ADE > 2 stinkt angeblich

onleihe:hilfe
Aktuelle Meldungen finden Sie stets auf der :hilfeseite für die Onleihe.

  • Gerade gefunden:

    Zitat

    [...]Adobe is gathering data on the ebooks that have been opened, which pages were read, and in what order. All of this data, including the title, publisher, and other metadata for the book is being sent to Adobe’s server in clear text.
    [...]
    Adobe isn’t just tracking what users are doing in DE4; this app was also scanning my computer, gathering the metadata from all of the ebooks sitting on my hard disk, and uploading that data to Adobe’s servers.


    In. Plain. Text.


    And just to be clear, this includes not just ebooks I opened in DE4, but also ebooks I store in calibre and every Epub ebook I happen to have sitting on my hard disk.
    Quelle: Digital Reader (Torfähig via Ixquick Proxy)


    Ich kann das nicht verifizieren, weil ich ADE 1.7.2 habe und wegen Inkompatibilität zu meinem Reader kein neueres installieren werde. Zu einem Test mit dieser Version habe ich gerade keine Zeit, ich mache es aber so rasch wie möglich. Außerdem fehlt noch eine unabhängige zweite Quelle. Ein Test älterer Versionen von unabhängiger Quelle steht ebenfalls aus; in den Kommentaren wird allerdings behauptet, ADE <= 2 seien nicht betroffen.


    Aus den bereitgestellten Daten im Artikel geht nicht hervor, wohin die Daten gesendet werden, lediglich eine IP (192.150.16.235) ist im Text genannt. Diese IP könnt ihr sicherheitshalber an eurer Firewall sperren, es ist aber fraglich, ob für andere Nutzer bzw Geolokationen dieselbe IP verwendet würde.


    Die Daten haben für mich noch ein anderes Problem: Es werden zwar in dem angeblichen Log Bücher mit Quelle Gutenberg und Calibe genannt, aber es ist nicht klar, ob die Bücher mit ADE gelesen werden. Für den Fall, daß ADE die Standard-Anwendung für ePub ist oder diese Bücher mit ADE geöffnet wurden, wäre es durchaus vorstellbar, daß die Daten ohne jeden bösen Hintergedanken geloggt werden.


    Daten gleich welcher Art an Adobe zu übertragen ist allerdings *zensiert*.


    Im Augenblick habe ich keine Tips für euch, tut mir leid :( Das einzige, das mir einfällt, ist einstweilen auf eine alte ADE-Version zu migrieren und das Beste zu hoffen.


    Bitte haltet alle die Augen offen und schaut, ob ihr in den diversen Foren, die ihr lest, Neuigkeiten sehen könnt.


    Update, ein paar Minuten später :)


    ADE 1.7.2 kontaktiert beim Start die Update-Server von Adobe. Das ist unbedenklich. Bei der Auleihe eines Buches werden ausschließlich Server der Onleihe kontaktiert. Die Daten sind völlig unbedenklich (ihr könnt sie in einer urllink.acsm einsehen).

  • Oh, toll, wo wir doch alle wissen, wie sicher Adobes Server sind :S .... und abgesehen davon wäre es eine Riesenschweinerei! X(

    Besser ein Buch als ein Brett vor dem Kopf! 8)

    :!:Gegen Murks und Userverdummung:!:

  • Heise schreibt auch gerade und hat einen eigenen Test. Damit wäre auch eine unabhängige Quelle vorhanden.

    Zitat

    [...]heise online konnte das von The Digital Reader beschriebene Verhalten nachvollziehen. Die Software sendet Metadaten über die gelesenen und in der Bibliothek abgelegten E-Books an Adobe und verfolgt unter anderem, auf welcher Seite zuletzt gelesen wurde. Da diese Informationen im Klartext übermittelt werden, kann jeder, der auf den Datenstrom Zugriff hat, genaue Profile der Leser erstellen. In Zeiten des NSA-Skandals ist das bei weitem keine theoretische Gefahr mehr.[...]
    The Digital Reader schreibt weiter, dass Adobe Digital Editions neben der konstanten Übertragung der Bibliothek auch noch die Festplatte durchsucht und Informationen über anderswo abgelegte E-Books sammelt. Etwa weil sie mit Calibre verwaltet werden. Dieses Verhalten konnte von heise online bislang nicht nachvollzogen werden. (Quelle)


