Stoppt die Vorratsdatenspeicherung! Jetzt klicken &handeln! Willst du auch an der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien:
PucksPage
puckspage / posts /

JWPlayer ist ein Trojaner

Der Video-Player für Webseiten "JWPlayer" gibt Informationen über die Webseitenbesucher an www.longtailvideo.com weiter. Zumindest die IP gibt er weiter, indem er ein Bild von longtailvideo.com lädt. Longtailvideo weist nicht oder kaum auf dieses "Feature" hin, wenn man sich den Player von der Seite besorgt. Ich habe keinen Hinweis gefunden. Stattdessen musste ich eine E-mail-Adresse angeben.

Aufgefallen ist mir das Verhalten erst, als ich den Player mit einer fehlerhaften Seite ausprobierte, die besonders lange zum Laden brauchte. Im Firefox wurde die Verbindung zu longtailvideo.com kurz angezeigt. Nachgeguckt, und es fiel mir noch ein LSO-Flash-Cookie auf, das meine Seite setzte. Möglicherweise wird dieses Cookie auf allen Seiten, die den JWPlayer eingebunden haben, ausgelesen, wenn das Bild nachgeladen wird. So wäre eine Verknüpfung der Daten von Webseitenbesuchern möglich, die mehrere Seiten mit dem JWPlayer besuchen. Dies ist aber nur eine Vermutung.

"Open Source": ha, ha, ha

Ich konnte jedenfalls nicht genau herausbekommen, was der JWPlayer macht. Er nennt sich "Open Source". Sein Java-Skript-Code ist aber nur in einer unleserlichen Version herunterladbar: Der Code ist "minimiert", für möglichst wenige Daten. Mag ja sein, dass das für Java-Skript-Code auf Webseiten üblich ist, damit die Ladezeit gering ist. Wenn ich den Code herunterlade, will ich ihn aber verstehen. Entsprechende Shell-Befehle, um ihn zu minimieren, sollten im Make-Skript enthalten sein. (Anmerkung: Im Code sind sogar Variablennamen und Funktionsnamen gekürzt, d.h. man braucht sogar einen Parser, um die minimierte Datei herzustellen, einfache Shell-Skripte reichen nicht aus. Aber die Tools gibt's bestimmt auch Open-Source. Also ist auch das kein Grund, nur die minimierte Datei zu liefern und das ganze "Open Source" zu nennen.)

Kurz und gut, ich konnte den JWPlayer zwar verändern und compilieren, aber ich konnte nicht sicherstellen, dass das veränderte Programm nicht noch irgend einen Kram macht, der die Anonymität meiner Besucher verletzt.

Meine Seite ist protokollierungsfrei. Ich will mich zum Programm "Wir speichern nicht" des AK Vorrat anmelden. Das wäre ein Reinfall geworden, wenn meine Seite geprüft worden wäre und durchgefallen wäre.

Tracking darf nicht entfernt werden

Wenn ich den JWPlayer protokollierungsfrei gemacht hätte, hätte ich möglicherweise die Lizenz des JWPlayer verletzt. Es ist geschickterweise eine CC-Lizenz, die normalerweise für künstlerische Produke gedacht ist und eine Nennnung des Urhebers in der vom Urheber genannten Weise verlangt. Die hätte ich verletzt, wenn ich nicht herausbekommen hätte, was für ein Logo der JWPlayer da wie verarbeitet, und dies ohne Fremd-URL-Zugriff nachgemacht hätte. Wahrscheinlich ist das Logo selbst auch Copyright geschützt, so dass ich es nicht auf meinem Webserver zur Verfügung hätte stellen dürfen.

Du bist nicht der Kunde, sondern das Produkt...(externer Link)

So, JWPlayer ist ein perfides Trackingprogramm, so nenne ich es mal. Wahrscheinlich sind die gesammelten Daten ein großer Teil des Geschäftsmodells von Longtailvideo, dem Hersteller von JWPlayer.

Lösung: Html5

Noch einen anderen Player auszuprobieren, hatte ich dann keine Lust mehr. So müsst ihr mit HTML5 Vorlieb nehmen. Dabei ist der Player im Browser eingebaut. Leider sind nur bestimmte Video- und Sound-Codierungen in den Browsern eingebaut. So musste ich die Videos mit ffmpeg umcodieren, was insbesondere bei der ogv-Version für Opera und Firefox zu Qualitätsverlusten führte. Benutzer älterer Browser können die Videos nur downloaden und den Player benutzen, den sie auf ihrem Desktop haben.