Operationelle Sicherheit

JavaScript-Miner: Neue Einnahmequelle für Websites?

CC0 - Jonny Caspari unsplash.com

Dieser Beitrag wurde am 26. Januar 2018 das letzte Mal aktualisiert.

Nerven euch Captchas nicht auch total? Und Werbung auch? Verständlich. Eventuell gibt es da in Zukunft für beides gleichzeitig eine Lösung, die gut für Websites und nicht zu lästig für ihre Besucher ist. Coinhive hat einen sogenannten JavaScript-Miner entwickelt, über den Websites digitales Geld mit der Rechenleistung ihrer Besucher erwirtschaften können. Was erst mal seltsam klingt, kann für Website-Betreiber und -Besucher eine Win-Win-Situation sein.

  • JavaScript-Miner:
    Das JavaScript wird in Websites eingebunden, um über die Hardware der Besucher Monero-Guthaben — eine Kryptowährung vergleichbar mit Bitcoin und Ethereum — zu schürfen. Wie “stark” der Miner schürft, kann dabei individuell angepasst werden. Dadurch können Websites werbefrei bleiben und trotzdem Einnahmen generieren. Das ist gut für den Datenschutz, weil das Tracking für Werbezwecke komplett wegfällt.
  • Captcha:
    Der Captcha-artige Spam-Schutz schürft ebenfalls kurzzeitig Kryptowährung. Der Schutz besteht darin, dass der Zugriff auf eine Site für einen Angreifer ökonomisch unattraktiv wird. Die CPU wird beim Lösen des Captchas zwischen 10 Sekunden (Gaming-PC) und über 60 Sekunden (Handy) stark belastet. Für den Menschen an diesem Gerät ist das allerdings weitaus angenehmer als das Lösen der “Bilder-Rätsel” bei Googles weit verbreitetem reCaptcha-Dienst. Auch diese Lösung ist gut für den Datenschutz, denn Google sammelt bei jedem Captcha fleißig Daten. Das fällt dann natürlich weg.

Einsatz und Verbreitung

Ein Sicherheitsforscher fand heraus, dass bereits knapp 2.000 der nach Alexa-Ranking Top-Millionen-Websites das Script von Coinhive einbinden — Tendenz steigend. Wie viel Geld die Sites einnehmen, ist natürlich von der Besucherzahl und Mining-Dauer abhängig. Die Torrent-Indexierungssite Pirate Bay testet den Miner seit wenigen Wochen und kann laut einer Berechnung von TorrentFreak bei 315 Millionen Besuchern mit monatlichen Einnahmen von 12.000$ (zirka 10.000€ ) rechnen. In einem Gerichtsverfahren gegen die Site im Jahr 2009 gab die Verteidigung an, dass die Betriebskosten bei etwa 9.200$ (damals zirka 7.150€ ) liegen. Tendenziell sollten die heute auch höher liegen, entsprechend würden sich die Einnahmen und Kosten in diesem Fall vermutlich ungefähr decken. Dieser Test sorgte aber direkt für negative Schlagzeilen. Der Betreiber hielt es nicht für nötig, seine Nutzer über den Miner zu informieren, der im Hintergrund unter Volllast läuft. Die Aufregung war groß, als Nutzer das über ihre CPU-Auslastung feststellten.

Die Entwickler trifft dabei keine Schuld. In ihrer Dokumentation weisen Coinhive ausdrücklich darauf hin, dass Nutzer über den Einsatz ihrer Software informiert werden sollten:

“While it’s possible to run the miner without informing your users, we strongly advise against it. You know this. Long term goodwill of your users is much more important than any short term profits.”

Nachdem diverse Sites diesen Appell ignorierten, wollen die Entwickler nun selbst aktiv werden und sicherstellen, dass nur mit ausdrücklicher Einwilligung des Nutzers über ihre Server geschürft werden kann. Ob damit das Problem dauerhaft gelöst ist, bleibt abzuwarten.

Parallelen zur Werbung

Das junge Geschäft mit den Minern kann von der Werbung im Internet lernen — vor allem von ihren Fehlern. Website-Betreiber, die den Hals nicht voll kriegen und immer mehr und immer nervigere Werbung schalten. Werbenetzwerke so groß und wissbegierig, dass sie jeden Geheimdienst in den Schatten stellen. Die Reaktion: Nutzer wollen sich davor schützen und installieren Adblocker in ihren Browsern.

