JavaScript-Miner: Neue Einnahmequelle für Websites?

Dieser Beitrag wurde ursprünglich auf datenschutzhelden.org unter der „Creative Commons Attribution 4.0 International License“ veröffentlicht. Den Original-Artikel kannst du dir bei archive.org ansehen.

Nerven euch Captchas nicht auch total? Und Werbung auch? Verständlich. Eventuell gibt es da in Zukunft für beides gleichzeitig eine Lösung, die gut für Websites und nicht zu lästig für ihre Besucher ist. Coinhive hat einen sogenannten JavaScript-Miner entwickelt, über den Websites digitales Geld mit der Rechenleistung ihrer Besucher erwirtschaften können. Was erst mal seltsam klingt, kann für Website-Betreiber und -Besucher eine Win-Win-Situation sein.

  • JavaScript-Miner:
    Das JavaScript wird in Websites eingebunden, um über die Hardware der Besucher Monero-Guthaben — eine Kryptowährung vergleichbar mit Bitcoin und Ethereum — zu schürfen. Wie “stark” der Miner schürft, kann dabei individuell angepasst werden. Dadurch können Websites werbefrei bleiben und trotzdem Einnahmen generieren. Das ist gut für den Datenschutz, weil das Tracking für Werbezwecke komplett wegfällt.
  • Captcha:
    Der Captcha-artige Spam-Schutz schürft ebenfalls kurzzeitig Kryptowährung. Der Schutz besteht darin, dass der Zugriff auf eine Site für einen Angreifer ökonomisch unattraktiv wird. Die CPU wird beim Lösen des Captchas zwischen 10 Sekunden (Gaming-PC) und über 60 Sekunden (Handy) stark belastet. Für den Menschen an diesem Gerät ist das allerdings weitaus angenehmer als das Lösen der “Bilder-Rätsel” bei Googles weit verbreitetem reCaptcha-Dienst. Auch diese Lösung ist gut für den Datenschutz, denn Google sammelt bei jedem Captcha fleißig Daten. Das fällt dann natürlich weg.

Einsatz und Verbreitung

Ein Sicherheitsforscher fand heraus, dass bereits knapp 2.000 der nach Alexa-Ranking Top-Millionen-Websites das Script von Coinhive einbinden — Tendenz steigend. Wie viel Geld die Sites einnehmen, ist natürlich von der Besucherzahl und Mining-Dauer abhängig. Die Torrent-Indexierungssite Pirate Bay testet den Miner seit wenigen Wochen und kann laut einer Berechnung von TorrentFreak bei 315 Millionen Besuchern mit monatlichen Einnahmen von 12.000$ (zirka 10.000€ ) rechnen. In einem Gerichtsverfahren gegen die Site im Jahr 2009 gab die Verteidigung an, dass die Betriebskosten bei etwa 9.200$ (damals zirka 7.150€ ) liegen. Tendenziell sollten die heute auch höher liegen, entsprechend würden sich die Einnahmen und Kosten in diesem Fall vermutlich ungefähr decken. Dieser Test sorgte aber direkt für negative Schlagzeilen. Der Betreiber hielt es nicht für nötig, seine Nutzer über den Miner zu informieren, der im Hintergrund unter Volllast läuft. Die Aufregung war groß, als Nutzer das über ihre CPU-Auslastung feststellten.

Die Entwickler trifft dabei keine Schuld. In ihrer Dokumentation weisen Coinhive ausdrücklich darauf hin, dass Nutzer über den Einsatz ihrer Software informiert werden sollten:

“While it’s possible to run the miner without informing your users, we strongly advise against it. You know this. Long term goodwill of your users is much more important than any short term profits.”

Nachdem diverse Sites diesen Appell ignorierten, wollen die Entwickler nun selbst aktiv werden und sicherstellen, dass nur mit ausdrücklicher Einwilligung des Nutzers über ihre Server geschürft werden kann. Ob damit das Problem dauerhaft gelöst ist, bleibt abzuwarten.

Parallelen zur Werbung

Das junge Geschäft mit den Minern kann von der Werbung im Internet lernen — vor allem von ihren Fehlern. Website-Betreiber, die den Hals nicht voll kriegen und immer mehr und immer nervigere Werbung schalten. Werbenetzwerke so groß und wissbegierig, dass sie jeden Geheimdienst in den Schatten stellen. Die Reaktion: Nutzer wollen sich davor schützen und installieren Adblocker in ihren Browsern.

Trotz der angekündigten Gegenmaßnamen der Entwickler, können wir nicht ausschließen, dass es wieder zu Missbrauch kommt. Nicht zuletzt auch, weil Coinhive vermutlich nicht lange der einzige namhafte Anbieter bleiben wird. Deswegen könnte es den JavaSript-Minern bald wie der Werbung gehen. Obwohl sie bisher kaum verbreitet sind, wird schon jetzt diskutiert, wie man sie wieder los wird. Verständlich. Wie stark der Miner die CPU belastet, entscheidet die Website. Wir müssen also vom schlimmsten Szenario ausgehen. Wer möchte schon für die Dauer eines Seiten-Besuchs seine CPU komplett ausgelastet bekommen? Vor allem für die Akkulaufzeit von Mobilgeräten ist das Gift. Denn das Mining bezahlt ihr über die Stromrechnung. Und wenn dann statt sauberer Kommunikation noch Schweige-Taktik gefahren wird, bricht die letzte Unterstützung für Website-Betreiber weg.