    Also, nochmal zum einsickern lassen: Bis jetzt konnte Heise nicht bestätigen, daß die Festplatte durchsucht wird. Wie genau sich dann die Einträge im von Digital Reader geposteten Log erklären, ist damit noch offen. Eine Möglichkeit wäre, daß dieser Nate auch solche Bücher mit ADE liest, die er mit Calibre verwaltet. Schlimm genug, aber ADE würde dann tatsächlich nur (ha!) solche Daten loggen, die es durch Entscheidung des Users erhält.


    Vielleicht klinge ich inzwischen wie eine Platte mit Sprung. Trotzdem. Können wir bitte nochmal über TLS für die Onleihe reden? *grummel* Die Daten, die bei der Nutzung der Onleihe anfallen, sind fast dieselben; nur daß die Onleihe nicht erfährt, wie lange man welche Seite anschaut. Und auch diese Daten werden ohne Verschlüsselung übermittelt. Der Onleihe mag ich dabei durchaus vertrauen. Aber Hinz, Kunz, jede "Werbeagentur" und jeder Geheimdienst können auch mitlesen.

  • Nachklapp. In den diversen Kommentaren zu Artikeln liest man immer wieder, daß Adobe, falls es mit Calibre verwaltete Bücher mitloggt, daraus schließen könnte, daß der User das DRM von den entsprechenden Büchern entfernt hat. Das halte ich für gewagt.


    Calibre selbst kann ein DRM-behaftetes Buch nicht öffnen, weil es nicht mit dem DRM umgehen kann. Deshalb kann man Calibre so einstellen, daß es zB ADE als Lese-Anwendung verwendet. Das wiederum kann das Buch dann sehr wohl öffnen. Trotzdem kann man Calibre zur Verwaltung der Bücher benutzen und da leistet es definitiv mehr als ADE. Kurz: Verwaltung passiert mit Meta-Daten, nicht mit dem Buch selbst und hat mit dem DRM nichts zu tun. Also: Wer derzeit seine Onleihe-Bücher mit Calibre verwaltet ohne das DRM anzutasten, braucht sich die Unterwäsche nicht zu verferkeln.

  • DBW (Digital Bookworld) hat offenbar mit Adobe geredet.


    Jetzt sind natürlich die Kunden von Adobe schuld. Klar. Es ist nicht etwa so gelaufen, daß Adobe den Verlagen anbietet, daß man ja diese und jene Daten liefern könnte oder andere Preismodelle (nach gelesenen Seiten oder nach Zeit, in der das Buch offen war) benutzen könnte. Kann sein. Wirklich Sinn ergibt das nicht, denn die zeitliche Beschränkung war schon vorher möglich und funktioniert ohne Datenübertragung an Adobe.


    Bemerkenswert ist, daß alle diese Daten vorher nicht übermittelt wurden (meine 1.7.2 plappert überhaupt nicht mit Adobe). Vor der geschwätzigen Version erfuhr Adobe gar nichts über die geliehenen Bücher und vermutlich auch nicht über die gekauften (ich kaufe nicht mit DRM, deswegen weiß ich das nicht). Ein Kontakt mit Adobe-Servern fand ausschließlich für Updates statt.


    Auch eine Synchronisation zwischen einzelnen Geräten funktionierte wunderbar: ADE auf dem PC synchronisierte sich mit dem Gerät oder anderen ADE-Instanzen (zB auf Tablets). Daraus folgt, daß eine zentrale Datenhaltung zur Synchronisation dann und nur dann notwendig ist, wenn man das Ganze als Cloud aufzieht. Das kann man wollen, oder auch nicht. Bei Geräten wie dem Tolino, die eine spezielle Cloud (in Deutschland, nach deutschem Recht) haben, ist das doppelt gemoppelt - es sei denn, Adobe will unbedingt auch diese Daten und bekommt sie von Betreibern wie dem Tolino-Konsortium nicht. Na, sowas 8o . So wie es jetzt aussieht, windet sich Adobe und murmelt "wäre eine prima Cloud", damit niemandem auffällt, daß das eigentlich gar keine Rolle spielt.


