Was bedeuten die ultra-langen Links von geocaching.com (und anderen)

[Bergbauer]

​

Wenn Groundspeak einen Newsletter verschickt und ein Link darin enthalten ist, dann verbirgt sich hinter der Schaltfläche "Learn more" ein Link mit mehr als 420 Zeichen. Der sieht ungefähr so aus (ein paar Zeichen habe ich verändert)

https://links.iterable.com/u/click?_t=ebeb90097796484ba440ad730ed180d1&_m=c00b256132b749ce90e97bd06eb76a02&_e=bvwU3Wj0mYk_thepFGUtWYohbsAmiz8V_75JPiNHpfiXt6ZDEoDcwtV-yB100xmU78tQMN6rLA6eaaicjV4bvPT9yhQ-3E_wU08c0ARq7HOgpc9wPIC8jJb3ctzlFRefCzgLld2Tfbay30k3h05R4J1GRHs-iaMKyyq9S3teuz-ZxoRUSESnUfOMl1s2uqOQeXq8-IwJNqNUBRW7D2V3ZzyQJfmOqq1hh80YNFD_ZHqCPBnIDYKwjT29DkU92kG9LVaXAethTbfyZy-v2h7wEbLe13UGKPDw2jJcYn-Fic0mLDCsVnhymVBeXicPWxlv6oOfKLh4AzXY_kTvi1VWIw==

Ich bekomme Mails mit solchen ultra-langen Links auch von anderen als seriös einzustufenden Absendern. Es ist also kein Spam, kein Scam, kein Phishing, man will mir auch keinen Trojaner unterjubeln. Ich frage mich aber, ob dieser Link personalisiert ist, sodass jeder Empfänger eine andere URL bekommt und das Aufrufen des Links eine Tracking-Methode ist, mit der ein einzelner User (oder zumindest seine Mailadresse) identifiziert werden kann.

Ich habe natürlich schon danach gegooglet und auch geschaut, was der Anbieter iterable.com dazu schreibt. Da ist u.a. von "Link Tracking Domains" die Rede, aber es wird nicht erklärt, ob ein Link bis zum einzelnen User zurückverfolgbar ist:
https://support.iterable.com/hc/en-...6-Configuring-HTTPS-for-Link-Tracking-Domains

Sicherlich will jeder Seitenbetreiber seinen Traffic irgendwie analysieren. Aber beim Besuch der Website habe ich ja auch nicht so komische URLs.
Außerdem sagt man ja ganz allgemein, dass man beim Aufrufen einer URL aus einer Mail heraus erst mal den Link überprüfen soll, bevor man wild alles Mögliche anklickt. Bei einem Link wie dem obigen weiß man ja aber kaum, wo man landet.

Ist das also nur ein ganz unbedenkliches Analysetool oder es gibt es Bedenken bezüglich der Privatsphäre beim Aufruf eines solchen Links?

 

[hkseifert]

Die Länge eines Links hat keine Relevanz, entscheidend ist die zum einen Mail-Adresse des Versenders und zum anderen die verwendete Domain/Subdomain im Link - in diesem Falle (vermutlich) geoaching.com und iterable.com. Beide Domains sollten vertrauenswürdig sein , d. h. der Internetauftritt sollte funktional und aussagekräftig, ein Impressum und ein valides Zertifikat (für den Aufruf via https://) vorhanden sein. Auch Ergebnisse von Suchmaschinen können zur Informationsgewinnung bzgl. der Seriosität der Domains nützlich sein.

Links von Newslettern bzw. für Marketing-Kampagnen sind immer etwas länger, da die einzelnen Parameter (diese sind mit "&" getrennt) darin für Tracking und Auswertungen genutzt werden. Nur weil ein Link ungewöhnlich lang ist, muss man nicht gleich Sicherheitsbedenken haben.

Grundsätzlich sollte m. E. jeder seinen Browser in Sachen Tracking & Datenschutz passend konfigurieren und am besten nur im Incognito-/Privat-Modus surfen, damit wenig bis keine Daten von Dritten erfasst werden. Und im Zweifelsfall lieber einmal zu wenig auf einen Link klicken, sondern direkt auf die Originalseite (geocaching.com) gehen und dort nach der Information aus dem Newsletter suchen.

