Doodle und die Umfrageritis
Bin ich eigentlich der einzige der sich fragt was Doodle eigentlich macht?
Doodle ist gedacht als "Terminfindungdienst", dass man mehrere Daten für zB ein Treffen vorschlagen kann und Leute können dann abstimmen. Ich sehe in der ganzen Geschichte zumindest momemtan einige Probleme:
- Das ganze wird mit einer unverschüsselten Übertragung gemacht. Das heisst alle Sachen werden im Klartext übertragen
- Es gibt keinerlei Authentisierung - ich kann frei einen Namen schreiben und auch so tun als sei ich jemand anderes. Keiner kann es überprüfen
- Die Firma Doodle ist in der Schweiz und damit ausserhalb der EU. Das deutsche bzw. europäische Datenschutzrecht gilt also nicht - auch wenn das Niveau hoch ist
- Doodle nutzt Google Analytics - welches gegen deutsches Datenschutzrecht verstößt, weil es Daten sammelt bevor es den Benutzer darüber informiert. Das machen - leider - viele Deutsche Webseiten genauso, insofern stehen sie nicht alleine da.
- Man sieht von vorneherin wieviele Leute für welche Alternative gewählt haben - das nennt man heutzutage Wahlbeeinflussung. Von einer "freien" Wahl kann man da also auch nicht wirklich reden.
Wenn man das unter Freunden nutzen will - gerne. Allerdings sehe ich mehr und mehr wie darüber doch auch firmenkritische Termine oder auch Abstimmungen gemacht werden, die mit reiner Terminfindung nichts mehr zu tun haben. Insbesondere weil Doodle inzwischen auch einen Datei-Upload zulässt.
Die zufälligen URLs sind nciht wirklich "sicher" in dem Sinne dass dadurch eine Abstimmung verschleiert wird - jeder kann mal probieren wie oft er braucht um eine Abstimmung zu "finden". Dort findet man dann je nachdem: Namen, Termine, Orte, Formulierungsvorschläge... was auch immer.
Selbst das kostenpflichtige Doodle lässt zu dass jeder ohne Authentisierung seinen Termin veröffentlicht und man darüber abstimmt.
Ich halte das für einen Fehler. Zumindest Username+PW sollte es geben - und wenn es nur ist um Suchmaschinen abzuhalten. Nein, es gibt nicht nur Google als Suchmaschine.
Ich bin dafür dass man sowas intern nutzt. Nur intern. Oder mit Verschlüsselung + Paßwort. Aber bitte nicht so offen für (teilweise wichtige) Entscheidungen.
Doodle ist gedacht als "Terminfindungdienst", dass man mehrere Daten für zB ein Treffen vorschlagen kann und Leute können dann abstimmen. Ich sehe in der ganzen Geschichte zumindest momemtan einige Probleme:
- Das ganze wird mit einer unverschüsselten Übertragung gemacht. Das heisst alle Sachen werden im Klartext übertragen
- Es gibt keinerlei Authentisierung - ich kann frei einen Namen schreiben und auch so tun als sei ich jemand anderes. Keiner kann es überprüfen
- Die Firma Doodle ist in der Schweiz und damit ausserhalb der EU. Das deutsche bzw. europäische Datenschutzrecht gilt also nicht - auch wenn das Niveau hoch ist
- Doodle nutzt Google Analytics - welches gegen deutsches Datenschutzrecht verstößt, weil es Daten sammelt bevor es den Benutzer darüber informiert. Das machen - leider - viele Deutsche Webseiten genauso, insofern stehen sie nicht alleine da.
- Man sieht von vorneherin wieviele Leute für welche Alternative gewählt haben - das nennt man heutzutage Wahlbeeinflussung. Von einer "freien" Wahl kann man da also auch nicht wirklich reden.
Wenn man das unter Freunden nutzen will - gerne. Allerdings sehe ich mehr und mehr wie darüber doch auch firmenkritische Termine oder auch Abstimmungen gemacht werden, die mit reiner Terminfindung nichts mehr zu tun haben. Insbesondere weil Doodle inzwischen auch einen Datei-Upload zulässt.