    Der Grund, warum Adobe die IP-Adresse angeblich braucht, stinkt ebenfalls. Die Lizenz beziehe ich von meinem Händler (also zB einem deutschen Laden oder der Onleihe). Adobe hat mit der Abwicklung des Verkaufs gar nichts zu tun. Also ist auch die Geo-Lokation unnötig.


    Ein Gleiches gilt für die Meta-Daten des Buches. Adobe kann diese Daten bequem aus öffentlich verfügbaren Datenbanken ziehen. Sie jedes Mal zu übertragen wäre saudackeldoof, weil es eine Menge Bandbreite verschwendet. Das ist nur dann sinnvoll, wenn man durch den User gemachte Veränderungen (zB eigene Beschreibungen oder Tags) abgreifen will. Ich kann mir nicht vorstellen, daß Adobe damit viel anfangen kann. Es sei denn, man möchte die Profile auffüttern.


    Es gibt auch auffällige Daten. Die "Certified App ID" ist zB ein reines Schnüffel-Ding. Adobe will damit feststellen, ob es Hersteller von Lese-Anwendungen gibt, die keine Lizenzgebühren für das Verfahren zahlen.


    Kurz: Adobes überspezifisches Statement stinkt gewaltig.

  • Heise schreibt zur Interpretation:

    Zitat

    Auf den Vorwurf, Adobe Digital Editions durchsuche auch die Festplatte und andere E-Book-Programme nach Büchern, habe das Unternehmen nicht direkt reagiert. Auch wenn heise online den nicht nachvollziehen konnte, legt unsere Überprüfung nahe, dass die Aussagen von Adobe auch sonst nicht alle Details der Überwachung erklären. So werden durchaus gesammelte Informationen zur Bibliothek übermittelt, auch zu darin enthaltenen E-Books, die nicht kopiergeschützt sind und sogar, wenn diese gratis waren. Aus den Gründen, die Adobe anführt, ist in diesen Fällen aber keine Datenübermittlung an irgendwelche Server nötig. (Quelle)

  • Zitat

    Ein großer Teil der Buchmesse-Woche stand für Adobe im Zeichen von Schadensbegrenzung. Am vergangenen Sonntag hat The Digital Reader publik gemacht, dass die eBook-Verwaltungs-Software Adobe Digital Editions 4 zahlreiche Nutzungsdaten vom Leser-PC an Adobe funkt, und zwar im Klartext. Zumindest mit letzterem soll es bald vorbei sein: Schon in der kommenden Woche wird es ein Software-Update geben, dass die
    übertragenen Daten verschlüsseln wird.[...]
    An der Datenübertragung ansich führe kein Weg vorbei, sagten Eichel und Ayyappan. Alternative Nutzungsmodelle wie Flatrates und Ausleihen machten es unabdingbar, dass Informationen wie Download-Datum und User-ID an Adobe übermittelt würden, das hier als Infrastruktur-Anbieter auftritt. Künftig sollen aber nur noch die tatsächlich gebrauchten Daten gesendet werden, also etwa keine Angaben zur Lesezeit (nötig für Abrechnung-Nach-Zeit-Modelle) zu gekauften eBooks und grundsätzlich keine Informationen zu kopierschutzfreien eBooks in der ADE-Bibliothek. (Quelle: lesen.net)


    Verschlüsselung und "nur noch die tatsächlich gebrauchten Daten". Wen wollen die hier eigentlich auf den Arm nehmen?


    Es gibt keine "tatsächlich gebrauchten Daten", wie frühere Versionen von ADE beweisen. Es sei denn, natürlich, man interpretiert das als "wir wollen nicht nur mit der Software Geld machen, sondern auch mit den Userdaten." Die Verschlüsselung ist ein Strohmann: Die Daten können jetzt nicht mehr von interessierten Parteien mit drei Buchstaben en route abgefangen werden. Was selbige interessierten Parteien nicht daran hindern wird, die Daten direkt bei Adobe abzuholen. Vermutlich sogar legal, denn Adobe wird die Daten verkaufen.

