Anzeige
Anzeige
News
Artikel merken

Gravatar: So leicht kommen Schnüffler an deine E-Mail-Adresse

Gravatar ist ein beliebter Service um ein selbst gewähltes Benutzerbild mit der eigenen E-Mail-Adresse zu verknüpfen. Problematisch ist der Umstand, dass die eigene E-Mail-Adresse als MD5-Hash in der entsprechenden Bild-URL zu finden ist. Ein Sicherheitsexperte konnte damit 45 Prozent aller E-Mail-Adressen des größten politischen Internet-Forums in Frankreich auslesen.

2 Min. Lesezeit
Anzeige
Anzeige

Gravatar: Identität ist kaum geschützt

Gravatar steht für „globally recognized avatar“ (global anerkannter Avatar). Der Dienst wurde 2007 vom Word-Press-Anbieter Automattic übernommen. Der Dienst verknüpft ein Profilfoto mit einer E-Mail-Adresse, sodass für Kommentar beispielsweise in Blogs automatisch der passende Avatar eingeblendet wird. An sich eine praktische Sache, so muss man nicht für jeden Dienst einen eigenen Avatar hochladen. Allerdings ergeben sich aus der Nutzung gewisse Probleme im Bezug auf den Schutz der eigenen Privatsphäre.

Anzeige
Anzeige

Dier Verbindung zwischen der E-Mail-Adresse und dem dazu passenden Bildchen stellt der Dienst anhand einer kryptografischen Hashfunktion her. Im Falle von Gravatar handelt es sich um den Message-Digest Algorithm 5 (kurz MD5), der aus der Adresse einen zumindest theoretisch eindeutigen Wert berechnet. Da dieser Hashwert in der URL des bei Gravatar hinterlegten Bildes enthalten ist, ist es möglich, die E-Mail-Adresse des Nutzers herauszufinden.

Gravatar: Anhand des E-Mail-Hashs lässt sich die Adresse herausfinden. (Screenshot: Gravatar)

Gravatar: Anhand des E-Mail-Hashs lässt sich die Adresse herausfinden. (Screenshot: Gravatar)

Der Sicherheitsexperte Dominique Bongard konnte so die E-Mail-Adressen von 45 Prozent aller Nutzer des bekanntesten französischen Internet-Forums für politische Diskussionen ermitteln. Abhängig vom Standort des eigenen E-Mail-Anbieters sollte es für Strafverfolgungsbehörden oder Geheimdienste kein größeres Problem darstellen, von dem Provider mit genaueren Angaben zu der Person versorgt zu werden. Und auch andere Menschen könnten ein Interesse daran haben herauszufinden, wer einen bestimmten Beitrag verfasst hat. Gerade im Bezug auf politische Meinungsäußerungen ist die Tatsache durchaus bedenklich.

Anzeige
Anzeige

Anonym trotz Gravatar?

Natürlich besteht immer die Möglichkeit, eine ansonsten ungenutzte E-Mail-Adresse zu verwenden, die kaum Rückschlüsse auf die eigene Person zulässt. Wer aber tatsächlich um die eigene Anonymität im Netz bemüht ist, sollte um Gravatar wohl eher einen Bogen machen.

Anzeige
Anzeige

Weiterführende Links zum Thema „Gravatar“

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
7 Kommentare
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Dentaku

Sich nicht bei Gravatar anzumelden verhindert diesen Angriffsvektor aber überhaupt nicht: auch die URLs der Ersatzbilder (Indenticon, Wavatar,…), die für Kommentatoren ohne Gravatar angezeigt werden, enthalten denselben Hash.

Wer seine Mailadresse geheimhalten muss, der sollte sie nicht zum Kommentieren verwenden.

Antworten
Rico Weigand

@Dentaku Mit einer falschen Mail-Adresse ist das aber auch wieder hinfällig :)

Antworten
Nico

Wieso nicht einfach eine extra Gravatar-Adresse einrichten wie gravatar@domain.tld ?
Somit ist das Problem bei Webmaster/Admins schon mal gemindert.

Antworten
Thomas Quensen

GMail-Nutzer können auch einfach mit einem + einen beliebigen Text hinter die Email-Adresse hängen
z.B. statt meinname@gmail.com einfach meinname+kommentarauft3nde@gmail.com
Anderer HASH, Mails kommen aber trotzdem durch

Antworten
Frank

Hallo!

Ihr setzt ja nun selber Avatare von gravatar.com hier in den Kommentaren ein. Mich würde interessieren, warum ihr einerseits glaubt, dass das nicht ebenso abmahngefährdet ist wie die direkt per iframe eingebundenen Social Buttons – denn secure.gravatar.com löst auf Server in Texas auf und übermittelt ungefragt IP etc., also perrsonengebundene Daten dieses Artikellesers, in die USA; und andererseits frage ich mich, warum ihr bei der Kommentar-E-Mail-Adresse erklärt: „wird nicht veröffentlicht“ und zugleich im Artikel beschreibt, also wisst, dass ein Derefenrenzieren der E-Mail-Adresse von gravatar.com-Usern über die URL zum Avatar möglich ist und somit die Preisgabe der E-Mail riskiert.

Echtes Interesse :-)

Liebe Grüße aus Wien,
Frank

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige