Mein Wunschprojekt - ein Tierschutz-Verein - hat nun eine Präsenz auf betterplace.org.
Alles schön bunt, gut strukturiert.
Nur wie hält es betterplace.org mit dem Datenschutz?
Immerhin ein Dritter im Boot. Also ein Mittler zwischen mir und dem Verein.
Auf Webbkoll sieht es auf den ersten Blick gut aus. Stand heute:
Ergebnisse für www.betterplace.org
2024-02-29 16:37:54 Etc/UTCHTTPS als Voreinstellung: ✅ Ja Content Security Policy: ❌ implementiert, aber mit Fehlern ⚠️ Berichte wurden übermittelt Referrer Policy: ⚠️ Referrers werden teilweise übermittelt Cookies: 0 Anfragen an Drittanbieter: 0 IP-Adresse: 2606:4700:20::681a:19cN
Nur warum steht da so viel in der Content Security Policy?
Content Security Policy
Gesetzte Content Security Policy im HTTP-Header: default-src ‚self‘; font-src ‚self‘ https: data:; img-src ‚self‘ https: data: blob:; media-src ‚self‘ *.zdassets.com; object-src ‚none‘; script-src ‚self‘ betterplace-assets.betterplace.org ‚unsafe-inline‘ ‚unsafe-eval‘ *.hotjar.com *.smassets.net *.surveymonkey.com *.zdassets.com *.zopim.com ajax.googleapis.com js.stripe.com maps.googleapis.com optimize.google.com play.google.com s.ytimg.com script.hotjar.com tagmanager.google.com *.doubleclick.net www.google-analytics.com www.google.com www.googletagmanager.com www.gstatic.com www.recaptcha.net www.paypal.com www.youtube-nocookie.com www.youtube.com *.bp42.com storage.googleapis.com; style-src ‚self‘ ‚unsafe-inline‘ betterplace-assets.betterplace.org *.hotjar.com *.smassets.net *.surveymonkey.com fonts.googleapis.com optimize.google.com storage.googleapis.com; connect-src ‚self‘ api.betterplace.org betterplace-assets.betterplace.org nextjs.betterplace.org secure.betterplace.org www.betterplace.org *.hotjar.com *.hotjar.io *.surveymonkey.com *.zdassets.com .zendesk.com .zopim.com api.honeybadger.io maps.googleapis.com stats.g.doubleclick.net wss://.hotjar.com wss://.zopim.com www.google-analytics.com www.google.com/recaptcha www.gstatic.com www.paypal.com www.sandbox.paypal.com api.friendlycaptcha.com eu-api.friendlycaptcha.eu eu.posthog.com; frame-src ‚self‘ *.betterplace.org *.hotjar.com *.paypal.com *.surveymonkey.com *.zdassets.com *.engagementportal.de *.epo42.de js.stripe.com optimize.google.com www.betterplace-widget.org www.google.com www.paypalobjects.com www.recaptcha.net www.youtube-nocookie.com www.youtube.com; worker-src ‚self‘ blob:; child-src ‚self‘ blob:
Auch in der Datenschutzerklärung tauchen diese Drittanbieter auf, gehe davon aus, das die entweder früher mal oder aktuell noch teilweise im Einsatz sind. Oder wird der CNAME-Trick angewendet?
Dagegen spricht, dass bei mir im U-BlockOrigin-Add-on keine Drittanbieterscripte angezeigt werden.
Hier der Link zur Datenschutzerklärung:
https://www.betterplace.org/c/regeln/datenschutz
Was feststeht nach kurzem Check:
- Es wird bei Cloudflare gehostet. Cloudflare hat schon einen großen Teil des Internets an sich gerissen, was schlecht ist, denn wenn die ausfallen, ist auch ein Großteil des Internets weg. Zudem kann Cloudflare je nach Einbindung den Traffic mitlesen. Mike gibt hier Empfehlungen für Alternativen zu Cloudflare.
whois 2606:4700:20::ac43:476f
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/resources/registry/whois/tou/
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/resources/registry/whois/inaccuracy_reporting/
#
# Copyright 1997-2024, American Registry for Internet Numbers, Ltd.
#
NetRange: 2606:4700:: - 2606:4700:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF
CIDR: 2606:4700::/32
NetName: CLOUDFLARENET
NetHandle: NET6-2606-4700-1
Parent: NET6-2600 (NET6-2600-1)
NetType: Direct Allocation
OriginAS: AS13335
Organization: Cloudflare, Inc. (CLOUD14)
RegDate: 2011-11-01
Updated: 2017-02-17
Comment: All Cloudflare abuse reporting can be done via https://www.cloudflare.com/abuse
Ref: https://rdap.arin.net/registry/ip/2606:4700::
OrgName: Cloudflare, Inc.
