uxzentrisch erörtert:
Eine kurze Sackgasse

Ein Beitrag von Jürgen Schmidt auf heise security hat mich zum Nachdenken gebracht.

Zusammengefasst geht es darum, dass wir überlange (SEO optimierte) und bisweilen kryptische (garnicht optimierte) URLs, die sich keiner merken kann, mittlerweile dank bit.ly, ow.ly, tinyurl.com und anderen URL-Verkürzungsservices überwunden haben. Praktisch für Twitter, E-Mails und tatsächlich auch die mündliche Übermittlung.

Doch bei den Short-URL-Diensten sind wir eigentlich in eine User-Experience-Sackgasse gefahren. Denn langfristig kann es so nicht funktionieren.

Wir haben die Sicherheit die »echte« URL hinter einem Link direkt angezeigt bekommen, gegen eine gewisse Bequemlichkeit im Handling getauscht. Und die neueren URL-Verkürzer wie ow.ly, die die Originalseite nur noch in einem iFrame laden, machen die Sache noch schlimmer, da man die »echte« URL eigentlich garnicht mehr zu Gesicht bekommt. Gewiss, wir brauchen diese Sicherheit nicht immer, dass wir die Quelle verifizieren können. Aber wie es schon Jürgen Schmidt schreibt:

»Am schlimmsten daran finde ich jedoch, dass wir durch diese Trennung von URL und Inhalt leichtfertig die Arbeit von Jahren aufs Spiel setzen, in denen wir versucht haben, Anwendern zu erklären: ›Achtet darauf, was in der Adressleiste steht‹.«

Und da hat er vollkommen recht. Viele unserer begehrten Internetuser verstehen nicht wirklich was sie tun, sondern lernen Nutzungsmuster auswendig und spulen diese immer wieder ab. Die Macht der Gewohnheit. Deswegen sind ja auch Phishing-Attacken in der Vergangenheit so erfolgreich gewesen. Aber endlich haben viele (schmerzhaft) gelernt, eben nicht blind überall draufzuklicken, sondern vorsichtig zu sein und zu prüfen. Gerade bei kritischen Geschäften wie Online Banking, eBay, etc.

Doch nun kommen die URL-Verkürzer und machen diesen mühsam gelernten kritischen Blick schwierig bis unmöglich. Das kann man eigentlich nicht wollen. Ein erstes Artefakt, dass die URL-Verkürzer durchaus geignet sind schaden anzurichten, habe ich leider gelöscht.

Ich habe vor kurzem meine erste Phishing-Mail erhalten, die bat die angegebene Kurz-URL aufzurufen. Erklärt wurde die Verwendung einer Kurz-URL mit technischem Pseudo-Gewäsch, das auf den ersten Blick recht schlüssig klang. Jetzt könnte man sagen: Selber schuld, wer klickt schon auf Links in E-Mails fragwürdiger Herkunft. Da kann auch der URL-Verkürzer nichts für. Sicherlich richtig, aber der echte Anschein der verkürzten URL, macht es eben doch noch ein wenig schwieriger

Noch schwieriger wird es bei Browser-Exploits, bei denen der Besuch einer präparierten Website schon genügt, um den Schaden zu haben. Hier verhindern die URL-Verkürzer jede Vorprüfung. Da hilft nur nicht klicken. Und von nun an, sicherheitshalber einfach auf garkeine Short-URLs klicken? Das kann wohl kaum die Lösung sein. Was also tun, wenn wir weiter die Bequemlichkeit kurzer URLs haben wollen? Und das sicher und für viele User?

Über die Langlebigkeit einer Kurz-URL brauchen wir hier garnicht reden. Man erinnere sich an das mittlerweile Rückgängig gemachte verscheiden von tr.im. Mehr als schnelllebige Kommunikation ist nicht verlässlich zu bewerkstelligen. Ich warte auf den Tag, wo bit.ly, Hoflieferant der Twitter-Community, den Dienst einstellt und das Geschrei groß sein wird. Ein wenig mehr Verlässlichkeit braucht es schon, denn »Cool URIs don’t change«, und mit den Kurz-URLs verdoppeln wir das Problem einfach mal.

Eine brauchbare Lösung für diese Schwierigkeiten zeigt Jürgen Schmidt bzw. heise.de auch gleich auf:

Nicht zuletzt, um dieser Entwicklung etwas entgegen zu setzen, haben wir übrigens für Heise-Artikel eigene Kurz-URLs eingeführt. […] Und wenn es noch kürzer sein muss, funktioniert alternativ auch http://ct.de/-90345.

