Monat: August 2010

Der „Robots Exclusion Standard“ aus Rechercheursperspektive

Die Arbeitsweise aller Suchmaschinen beim Auffinden neuer Webseiten ist unspektakulär: Spezielle Programme, Robots, Bots oder Spider genannt, durchsuchen bekannte Webseiten nach Hyperlinks und laden die dadurch gefundenen Seiten via HTTP, um sie entweder in die Datenbank der Suchmaschine aufzunehmen, oder um sie in gleicher Weise zu durchsuchen. Konzeptionell ist dieser Vorgang ist bei allen Suchmaschinen wenig unterschiedlich (sie variieren vor allem in der Suchfrequenz und den zur Kenntnis genommenen Dateitypen).

Fast jede Website hat Dateien oder Verzeichnisse, die für eine Suchmaschine nicht von Interesse sind, zum Beispiel Hintergrundgrafiken, Logos, Buttons, Longdesc-Texte usw. Andere, zum Beispiel in Framesets verwendete Navigationsspalten, soll eine Suchmaschine zwar nach deren Links durchsuchen, sie aber nicht selbst im Index aufführen, da die Navigationsspalte für sich genommen inhaltsleer ist – sie verweist ja nur auf die Inhaltsseiten. Das Wissen um diese Details hat selbstverständlich der Webadmin der entspechenden Site.

Um die Kommunikation zwischen Webadmins und Suchmaschinen zu ermöglichen und zu systematisieren, wurde nach Diskussionen in einer Mailingsliste der Robots Exclusion Standard (RES) geschaffen. Er wurde niemals in den Kanon der RFC oder anderer Normensammmlungen aufgenommen, wird aber sehr häufig beachtet. Am wichtigsten ist vielleicht, dass die Wayback Machine den RES anwendet.

Webmaster haben zwei Möglichkeiten, den RES zu nutzen: Sie können eine Datei robots.txt erstellen, und sie können in jeder HTML-Seite Metatags anbringen.

Die Datei robots.txt

Die Datei „robots.txt“ (deren Name aus Kompatibilitätsgrunden die 8/3-Konvention für Dateinamen einhält) muss als ASCII-Textdatei im Stammverzichnis der Website liegen. Ihr URL lautet also immer „http://[domain]/robots.txt“.

In ihr kann der Webadmin festlegen, welche Dateien und Verzeichnisse der Spider ignorieren soll. Dabei kann er Wildcards einsetzen und Anweisungen an bestimmte Spider geben, sofern deren Bezeichnungen bekannt sind.

Wenn ein Spider diese Datei liest und beachtet, werden bestimmte Dateien und Verzeichnisse also gar nicht erst an den Spider übertragen.

Die RES-Metatags

Zusätzlich kann in jede HTML-Datei der Metatag „meta name=’robots’ content=’index,follow’“ geschrieben werden. Dieser richtet sich unterschiedlos an alle Spider und setzt voraus, dass die entsprechende Datei übertragen und ihre Inhalte verarbeitet wurden. Die möglichen Angaben ‘index’/’noindex’ geben an, ob die Inhalte der Seite indiziert werden sollen, ‘follow’/’nofollow’ bezieht sich auf die Nachverfolgung von Hyperlinks. Soweit die Theorie…

Praktische Auswirkungen

Der immanente Widersinn des RES liegt auf der Hand: Es muss explizit genannt werden, was verschwiegen sein soll. Zum einen halten sich nicht alle Suchmaschinen an den RES, sei es, dass sie ihn ignorieren, sei es, dass sie gar die robots.txt gezielt auswerten.

Zum Zweiten ist der RES ursrpünglich gedacht, um Suchmaschinen von Dateien fernzuhalten, die sie ohnehin nicht benötigen: Grafiken ohne wirklichen Inhalt oder Skripten im Verzeichnis „/cgi-bin“ etwa. Spätestens aber, seit archive.org die robots.txt auswertet, um zu erfahren, was nicht (öffentlich zugänglich) archiviert werden soll, müssen Webadmins auch sensible Informationen bekannt geben. Das macht die robots.txt für Rechercheure interessant. Schon allein, weil man mit einem Blick feststellen kann, ob der Verantwortliche den Unterschied zwischen einer unverbindlichen Nachricht an Spider und einem Passwordschutz für Verzeichnisse (der ja auch Suchmaschinen aussperrt) kennt.

Das Beispiel

Das wird klar, wenn man einen Blick in die robots.txt des Weißen Hauses wirft. (Um deren Webadmin nicht durch zu viele Klicks zu beunruhigen, verlinke ich hier auf eine lokal gespeicherte Kopie dieser Datei vom 14. Mai).

Auffällig ist, dass der Webadmin des Weißen Hauses vor allem die Texte der Website aus öffentlichen Suchmaschinen und der Wayback Machine heraushalten möchte.

Wohlvermerkt: Es ist nicht unsinnig, dass die Site des Weißen Hauses den RES nutzt: Für den (vermutlich regierungsinternen) Spider namens „whsearch“ sind die „Disallow“-Zeilen sehr viel weniger, und dem Anschein nach sinnvoll für eine umfassende Textsuche.