  • Heise berichtet:

    Zitat

    Mit der aktualisierten Version des eBook-Readers "Digital Editions" werden Daten per HTTPS verschlüsselt an Adobe gesendet. Angeblich handelt es sich nur um Informationen zum gerade geöffneten Buch, falls dieses kopiergeschützt ist. [...]
    In seinen Datenschutzrichtlinien nennt Adobe lediglich solche Informationen, die sich auf das zurzeit gelesene Buch beziehen, wenn dieses über einen Kopierschutz verfügt.


    Dazu gehören etwa die IP-Adresse, die Lesedauer und der bereits gelesene Umfang des Buches. All dies sei nötig, um Piraterie zu verhindern und Bezahlmodelle nach Region, Zeit oder Umfang zu ermöglichen. [...]


    Nate Hoffelder, dessen Blog Digital Reader erstmals über die unverschlüsselte Datenübertragung berichtet hatte, kritisiert in einem aktuellen Beitrag, die Überwachung habe für Leser keinerlei Nutzen – Adobe würde nicht einmal die letzte Leseposition über mehrere Geräte hinweg synchronisieren. Seinen Erkenntnissen zufolge werden beim Öffnen nicht kopiergeschützter Werke jetzt keine Daten übertragen. Wegen der Verschlüsselung lässt sich jedoch nicht erkennen, was der eBook-Reader wirklich versendet. (Quelle)


    Super, oder? Angeblich, aber nicht nachprüfbar, wird jetzt nur noch geschnüffelt, wenn man ein DRM-behaftetes eBook öffnet. Ob der angebliche Mehrwert (Synchronisation über mehrere Geräte) geliefert wird, kann ich (glücklicherweise, dank altem ADE) nicht überprüfen.


    Jetzt gehen die Daten immer noch an eine US-amerikanische Firma, die US-amerikanischem Recht unterliegt und alle Daten jederzeit und ohne richterlichen Beschluß herausgeben muß. Dabei behaupten die USA, das gelte natürlich nur falls die Daten nicht aus den USA stammen, dafür aber unabhängig davon, wer den Paß des Opfers ausgestellt hat. Sehr beruhigend für Europäer.

  • Via lesen.net: Adobe schreibt, was sie warum sammeln. Hier. Lest es euch mal durch. Klingt ausnehmend harmlos, oder? Aber.


    Die UIDs, die Adobe überträgt, sind weltweit einzigartig. Sie erlauben eine eindeutige Zuordnung von Buch, Gerät und Adobe-Konto. Letzteres kann man mit Fake-Daten befüllen, aber je nach Shop läßt es sich trotzdem auf den Endnutzer zurückführen: Gerät - Händler (es empfiehlt sich auch hier Barzahlung und Verzicht auf Cloud-Services), Buch - Händler (ebenso wie beim Gerät). Bei der Onleihe sollte man einigermaßen sicher sein, wenn man das Adobe-Konto gefaked und das Endgerät nicht personalisiert hat.


    Die IP-Adresse ist ein eindeutiges Merkmal, sie läßt sich auf einen Anschluß herunterbrechen, wenn man nicht gerade im Internet-Cafe sitzt. Adobe behauptet, nur die Geolokation zu speichern, aber das setzt voraus, daß sie aus der IP die Lokation berechnen und anschließend das Ursprungsdatum (die IP) verwerfen. Wer's glaubt.


    Wie wir alle wissen, ist die Durchsetzung der Lizenz keineswegs davon abhängig, wie lange ich ein Buch lese. Ich leihe nicht für "X Tage lesen", sondern für "X Kalendertage". Die Aussage, daß die Lesezeit für Leihbüchereien (zB Onleihe) nötig sei, ist entweder Quark oder sehr mißverständlich formuliert. Ähnliches gilt für den "prozentualen Anteil" (percentage of the book read).


    Ich kann, wie oben gesagt, nichts testen. Man sollte aber prüfen, ob man ADE an der Firewall mit einer Whitelist versieht: Die Onleihe darf es dann kontaktieren (nötig, um die Lizenz zu holen), alle anderen aber nicht. Analog für bevorzugte Shops. Damit kann man sich gegen die Schnüffelei wahrscheinlich wehren.


    Wer Lust auf ein paar Testrunden und ADE > 2 hat, kann sich hier melden :) Dann gucken wir zusammen, wie man sich wehren kann.