Trotz der angekündigten Gegenmaßnamen der Entwickler, können wir nicht ausschließen, dass es wieder zu Missbrauch kommt. Nicht zuletzt auch, weil Coinhive vermutlich nicht lange der einzige namhafte Anbieter bleiben wird. Deswegen könnte es den JavaSript-Minern bald wie der Werbung gehen. Obwohl sie bisher kaum verbreitet sind, wird schon jetzt diskutiert, wie man sie wieder los wird. Verständlich. Wie stark der Miner die CPU belastet, entscheidet die Website. Wir müssen also vom schlimmsten Szenario ausgehen. Wer möchte schon für die Dauer eines Seiten-Besuchs seine CPU komplett ausgelastet bekommen? Vor allem für die Akkulaufzeit von Mobilgeräten ist das Gift. Denn das Mining bezahlt ihr über die Stromrechnung. Und wenn dann statt sauberer Kommunikation noch Schweige-Taktik gefahren wird, bricht die letzte Unterstützung für Website-Betreiber weg.

Nicht nur Nutzer sehen Handlungsbedarf. Das Unternehmen Cloudflare sieht Miner als Schadware, wenn die ohne Wissen der Nutzer ausgeführt werden, und verbannte deswegen bereits eine Site aus seinem Netzwerk.

Letztlich kann auch hier die Gier von Wenigen das eigentlich tolle Konzept “JavaScript-Miner” für alle anderen kaputt machen — so wie es bei Werbung auch war. Dann macht keiner mehr seinen Ad- und Scriptblocker aus, egal wie “akzeptabel” die Werbung ist, wie geringfügig der Miner die CPU belastet und wie sehr die Betreiber auch betteln.

JavaScript-Miner aussperren

Die Miner setzen mittlerweile auf verschiedene Domains, deswegen reicht es nicht mehr, nur Skripte von coin-hive.com zu blockieren. Mit uBlock Origin könnt ihr das aber einfach den Filterlisten überlassen. Folgende Filterlisten solltet ihr aktivieren:

  • uBlock filters – Resource abuse
  • EasyPrivacy

Fazit

Wenn JavaScript-Miner richtig eingesetzt würden — das heißt volle Transparenz für Site-Besucher –, wären sie ohne Zweifel eine bessere Alternative zum Finanzierungsmodell mit Werbung. Dafür müsste jeder Besucher selbst die Möglichkeit haben zu entscheiden, ob und wie stark der Miner schürft — denn nur er weiß, welche Hardware-Ressourcen er gerade zur Verfügung stellen kann. Allerdings sieht es momentan nicht danach aus.

Es bleibt nur zu hoffen, dass wenigstens die Captcha-Variante größere Verbreitung findet. Denn die ist aus unserer Sicht wirklich gut und kann nicht so leicht missbraucht werden.

– Eure Datenschutzhelden





  1. easy

    mir gehen die ganzen Google reCaptcha-Dienste, Cloudflare voll aufn Sack besonders schlimm als Tor Nutzer aber auch so schlimm genug wenn die Captcha-Variante ne anständige Alternative ist sollte sie sich bitte durchsetzen. https://coinhive.com/account/signup
    jeder der eine internetseite zu finanzieren hat sollte es anschauen.
    greez easy

Einen Kommentar abgeben

Achtung! Alle Daten, die ihr in das Kommentarfeld eingebt, werden bei uns auf dem Server gespeichert. Eine Weitergabe eurer Daten an Dritte findet nicht statt.

Es ist möglich, ohne die Angabe einer Email-Adresse zu kommentieren.

Die Kommentare werden moderiert und wir versuchen, schnellstmöglich auf eure Fragen einzugehen. Bitte habt Nachsicht mit uns, wenn das auch mal ein paar Tagen dauern kann.

CC-BY-NC-SA
Alle Texte auf Datenschutzhelden.org stehen, sofern nicht anders publiziert, unter Creative Commons Attribution 4.0 International License.