Seine Anwendung ist aber unüberlegt. Stellvertretend für viele andere Websites liefert die robots.txt des US-Präsidenten quasi eine Übersicht über heikle Inhalte. Aus technischer Perspektive ist dies Vorgehen unsinnig. Die Verantwortlichen hätten den Webserver so konfigurieren können, dass z.B. nur Anfragen von bestimmten IP-Adressen erfolgreich sind, während allen anderen (inklusive Suchmaschinen) Fehlermeldungen oder unsensible Inhalte geliefert werden.

Fazit: Beim Durchleuchten einer Website ist ein Blick in die robots.txt (oder deren Beobachtung z.B. durch Webdienste wie Changenotes obligat. Insbesondere kann die Datei Hinweise liefern, welche Inhalte die Betreiber einer Website als heikel ansehen, wenn sie nicht sogar eine ‘alternative Navigation’ ermöglicht.

[AUde]

Ein Eintrag, der nichts wenig mit Recherche im Sinne von nachschlagen oder rausfinden zu tun hat. Manchmal muss man eine Meldung gar nicht recherchieren, um zu entscheiden, sie nicht zu drucken … Die Leipziger Volkszeitung berichtetet am 27. Juni auf Seite 1 in einem Leitartikel folgendes:

Weniger Wettbewerb. Gesundheitsfonds beschlossen

Berlin/Leipzig (DW/H.E.). Die Koalition hat sich auf erste Eckpunkte der Gesundheitsreform verständigt. Ein zentraler Einigungspunkt ist, so bestätigten Regierungskreise gegenüber der LVZ, die Konzentration der gesetzlichen Kassen auf eine wettbewerbsfähige „Mindestbetriebsgröße“. Sollte es zu einer Mindestmitgliederzahl von einer Million Versicherter kommen, wie auch diskutiert wird, würde sich die Zahl der Kassen um 110 bis 120 verringern. Durch Fusionen würde sich die Kassenstruktur verschlanken und weniger Verwaltungskosten verursachen.

(Kostenlos online ist nur die ots-Vorabmeldung.)

Klar, ein Thema und noch nichts, was einen auf den ersten Blick wundern müßte. Die Google-Recherche „Anzahl Krankenkassen Deutschland“ bringt dann auf Rang eins den Wikipedia-Eintrag „Krankenkasse“, der die Information enthält, es gebe 253 gesetzliche Krankenkassen. Eine Zahl, die die google-Suche „253 gesetzliche Krankenkassen“ bei der KKH, Spiegel Online und dem Marburger Bund bestätigt und die auch wohl aktuell ist. Wir wissen nicht, wie Tagesschau.de dann auf zunächst 252 kommt, vielleicht eine Info aus dem angefragten Ministerium? Egal ist auch wurscht.

Aber mit der Recherche dieser Zahl wird der Unsinn klar, der der LVZ zumindest noch nicht zwingend auffallen musste. Nun lautet die Meldung, die Tagesschau.de unter Berufung auf die LVZ bringt, 110 bis 120 von 252/253 gesetzlichen Krankenkassen müssten ggf. schließen, damit nur noch solche übrig bleiben, die mindestens eine Million Mitglieder haben.

Also wenn maximal 133 Krankenkassen (253 ? 120 = 133) verbleiben, benötigen diese mindestens 133 Millionen Mitglieder (133 × 1 Million = 133 Millionen) – eine Zahl, die auch ohne die Berücksichtigung von Privatversicherten, Beamten, Unversicherten und Mitversicherten, von der Berücksichtigung großer Kassen mit mehreren Millionen Mitgliedern mal ganz abgesehen, in Deutschland einfach nicht erreicht werden kann.

Disclaimer: Mir ist die Meldung nur einzig und allein deshalb aufgefallen, weil ich mich beim Lesen der Schlagzeile im RSS-Feed, sofort an die Geschichte des hochverehrten Bildblogs erinnerte. Wofür die mir jetzt vermutlich noch ’ne Rechnung für in Anspruch genommene Fortbildung stellen. Recht haben sie ja: Lesen hilft. Hauptsache Habermas hat seinen Spaß.

Tagesschau.de hat die Meldung im Laufe des Tages mehrfach geändert – allerdings ohne den Zeitstempel zu ändern. Was man dort auch als Fehler ansieht. Wer Spaß dran hat – hier ist gleich noch einer zu finden, solange der Text und Zeitstempel (Stand: 01.07.2006 09:25 Uhr) unverändert bleiben.

Tags: Bildblog, CAR, Einmaleins, Gesundheitsreform, Krankenkasse, Leipziger Volkszeitung, Spiegel Online, Tagesschau.de

Jens Liebchen und Patrick Hof von Redteam-Pentesting haben die Folien ihres hervorragenden Vortrages auf der Jahreskonferenz des netzwerk recherche 2010 auf der Publikationsseite von Redteam-Pentesting zum freien Download veröffentlicht:
“Un(der)cover – Von der Online-Recherche hin zur gezielten Generierung neuer Informationsflüsse”
(PDF, 42 S., 3.787 KB)

Tags: Jahreskonferenz, Netzwerk Recherche, Recherche