Betterplace.org - Datenschutz?

Franz_Wertigheim · 29. Februar 2024 um 17:18

Mein Wunschprojekt - ein Tierschutz-Verein - hat nun eine Präsenz auf betterplace.org.
Alles schön bunt, gut strukturiert.
Nur wie hält es betterplace.org mit dem Datenschutz?
Immerhin ein Dritter im Boot. Also ein Mittler zwischen mir und dem Verein.
Auf Webbkoll sieht es auf den ersten Blick gut aus. Stand heute:

Ergebnisse für www.betterplace.org
2024-02-29 16:37:54 Etc/UTC

HTTPS als Voreinstellung: ✅ Ja
Content Security Policy: ❌ implementiert, aber mit Fehlern ⚠️ Berichte wurden übermittelt
Referrer Policy: ⚠️ Referrers werden teilweise übermittelt
Cookies: 0
Anfragen an Drittanbieter: 0
IP-Adresse: 2606:4700:20::681a:19cN

Nur warum steht da so viel in der Content Security Policy?

Content Security Policy

Gesetzte Content Security Policy im HTTP-Header: default-src ‚self‘; font-src ‚self‘ https: data:; img-src ‚self‘ https: data: blob:; media-src ‚self‘ *.zdassets.com; object-src ‚none‘; script-src ‚self‘ betterplace-assets.betterplace.org ‚unsafe-inline‘ ‚unsafe-eval‘ *.hotjar.com *.smassets.net *.surveymonkey.com *.zdassets.com *.zopim.com ajax.googleapis.com js.stripe.com maps.googleapis.com optimize.google.com play.google.com s.ytimg.com script.hotjar.com tagmanager.google.com *.doubleclick.net www.google-analytics.com www.google.com www.googletagmanager.com www.gstatic.com www.recaptcha.net www.paypal.com www.youtube-nocookie.com www.youtube.com *.bp42.com storage.googleapis.com; style-src ‚self‘ ‚unsafe-inline‘ betterplace-assets.betterplace.org *.hotjar.com *.smassets.net *.surveymonkey.com fonts.googleapis.com optimize.google.com storage.googleapis.com; connect-src ‚self‘ api.betterplace.org betterplace-assets.betterplace.org nextjs.betterplace.org secure.betterplace.org www.betterplace.org *.hotjar.com *.hotjar.io *.surveymonkey.com *.zdassets.com .zendesk.com .zopim.com api.honeybadger.io maps.googleapis.com stats.g.doubleclick.net wss://.hotjar.com wss://.zopim.com www.google-analytics.com www.google.com/recaptcha www.gstatic.com www.paypal.com www.sandbox.paypal.com api.friendlycaptcha.com eu-api.friendlycaptcha.eu eu.posthog.com; frame-src ‚self‘ *.betterplace.org *.hotjar.com *.paypal.com *.surveymonkey.com *.zdassets.com *.engagementportal.de *.epo42.de js.stripe.com optimize.google.com www.betterplace-widget.org www.google.com www.paypalobjects.com www.recaptcha.net www.youtube-nocookie.com www.youtube.com; worker-src ‚self‘ blob:; child-src ‚self‘ blob:

Auch in der Datenschutzerklärung tauchen diese Drittanbieter auf, gehe davon aus, das die entweder früher mal oder aktuell noch teilweise im Einsatz sind. Oder wird der CNAME-Trick angewendet?
Dagegen spricht, dass bei mir im U-BlockOrigin-Add-on keine Drittanbieterscripte angezeigt werden.

Hier der Link zur Datenschutzerklärung:
https://www.betterplace.org/c/regeln/datenschutz

Was feststeht nach kurzem Check:

Es wird bei Cloudflare gehostet. Cloudflare hat schon einen großen Teil des Internets an sich gerissen, was schlecht ist, denn wenn die ausfallen, ist auch ein Großteil des Internets weg. Zudem kann Cloudflare je nach Einbindung den Traffic mitlesen. Mike gibt hier Empfehlungen für Alternativen zu Cloudflare.

whois 2606:4700:20::ac43:476f

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/resources/registry/whois/tou/
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/resources/registry/whois/inaccuracy_reporting/
#
# Copyright 1997-2024, American Registry for Internet Numbers, Ltd.
#

NetRange:       2606:4700:: - 2606:4700:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF
CIDR:           2606:4700::/32
NetName:        CLOUDFLARENET
NetHandle:      NET6-2606-4700-1
Parent:         NET6-2600 (NET6-2600-1)
NetType:        Direct Allocation
OriginAS:       AS13335
Organization:   Cloudflare, Inc. (CLOUD14)
RegDate:        2011-11-01
Updated:        2017-02-17
Comment:        All Cloudflare abuse reporting can be done via https://www.cloudflare.com/abuse
Ref:            https://rdap.arin.net/registry/ip/2606:4700::