Die Quelle ist verlässlich, die URLs werden hoffentlich so lange bestehen, wie das Angebot unter der derselben Domain und werden sie genauso wünschenswerterweise auch nicht ändern.

Warum also nicht zukünftig bei der Konzeption von Websites, bei denen die Nutzung von Kurz-URLs für die sekundären Kommunikation höchstwahrscheinlich ist, dieses Feature gleich mit berücksichtigen und direkt Short-URLs zum Weiterbenutzen anbieten? Technisch kein größeres Problem, und die meisten Domains sind doch auch kurz und knackig.

Also, Kurz-URLs, wie wir sie heute kennen, sind eine Sackgasse – sie sind potentiell gefährlich oder sorgen für Verwirrung oder enden früher oder später im Nirwana. Doch der Bedarf an verlässlichen Kurz-URLs ist mit ein wenig Fantasie bei vielen Internetnutzern zu sehen. Die Idee, dass jeder Anbieter direkt Kurz-URLs anbietet ist da garnicht so schlecht – die dürfen dann auch gerne ab den »/« frei formulierbar sein, damit es bloß »social« und »user-generated« bleibt, wenn es denn sein muss.

Dieser Artikel ist unter dem Permalink http://uxzentrisch.de/sackgasse zu erreichen. Diese URL ist nicht ge-SEO-ed, aber das ist ein anderes Thema und vielleicht mein nächstes.

6 Kommentare

Tobias Jordans uxzentrisch vor 6 Jahren

Was die ganze Pishing-Problematik betrifft: Wenn du hart aus UX Sicht argumentierst, zählen all diese Probleme nicht. Aus UX Sicht soll es dem Nutzer egal sein, was er klickt. Er hat sich nicht an die Technik anzupassen und vorher zu überlegen, ob er klicken darf. Die Technik hat sich um die Sicherheit zu kümmern.
Bei Firefox und Co zeigt sich das in den großen, roten Warnseiten »Diese Seite steht auf der Liste von Seiten mit schadhaftem Code!« und ähnlichem.
Auch Bit.ly hat solche Meldungen. Zumindest haben sie einmal bitly-URLs, die auf eine tr.im-URL verweisen haben, abgefangen und auf einer Warnseite darauf hingewiesen, dass sie nicht wissen, was sich hinter tr.im verbirgt und es auch schädlich sein könne.
Wobei ich hier ehrlich gesagt plumpes Negativmarketing vermute ;-).

Was die URLs sonst betrifft: Ich denke, hier muss man stark den Nutzungskontext berücksichtigen.
Ich wünsche mir schon immer, dass Twitter per Default die Shorturls auflöst in die original URLs, die fast immer sprechender und informationsreicher sind. Hier sind KurzURLs eigentlich überflüssig und nur aufgrund des IMO inzwischen sinnfreien SMS-Feature (=120 Zeichen) noch verbreitet. Oder würde ich in GoogleBuzz noch KurzURLs verwenden?

Für andere Dienste wie Heise oder auch Zeitungen, die aus dem Printartikel ins Netz verlinken, finde ich eigene Dienste sehr passend!

Peter Scheidt vor 6 Jahren

»Aus UX Sicht soll es dem Nutzer egal sein, was er klickt. Er hat sich nicht an die Technik anzupassen und vorher zu überlegen, ob er klicken darf. Die Technik hat sich um die Sicherheit zu kümmern.«

@Tobias: Bitte verzeih mir, dass ich Deinen sicherlich rein auf echten Schadecode gemünzten Gedanken ein wenig weiterspinne und etwas philosophisch werde:

Wie soll die Technik sich darum kümmern können, was ein sicherer Link ist?

Und selbst wenn das funktionieren sollte, will ich das? Bedeutet »optimale UX« wirklich, nicht mehr selber denken zu müssen?

Und selbst wenn dies wünschenswert wäre: Was genau macht einen »sicheren« Link aus, eine »sichere« Website? Wer entscheidet das?

Auf einen Link zu klicken, ist – für mich – in der Realität 1.0 vergleichbar mit dem Aufschlagen eines neuen Buches, auf das ich in einem anderen Buch verwiesen worden bin. Was das für ein Buch ist, weiß ich vorher nicht wirklich, und ich werde es nur dann herausbekommen, wenn ich es lese. Der Inhalt könnte betrügerisch sein, der Inhalt könnte mich verführen, einer Sekte beizutreten, oder aber mich erfreuen, um einen neuen Gedanken bereichern.