Die zufälligen URLs sind nciht wirklich "sicher" in dem Sinne dass dadurch eine Abstimmung verschleiert wird - jeder kann mal probieren wie oft er braucht um eine Abstimmung zu "finden". Dort findet man dann je nachdem: Namen, Termine, Orte, Formulierungsvorschläge... was auch immer.
Selbst das kostenpflichtige Doodle lässt zu dass jeder ohne Authentisierung seinen Termin veröffentlicht und man darüber abstimmt.
Ich halte das für einen Fehler. Zumindest Username+PW sollte es geben - und wenn es nur ist um Suchmaschinen abzuhalten. Nein, es gibt nicht nur Google als Suchmaschine.
Ich bin dafür dass man sowas intern nutzt. Nur intern. Oder mit Verschlüsselung + Paßwort. Aber bitte nicht so offen für (teilweise wichtige) Entscheidungen.
Trackbacks
u1amo01 on : Doodle?
Show preview
Der Zaubberer mit dem Hut hat sich ein paar interessante Gedanken zu Doodle gemacht. Man sollte nicht einfach alles im Web nutzen ohne nachzudenken. Wer Doodle nicht kennt: das wird von Netzbewohnern vermehrt für Terminplanung genutzt oder für schnelle
Comments
Display comments as Linear | Threaded
Jens Link on :
Paul E. Sevinç on :
Ich wurde kürzlich auf Deinen Eintrag aufmerksam gemacht und möchte ein paar Missverständnisse klären:
1. Die URLs sind zufällig und werden generiert wie man kryptographische Schlüssel generiert. Einfach URLs raten/ausprobieren führt in der Praxis i.a. also nicht zum Erfolg. Mehr Infos dazu gibt es unter http://www.electrosuisse.ch/cms.cfm/s_page/71290/displayType/artikelDetail/artikelLanguage/DE/artikelId/527
2. Branded Doodle bietet die Option, alles über SSL/TLS abzuwickeln: https://doodle.com/BrandedDoodle/wizard.html
3. Doodle unterstützt sogenannte versteckte Umfragen ("Optionen" anstatt "Fertigstellen" klicken im scheinbar letzten Schritt der Umfrageerstellung), falls Wahlbeinflussung ein Problem darstellt.
4. Ja, wir setzen keine Autorisierung voraus. Aber es geht bei uns um Consensus Scheduling und nicht um politische Wahlen. Wer nicht davon ausgehen kann, dass seine TeilnehmerInnen vertrauenswürdig sind, muss leider für einmal auf den Einsatz von Doodle verzichten.
Frohe Festtage!
Paul
Hanno 'Rince' Wagner on :
erst einmal danke für Deinen Kommentar, allerdings hilft mir das Paper auch nicht viel weiter. Einerseits wird darin behauptet man könnte Doodle ohne Javascript nutzen, aber schon beim Erstellen eines Termins wird Javascript vorausgesetzt. Damit stimmt diese Aussage des Papers nicht (mehr).
Zum Zweiten wird in dem Paper nicht gesagt wie es zu den Zufallszahlen kommt. Nur dass ein Pseudo-Zufallszahlengenerator zum Tragen kommt. Aber ein Pseudo-Zufallszahlengenerator ist kein Zufallszahlengenerator, sondern nur etwas das diesen versucht nachzumachen. Leider wird in dem Paper nicht genau beschrieben wie die Zufallszahlen ansonsten generiert werden. Ich vermuteso etwas wie /dev/random und /dev/urandom unter Linux, aber das ist halt nicht wirklich zufällig.
Und zu guter letzt stimme ich Dir zu dass Doodle "nur" für Consensus Scheduling genutzt werden sollte - aber es ist wie bei vielen Dingen: Die Bequemlichkeit geht vielen Leuten über alles und sie denken dann über ihre Aktionen nicht mehr nach. Ich halte es für kritisch, Firmen (oder Partei)-Termine über Doodle zu machen - alleine schon weil die Namen frei eintragbar sind. Aber das ist dann Sache der Leute. Ich bin mal gespannt ab wann ich aus Terminen ausgeschlossen werde weil ich kein Doodle verwenden will