Follow

Unverständlich, wie manche »Have I been pwned« vertrauen:
- dc.services.visualstudio.com
- stats.g.doubleclick.net
- www.google-analytics.com
- www.google.com
- www.gstatic.com
- [...]

Ist schon seit 2017 so. 🤪

kuketz-blog.de/have-i-been-pwn

@kuketzblog was hälst du von der Mail und Telefonnummer Prüfung dort?
Weißt du ob es da Alternativen/die auch zum Download gibt?

@laenan Das gleiche. Wer solche Daten gerne im Beisein von Google- und Microsoft-JavaScript-Gedöhns angibt - bitte. Ich würde es nicht tun.

@laenan @kuketzblog Mozilla bietet mit monitor.firefox.com eine Möglichkeit seine Email zu prüfen. Die benutzen auch die haveibeenpwned-Datenbank, aber die Seite enthält keine Tracker.

@laenan @kuketzblog Alternativen gibt es nicht und das ganze lokal zu machen ist ziemlich Bandbreiten intensiv, da man dafür wohl einige Gigabyte herunterladen müsste.

@kuketzblog Mein erster Blick geht immer auf das uMatrix-Icon in der Browserleiste rechts oben, dann weiß ich direkt an der knallroten Farbe, dass ich gleich wieder gehen sollte.

@kuketzblog
Die Range API funktioniert immer noch, ohne jegliches 3rd-party Geraffel und mit nur den ersten 5 Zeichen des SHA1. (wenn man nicht alle SHA1s runterladen will).
haveibeenpwned.com/API/v3#Sear

@kuketzblog
Das Google eingebunden wird, ist natürlich doof, aber was spricht grundsätzlich gegen solche Dienste, wenn das wie von Troy Hunt gehashed wird?

@kuketzblog Ja, Google ist böse, aber ich meinte, was abseits davon generell gegen solche Dienste spricht?

@kuketzblog Achso, ich hatte mich unverständlich ausgedrückt. Ich meine solche Passwort-Prüfdienste, weil du ja schreibst: "Sowas nutzt man nicht."

@kuketzblog Wir sollten dabei auch die Nutzung des US amerikanischen MITM Proxy Cloudflare nicht vergessen. ;)

Empfehlung des Hauses: github.com/traktofon/cf-detect

@kuketzblog
Das findet man doch auf den meisten Webseiten. Wer das nicht möchte, muss sich sowieso darum kümmern.
Funktionieren tut die Seite auch mit deaktivierten Scripten und Cookies...

@albert_magellan Das ist der falsche Ansatz. Klar kann sich ein kleiner Teil davor schützen, der sich »auskennt«. Und den Rest überlassen wir dann den Datenkraken? Also ich nicht. 😉

@kuketzblog Ich finde es natürlich auch doof, dass überall Google eingebunden ist und das muss man dem Dienst auf jeden Fall negativ anrechnen, aber ich meine, "wer sich nicht damit auskennt" hat die Daten ja wahrscheinlich in den meisten Fällen sowieso schon auf der betreffenden Seite im Beisein der Scripte eingegeben.

@kuketzblog @albert_magellan Es wäre schön wenn du statt "Datenkrake" einen anderen Begriff nutzt, da Krake ein antisemitischer Stereotyp für eine jüdische Weltverschwörung ist und es sich bei Google usw ja um globale Konzerne handelt.

@mo_krauti
Wirklich?
Datenkrake ist doch ein feststehender Begriff, der nichts mit Antisemitismus zu tun hat. 🤔 @kuketzblog @albert_magellan

@kuketzblog deren Passwort-API steuere ich direkt an. Da wird nichts getrackert.

@kuketzblog

"Aber, aber, das sind doch alles große Konzerne! Noch dazu amerikanische! Das sind doch die Guten!1!! Außerdem geht das doch gar nicht anders!!1!"

@kuketzblog vielleicht sollte man die Site auf 'Idliketobepawned' umfirmierebln?

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!