Auch Entwickler brauchen Platz zum Spielen

4. September 2012 /

Speichert Jetpack Comments Nutzerkommentare in den USA?

Blicke in den Source-Code des Kommentar-Plugins Jetpack Comments beweisen die Übertragung eines Kommentars in die USA. Was sind die Gründe?
Jetpack

Mittlerweile ist bei jedem dritten Blogger die Message angekommen, dass Akismet als Antispam-Plugin für WordPress im deutschsprachigen Raum nicht ohne Weiteres eingesetzt werden darf. Heute ist das weitere offizielle Plugin aus dem Hause WordPress.com unter der Lupe: Jetpack Comments, welches dem Gesamtpaket von Jetpack angehört. Das kostenlos verfügbare, aber registrierungspflichtige Plugin ersetzt das Theme-eigene Kommentarformular gegen ein eigenes Formular mit Zusatzfunktionen.

iFrame-Einbindung
Nach der Aktivierung des Plugins und Herstellung der Verknüpfung zwischen dem Blog und WordPress.com, werfen wir einen Blick auf einen beliebigen Artikel in unserem Blog mit aktivierten Kommentaren. Erster Eindruck: Jetpack überschreibt das bestehende Kommentarformular gegen das eigene und zwar in Form einer eigenständigen Webseite in einem iFrame.

Gut, YouTube und andere Embed-Elemente werden in Webseiten auf identische Weise eingebunden. Der Nachteil der Technik: Als Blogger und Website-Betreiber legt man einen Teil der Kontrolle über eigene Seiten ab und hofft, dass eingebundener Dienst keinen Unsinn betreibt und dortige Mechanismen mit rechten Dingen zugehen.

Ein iFrame also. Aus technischen Gründen vielleicht nicht anders zu realisieren. Verständlich.

Ziel-URL des Formulars
Weiter geht’s: Neugierige Blicke wandern durch den Code des iFrames. Der Augenschein gleitet zur Stelle im Quelltext, wo die Ziel-URL des Formulars gesetzt ist. Die Zeile ist wie erwartet mit der URL unseren Blogs hinterlegt.

Ziel-URL des Formulars im HTML-Code

<form target="_top" action="http://playground.ebiene.de/wp-comments-post.php" method="post" id="commentform">

Im Klartext: Das Absenden des Formulars zielt auf die richtige Blog-Adresse, welche die Nutzereingabe entgegennimmt und als Kommentar verarbeitet.
Soweit so gut.

Böse Überraschung
Am Quelltext-Ende plötzlich ein JavaScript-Befehl, der alles auf den Kopf stellt.

Änderung der Ziel-URL des Formulars im JavaScript-Code

$( '#commentform' )
  .attr( 'action', "http:\/\/jetpack.wordpress.com\/jetpack-comment\/" )
  .attr( 'target', '' );

Der Snippet besagt: Überschreibe die beiden Werte action und target durch neue, so dass aus dem obigen HTML-Form-Code prompt etwas ganz anderes wird: Formulardaten werden nicht mehr direkt auf die Blog-URL, vielmehr auf den Jetpack-Server geschickt. Und so sieht die oben erwähnte Zeile nach der dynamischen Anpassung durch JavaScript aus:

<form target="" action="http://jetpack.wordpress.com/jetpack-comment/" method="post" id="commentform">

WordPress-Entwickler kommentieren diese Code-Zeile wie folgt: // POST to jetpack.wordpress.com to verify external services credentials. Kann aber auch eine “Ausrede” sein. Denn technisch gesehen, spricht überhaupt nichts dagegen, Kommentarwerte ohne Umwege an den Blog zu senden (wie im HTML-Code auch ursprünglich vorgesehen).

Fazit und Fragen
Jetpack transferiert alle Eingaben des Kommentators auf eigene Server in den USA, leitet anschliessend die Werte auf die Ursprungsadresse des Blogs weiter, wo der Kommentar hinterlassen wurde (aber nur optisch, physikalisch fand die Kommentareingabe im Jetpack-iFrame statt). Ein Kommentar macht also eine Rundreise um die ganze Welt: Browser – WordPress.com-Server – Blog.

Die eigentliche Frage, die sich jetzt stellt: Wozu benötigt Automattic (Anbieter hinter WordPress.com und Jetpack) die Kommentardaten und was geschieht mit diesen auf der anderen Seite des Kontinents? Werden sie gespeichert? Ausgewertet? Zur Antispam-Erkennung verwendet (Akismet-Kennzeichnung wird ebenfalls übertragen, obwohl kein Akismet installiert ist)?

Wenn das wirklich der Fall sein sollte, dann darf auch Jetpack im deutschsprachigen Raum nicht ohne Nutzerkenntnis verwendet werden. Allein die Ungewissheit über die ungewollte und undefinierte Reise der Nutzerdaten müsste jeden Blogger mit installiertem Jetpack zum Nachdenken und zur Deaktivierung bewegen. Auch wenn die Umleitung über ausländische Server technisch notwendig ist.

Sergej Müller

[Der Autor]Sergej Müller ist enthusiastischer Software Engineer mit Schwerpunkten Webentwicklung, Apps und WordPress. Seit 2007 programmiert und vertreibt er wpSEO, das zugkräftige SEO-Plugin für WordPress-Blogs.

Thematisch ähnliche Beiträge