OrgName:        Cloudflare, Inc.
OrgId:          CLOUD14
Address:        101 Townsend Street
City:           San Francisco
StateProv:      CA
PostalCode:     94107
Country:        US
RegDate:        2010-07-09
Updated:        2021-07-01
Ref:            https://rdap.arin.net/registry/entity/CLOUD14

OrgTechHandle: ADMIN2521-ARIN
OrgTechName:   Admin
OrgTechPhone:  +1-650-319-8930 
OrgTechEmail:  rir@cloudflare.com
OrgTechRef:    https://rdap.arin.net/registry/entity/ADMIN2521-ARIN

OrgNOCHandle: CLOUD146-ARIN
OrgNOCName:   Cloudflare-NOC
OrgNOCPhone:  +1-650-319-8930 
OrgNOCEmail:  noc@cloudflare.com
OrgNOCRef:    https://rdap.arin.net/registry/entity/CLOUD146-ARIN

OrgRoutingHandle: CLOUD146-ARIN
OrgRoutingName:   Cloudflare-NOC
OrgRoutingPhone:  +1-650-319-8930 
OrgRoutingEmail:  noc@cloudflare.com
OrgRoutingRef:    https://rdap.arin.net/registry/entity/CLOUD146-ARIN

OrgAbuseHandle: ABUSE2916-ARIN
OrgAbuseName:   Abuse
OrgAbusePhone:  +1-650-319-8930 
OrgAbuseEmail:  abuse@cloudflare.com
OrgAbuseRef:    https://rdap.arin.net/registry/entity/ABUSE2916-ARIN

RNOCHandle: NOC11962-ARIN
RNOCName:   NOC
RNOCPhone:  +1-650-319-8930 
RNOCEmail:  noc@cloudflare.com
RNOCRef:    https://rdap.arin.net/registry/entity/NOC11962-ARIN

RTechHandle: ADMIN2521-ARIN
RTechName:   Admin
RTechPhone:  +1-650-319-8930 
RTechEmail:  rir@cloudflare.com
RTechRef:    https://rdap.arin.net/registry/entity/ADMIN2521-ARIN

RAbuseHandle: ABUSE2916-ARIN
RAbuseName:   Abuse
RAbusePhone:  +1-650-319-8930 
RAbuseEmail:  abuse@cloudflare.com
RAbuseRef:    https://rdap.arin.net/registry/entity/ABUSE2916-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/resources/registry/whois/tou/
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/resources/registry/whois/inaccuracy_reporting/
#
# Copyright 1997-2024, American Registry for Internet Numbers, Ltd.

E-Mails liegen bei Google - no go!

dig betterplace.org mx

; <<>> DiG 9.16.48-Ubuntu <<>> betterplace.org mx
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52954
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;betterplace.org.		IN	MX

;; ANSWER SECTION:
betterplace.org.	300	IN	MX	1 aspmx.l.google.com.
betterplace.org.	300	IN	MX	10 aspmx2.googlemail.com.
betterplace.org.	300	IN	MX	10 aspmx3.googlemail.com.
betterplace.org.	300	IN	MX	5 alt1.aspmx.l.google.com.
betterplace.org.	300	IN	MX	5 alt2.aspmx.l.google.com.

;; Query time: 31 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: xxxxxx
;; MSG SIZE  rcvd: 177

Anmeldebestätigung erfolgt via US-Anbieter Sendgrid

Received: from o1.ptr6052.betterplace.org (198.37.147.194)

Facebook-Werbung, in dem Facebook-Login angeboten wird

Für mich kein schönes Setup. Mir ist klar, es hilft dem Tierschutzverein beim Spendensammeln, sie erledigen viel Arbeit für sie, weniger Bürokratieaufwand. Für mich als Spender ists nurnachteilig.
Wenn wenigstens beim Setup auf Datensparsamkeit geachtet werden täte.

Um nich ganz negativ zu sein, hat man den Anschein, als würde sich die Situation verbessern.
Ich werde weiter versuchen mit Überweisung zu spenden.

nr845h · 29. Februar 2024 um 18:30

Und dich hoffentlich bei dem Projekt beschweren, nur wenn diese lernen, dass Datenschhutz für die Leute wichtig ist, ändern sie auch etwas (insbesondere wenn sie damit noch mehr Menschen erreichen)