 

[radioscout]

Dazu gibt es einen sehr interessanten Artikel im FoeBuD-Blog:

https://dereferer.me/?https://digitalcourage.de/digitale-selbstverteidigung/was-ein-link-verraet

 

[RSKBerlin]

sehr interessanten

Geht so. Mich haben die Autor:innen[sic!] hier verloren: "Bei „https“ ist das „s“ wichtig. Es steht für sicher."

Hierzu mal eine Stellungnahme von Profis:

BSI - Wie erkenne ich Phishing in E-Mails und auf Webseiten?
Vielleicht haben Sie früher einmal gehört oder gelesen, dass die Abkürzung "https://" im Internetadressfeld Ihres Browsers für eine gesicherte Verbindung und folglich für eine vertrauenswürdige Website steht. Tatsächlich signalisiert die Abkürzung, dass der Betreiber ein sogenanntes SSL-Zertifikat für seine Seiten erworben hat. Genau dies tun aber auch immer mehr Phishing-Betrüger, um den Anschein der Vertrauenswürdigkeit zu erwecken. "https://" bedeutet heute also keine Entwarnung mehr.
Retrieved on 20241206-0216 (GMT+1) from https://www.bsi.bund.de/DE/Themen/V...ishing-in-e-mails-und-auf-webseiten_node.html

Der digitale Verbraucherschutz des Bundesamtes für Sicherheit in der Informationstechnik ist eine leider völlig unterschätzte Quelle von Expertenwissen.

 

[SammysHP]

ein paar Zeichen habe ich verändert

Mit dem originalen Link könnte man schauen, was dort für Daten enthalten sind. Neben einigen Tracking-IDs dürfte der base64-codierte Teil ganz interessant sein.

 

[Fadenkreuz]

... entscheidend ist die zum einen Mail-Adresse des Versenders und zum anderen die verwendete Domain/Subdomain im Link - in diesem Falle (vermutlich) geoaching.com und iterable.com. Beide Domains sollten vertrauenswürdig sein , d. h. der Internetauftritt sollte funktional und aussagekräftig, ein Impressum und ein valides Zertifikat (für den Aufruf via https://) vorhanden sein. Auch Ergebnisse von Suchmaschinen können zur Informationsgewinnung bzgl. der Seriosität der Domains nützlich sein.

Dann rufe doch mal iterable.com auf. Was ist dann der Erkenntnisgewinn? Und warum sollte man, um einen Link zu einem Groundspeak-Newsletter aufzurufen, erst "Suchmaschinen zur Informationsgewinnung" nutzen müssen?

Nur weil ein Link ungewöhnlich lang ist, muss man nicht gleich Sicherheitsbedenken haben.

Es war ja auch gar nicht von Sicherheitsbedenken die Rede (im Gegenteil, die wurden deutlich ausgeschlossen), sondern von Bedenken bezüglich der Privatsphäre. Ist denn nun der Link trackbar oder nicht? Ist der Aufruf des Links eindeutig der Mailadresse zuzuordnen oder nicht?

Grundsätzlich sollte m. E. jeder seinen Browser in Sachen Tracking & Datenschutz passend konfigurieren und am besten nur im Incognito-/Privat-Modus surfen, damit wenig bis keine Daten von Dritten erfasst werden. Und im Zweifelsfall lieber einmal zu wenig auf einen Link klicken, sondern direkt auf die Originalseite (geocaching.com) gehen und dort nach der Information aus dem Newsletter suchen.

Alles richtig, aber leider auch völlig an der Fragestellung vorbei. Du wiederholst eigentlich nur, was der TE schon schrieb.

