niemandem
* die Vorschau ist ausgesprochen nützlich

Darüber hinaus bin ich grundsätzlich ganz klar gegen das nachträgliche Entfernen unproblematischer Features.
Daher auch hier!