Nicht nur Nutzer sehen Handlungsbedarf. Das Unternehmen Cloudflare sieht Miner als Schadware, wenn die ohne Wissen der Nutzer ausgeführt werden, und verbannte deswegen bereits eine Site aus seinem Netzwerk.

Letztlich kann auch hier die Gier von Wenigen das eigentlich tolle Konzept “JavaScript-Miner” für alle anderen kaputt machen — so wie es bei Werbung auch war. Dann macht keiner mehr seinen Ad- und Scriptblocker aus, egal wie “akzeptabel” die Werbung ist, wie geringfügig der Miner die CPU belastet und wie sehr die Betreiber auch betteln.

JavaScript-Miner aussperren

Die Miner setzen mittlerweile auf verschiedene Domains, deswegen reicht es nicht mehr, nur Skripte von coin-hive.com zu blockieren. Mit uBlock Origin könnt ihr das aber einfach den Filterlisten überlassen. Folgende Filterlisten solltet ihr aktivieren:

  • uBlock filters – Resource abuse
  • EasyPrivacy

Fazit

Wenn JavaScript-Miner richtig eingesetzt würden — das heißt volle Transparenz für Site-Besucher –, wären sie ohne Zweifel eine bessere Alternative zum Finanzierungsmodell mit Werbung. Dafür müsste jeder Besucher selbst die Möglichkeit haben zu entscheiden, ob und wie stark der Miner schürft — denn nur er weiß, welche Hardware-Ressourcen er gerade zur Verfügung stellen kann. Allerdings sieht es momentan nicht danach aus.

Es bleibt nur zu hoffen, dass wenigstens die Captcha-Variante größere Verbreitung findet. Denn die ist aus unserer Sicht wirklich gut und kann nicht so leicht missbraucht werden.

– Eure Datenschutzhelden

Beitrag teilen
Share on twitter
Share on facebook
Share on linkedin
Share on email
Share on print
Beitrag teilen
Share on whatsapp
Share on telegram
Share on twitter
Share on facebook
Share on linkedin
Share on email

Ähnliche Artikel

Featured Image Datenschutzhelden

OMEMO: XMPP im Direktvergleich mit WhatsApp

Seit den Snowden Enthüllungen ist klar, dass unsere Kommunikation einer vollumfänglichen Überwachung unterliegt. Als Gegenmaßnahme haben Websites weitflächig eine Transport- und praktisch alle nennenswerten Messenger eine Ende-zu-Ende-Verschlüsselung implementiert. Für den mobilen Gebrauch hat sich das Verschlüsselungsprotokoll von Signal (Signal-Protokoll) als

Weiterlesen »
Featured Image Datenschutzhelden

Firefox: Original vs. Forks

Mozilla hat mit dem Firefox-Browser in jüngerer Vergangenheit immer wieder Entscheidungen getroffen, die eure Privatsphäre betreffen — und das nicht nur im Positiven. Aber keine Panik, auch für eingefleischte Firefox-Fans gibt es Alternativen: Forks. Aber sind die empfehlenswerter als das

Weiterlesen »
Featured Image Datenschutzhelden

Krypto-Miner auf dem Weg zur Intransparenz

Fefes Blog berichtet über einen Entwickler, dem anscheinend angeboten wurde, einen Krypto-Miner in seine mobile App zu integrieren, um darüber Einnahmen zu generieren. Der im Beitrag anonymisierte Anbieter scheint damit direkt Android- und Apple-App-Entwickler anzusprechen und eine einfache und zugleich

Weiterlesen »
Featured Image Datenschutzhelden

Dateiverschlüsselung mit VeraCrypt

Wollt ihr auch wie in den Hollywood-Filmen oder im Tatort eure Daten so stark verschlüsseln, dass keiner mehr ran kommt? Wollt ihr zu der elitären Gruppe gehören, die einen USB-Stick einfach verlieren kann, ohne sich Gedanken über die darauf gespeicherten

Weiterlesen »
Featured Image Datenschutzhelden

Messenger: OMEMO-Implementierung für Zom abgeschlossen

Zom ist ein kostenloser, auf Benutzerfreundlichkeit getrimmter Messenger für iOS und Android. Laut Are we OMEMO yet? ist auch er nun OMEMO-fähig. Wir haben die aktuelle Android-Version aus Google Play getestet und können bestätigen, dass OMEMO-verschlüsselte Nachrichten, Bilder, Videos und

Weiterlesen »
Featured Image Datenschutzhelden

Ausgespäht im Supermarkt

ZDF WISO berichtet darüber, wie Supermärkte die Handy-Funkschnittstellen ausnutzen, um euch auszuspionieren. Außerdem werden Kameras dazu eingesetzt, personenbezogene Werbung einzuspielen: Euer Gesicht wird gescannt, um darüber euer Alter und Geschlecht zu bestimmen. Im Videobeitrag kommen auch Vertreter von Digitalcourage zu

Weiterlesen »

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Scroll to Top