Also auf der offiziellen Seite findet sich keinerlei Datenschutzerklärung.
Da hast du Recht. Das ist sehr wichtig, steht bereits auf der TODO und ist für die nächsten 2 Wochen geplant.
Das WCF-Plugin enthielt bereits Sicherheitslücken (github.com/ChristopherWalz/wsc…1f91cc7f32df1c58b63715464), für eine weitere siehe unten[1].
Besser "enthielt" als "erhält", oder? Ich behaupte mal einfach frei heraus, dass jede größere Software in ihrer Laufbahn Sicherheitslücken enthalten wird. Das ist natürlich nicht gut, was aber eher wichtig ist, ist wie damit umgegangen wird und wie schnell das Problem behoben wird.
Von mir wurde das Problem innerhalb weniger Stunden behoben, eine neue Version hochgeladen und dem Moderator auf auf woltlab.com Bescheid gegeben, dass dieser das Plugin wegen einer Sicherheitslücke bitte zügig freischalten soll.
Es ist trivial dem Server Fehlermeldungen zu entlocken (http -v POST 'https://api.wsc-connect.com/messages/123').
Das ist nun behoben. Danke für die Meldung, auch wenn ich sowas natürlich gerne erst privat unter [email protected] mitgeteilt bekomme
Und natürlich laufen alle Benachrichtigungs– bzw. Konversationstitel und Teilnehmer durch einen fremden Server.
In einer kommenden Version kann der Server dann auch explizit die letzten 10 Konversationen eines Nutzers auflisten[1], zwar auch nur Titel und Teilnehmer, aber ob das Informationen sind, die ich blind an dritte weiterreichen würde …
Datenschutzrechtlich vermutlich ganz großer Käse.
Das ist derzeit so, wird aber in einer der nächsten Versionen umgestellt. Die Konversation werden dann gar nicht über den WSC-Connect Server geschickt und später wird dies auch für die Benachrichtigungen und nativen Unterstützungen so umgesetzt. Die Anfragen gehen dann also direkt vom Handy des Nutzers an die API-Adresse der jeweiligen App/des jeweiligen Forums. Passwörter werden dabei auch nicht übertragen.
Gerne nehme ich natürlich mehr Feedback an (ob gut oder schlecht)