OrgId: CLOUD14
Address: 101 Townsend Street
City: San Francisco
StateProv: CA
PostalCode: 94107
Country: US
RegDate: 2010-07-09
Updated: 2021-07-01
Ref: https://rdap.arin.net/registry/entity/CLOUD14
OrgTechHandle: ADMIN2521-ARIN
OrgTechName: Admin
OrgTechPhone: +1-650-319-8930
OrgTechEmail: rir@cloudflare.com
OrgTechRef: https://rdap.arin.net/registry/entity/ADMIN2521-ARIN
OrgNOCHandle: CLOUD146-ARIN
OrgNOCName: Cloudflare-NOC
OrgNOCPhone: +1-650-319-8930
OrgNOCEmail: noc@cloudflare.com
OrgNOCRef: https://rdap.arin.net/registry/entity/CLOUD146-ARIN
OrgRoutingHandle: CLOUD146-ARIN
OrgRoutingName: Cloudflare-NOC
OrgRoutingPhone: +1-650-319-8930
OrgRoutingEmail: noc@cloudflare.com
OrgRoutingRef: https://rdap.arin.net/registry/entity/CLOUD146-ARIN
OrgAbuseHandle: ABUSE2916-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-650-319-8930
OrgAbuseEmail: abuse@cloudflare.com
OrgAbuseRef: https://rdap.arin.net/registry/entity/ABUSE2916-ARIN
RNOCHandle: NOC11962-ARIN
RNOCName: NOC
RNOCPhone: +1-650-319-8930
RNOCEmail: noc@cloudflare.com
RNOCRef: https://rdap.arin.net/registry/entity/NOC11962-ARIN
RTechHandle: ADMIN2521-ARIN
RTechName: Admin
RTechPhone: +1-650-319-8930
RTechEmail: rir@cloudflare.com
RTechRef: https://rdap.arin.net/registry/entity/ADMIN2521-ARIN
RAbuseHandle: ABUSE2916-ARIN
RAbuseName: Abuse
RAbusePhone: +1-650-319-8930
RAbuseEmail: abuse@cloudflare.com
RAbuseRef: https://rdap.arin.net/registry/entity/ABUSE2916-ARIN
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/resources/registry/whois/tou/
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/resources/registry/whois/inaccuracy_reporting/
#
# Copyright 1997-2024, American Registry for Internet Numbers, Ltd.
- E-Mails liegen bei Google - no go!
dig betterplace.org mx
; <<>> DiG 9.16.48-Ubuntu <<>> betterplace.org mx
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52954
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;betterplace.org. IN MX
;; ANSWER SECTION:
betterplace.org. 300 IN MX 1 aspmx.l.google.com.
betterplace.org. 300 IN MX 10 aspmx2.googlemail.com.
betterplace.org. 300 IN MX 10 aspmx3.googlemail.com.
betterplace.org. 300 IN MX 5 alt1.aspmx.l.google.com.
betterplace.org. 300 IN MX 5 alt2.aspmx.l.google.com.
;; Query time: 31 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: xxxxxx
;; MSG SIZE rcvd: 177
- Anmeldebestätigung erfolgt via US-Anbieter Sendgrid
Received: from o1.ptr6052.betterplace.org (198.37.147.194)
- Facebook-Werbung, in dem Facebook-Login angeboten wird
Für mich kein schönes Setup. Mir ist klar, es hilft dem Tierschutzverein beim Spendensammeln, sie erledigen viel Arbeit für sie, weniger Bürokratieaufwand. Für mich als Spender ists nurnachteilig.
Wenn wenigstens beim Setup auf Datensparsamkeit geachtet werden täte.
Um nich ganz negativ zu sein, hat man den Anschein, als würde sich die Situation verbessern.
Ich werde weiter versuchen mit Überweisung zu spenden.