Konkretes Beispiel: Lies kein Buch von L. Ron Hubbard, in der Folge wirst Du materiellen und seelischen Schaden erleiden. Und obwohl ein gewisser Konsens herrscht, das das stimmt, wird das Buch immer noch verkauft, und erst recht hindert einen niemand, es zu lesen.

Und das ist gut so. Denn eine optimale UX ermöglicht es mir, das, was ich für richtig halte, auf eine möglichst optimale Weise zu tun. Über gute oder schlechte Inhalte urteile ich lieber selbst.

Tobias Jordans uxzentrisch vor 6 Jahren

@Peter: NACK.
Ich leite diese Forderung zum Beispiel und unter anderem aus Interface-Grundregeln ab, die besagen, dass kein System destruktiv mit meinen Daten umgehen darf. Es muss immer ein Rückgängig geben. Alle Prozesse, die automatisierbar sind und mir Arbeit abnehmen, hat es auch automatisch zu erfüllen.
Ganz schön formuliert sind solche Prinzipen bei http://humanized.com/about/

Wie die Technik das macht? – Was weiß ich. Ich sage nur, dass es nicht Aufgabe eines Nutzers sein sollte.
Und es gibt ja schon Ansätze (Zertifikate, Hinweisemeldungen, Pishingschutz, …).

Optimale UX? – Darauf muss ich nicht eingehen, oder?

Wie das aussehen kann? – Es gibt schon gute Beispiele: http://images.google.de/images?hl=de&um=1&sa=1&q=firefox+warning&btnG=Suche&aq=f&oq=&start=0 Firefox warnt mich, erlaubt mir aber selbst zu entscheiden, ob ich die Seite doch aufrufe. Genau das ist der richtige Weg!

Zu deiner Buchmetapher: Es geht nicht um den Text im Buch. Es geht darum, dass die Seiten des Buches mit Gift gepudert sind und du stirbst, wenn du es anfasst. Nur ausgebildete CIA-Agents können den Puder vor dem Anfassen erkennen. Und daher wünsche ich mir als Normalnutzer anderen Schutz!

Finn vor 6 Jahren

Die 140-Zeichen-Regel von Twitter finde ich eigentlich toll, aber sie ist leider auch die Wurzel des Übels. Sollte Twitter also URLs aus der Zeichenbegrenzung rausnehmen? Dann werden in Zukunft Tweets mit Pseudo-URLs künstlich in die Länge gezogen… aber vielleicht bringt uns Twitter ja bald die Antwort. Für dieses Jahr wurden uns ja einige Experimente in Aussicht gestellt:
http://www.faz.net/s/RubEC1ACFE1EE274C81BCD3621EF555C83C/Doc~ECACA36103E8A4093B5178F9CCBCA43B1~ATpl~Ecommon~Scontent.html

Vielleicht wird die hier beschriebene Problematik dabei ja auch behandelt – ich hoffe es jedenfalls, mir gehen diese Kurz-URLs nämlich genau aufgrund der mangelnden Transparenz ziemlich auf die Nerven :(

Lutz Schmitt Autor vor 6 Jahren

@Tobias: Das es dem Nutzer egal sein muss, worauf er klickt kann ich nicht stehen lassen. Klicks haben Konsequenzen, wie so vieles andere auch – wir leben ja nicht in einem Sandkasten. Gute UX bedeutet eher, dass der Nutzer sich der Konsequenzen des Klicks bewusst ist, doch genau da sind die Kurz-URLs halt ein Problem, weil sie Konsequenzen verschleiern können. Ob da nun andere Mechanismen greifen um davor zu schützen, ist eine andere Baustelle. Abgesehen davon sind die auch anfällig:
http://www.gdata.de/nl/virenforschung/news/news-details/article/1337-firefox-sicherheitswarnung-ent.html

Peter Scheidt vor 6 Jahren

@Tobias: Das kein System destruktiv mit meinen Daten umgehen soll, ist ja unbestritten. Das Problem ist ja nur, dass man mit dem Klick auf einen (externen) Link von einem System (aka Website A) auf ein anderes System (aka Website B) wechselt.

Natürlich kann die Technik mich vor vermeintlichen, vermuteten oder tatsächlichen Gefahren warnen, die auf dem Zielsystem liegen könnten. Das aber hat nichts mit der UX meiner Website zu tun, sondern mit der des Browsers bzw. der Qualität und Verlässlichkeit des Serviceangebotes des dahinterstehenden Unternehmens. Und egal, wie sehr ich dem Unternehmen vertraue, was mich auf dem anderen System erwartet, bleibt immer etwas risikobehaftet – und damit ganz allein in der Verantwortung des Nutzers.