 

[Fadenkreuz]

Dazu gibt es einen sehr interessanten Artikel im FoeBuD-Blog:

https://dereferer.me/?https://digitalcourage.de/digitale-selbstverteidigung/was-ein-link-verraet

Gut, dass da mittlerweile auch die Original-Adresse erkennbar ist. Nervig sind nämlich Adressen von URL-Shortenern, wie https://tinyurl.com/58huaanp

 

[radioscout]

Genau darum nutze ich dereferer.me.
Außerdem kann alles vor dem Punkt mit vier direkt neben- und übereinanderliegenden Tasten geschrieben werden.

 

[hkseifert]

Dann rufe doch mal iterable.com auf. Was ist dann der Erkenntnisgewinn? Und warum sollte man, um einen Link zu einem Groundspeak-Newsletter aufzurufen, erst "Suchmaschinen zur Informationsgewinnung" nutzen müssen?

Es war ja auch gar nicht von Sicherheitsbedenken die Rede (im Gegenteil, die wurden deutlich ausgeschlossen), sondern von Bedenken bezüglich der Privatsphäre. Ist denn nun der Link trackbar oder nicht? Ist der Aufruf des Links eindeutig der Mailadresse zuzuordnen oder nicht?

Alles richtig, aber leider auch völlig an der Fragestellung vorbei. Du wiederholst eigentlich nur, was der TE schon schrieb.

Wollte meine Informationen eher allgemeingültig halten und nur am Rande auf diesen konkreten Fall eingehen.
Spezifisch zu diesem Fall:
1. Wenn man in diesem den Newsletter bestellt hat und damit Groundspeak vertraut, dann sollte wenig bis keine Zweifel am Inhalt und den Links haben. Ich persönlich abonniere keinerlei Newsletter um Klarheit zu haben.
2. Iterable trackt, was aufgrund der Parameter in der URL ersichtlich ist.
3. Ob Iterable auf Mail-Adress-Ebene trackt ist nicht zu sagen, da die Parameter verschlüsselt sind und niemand ausser Groundspeak weiß. ob die Mail-Adressen an diesen Drittanbieter übermittelt wurden. Falls keine Mail-Adresse übermittelt wird, dann kann Bergbauer aber dennoch eine eindeutige ID/Kennung zur Identifikation bei Iterable besitzen.

Anmerkung: Immerhin liefere ich ein paar Informationen und Tipps an den Fragesteller, während Du hier leider nichts Konstruktives beisteuerst. Aber meckern ist ja auch viel einfacher. Oder kommt noch was?

 

[Staffy]

Wollte meine Informationen eher allgemeingültig halten und nur am Rande auf diesen konkreten Fall eingehen.

Deine Antwort finde ich gut, aber dein Kommentar vor diesem ging nun einmal mehr auf Sicherheitsbedenken ein als auf den Datenschutzaspekt.

Anmerkung: Immerhin liefere ich ein paar Informationen und Tipps an den Fragesteller, während Du hier leider nichts Konstruktives beisteuerst. Aber meckern ist ja auch viel einfacher. Oder kommt noch was?

Also ich fand den Hinweis, dass die Antwort nicht richtig zur Frage passte, durchaus konstruktiv.
Nur weil die Frage des TOs nicht beantwortet wurde, heißt das ja nicht, dass die Nachricht nicht konstruktiv ist?

 

[radioscout]

Was immer ganz lustig ist:
Den URL kopieren, etwas verändern und ausprobieren, was passiert.
Natürlich nicht mit einer Groundspeak-URL.

 

[Fadenkreuz]

Anmerkung: Immerhin liefere ich ein paar Informationen und Tipps an den Fragesteller, während Du hier leider nichts Konstruktives beisteuerst. Aber meckern ist ja auch viel einfacher.

Ich habe gar nicht gemeckert. Aber es ist nun mal so, dass du die eigentliche Frage gar nicht beantwortet hast. Ganz allgemeine Tipps zum Surfverhalten waren ja eher nicht gefragt. Und der jetzige Tipp, man solle keinen Newsletter abonnieren, "um Klarheit zu haben" finde ich auch nicht hilfreich ("mecker-mecker"). Eher ist es so, dass ich den Newsletter nicht abonniere, weil er mich nicht interessiert (was zugegebenermaßen auch keine Antwort auf die Ausgangsfrage ist).