Warum ist der Refer(r)er standardmäßig im Browser aktiviert?
Karl Heinz
- browser
- https
Hallo,
standardmäßig ist ja bei jedem Browser der Refer(r)er aktiviert.
Nun kann man diesen Referer ja z.B. in Firefox durch ein AddOn oder durch folgende Konfiguration deaktivieren:
Zu diesen Sachverhalt hätte ich zwei Fragen:
1.) Das dieser Referer beim Internet-Explorer oder Chrome standardmäßig aktiviert ist wundert mich nicht besonders, dass der Referer allerdings bei Firefox standardmäßig aktiviert ist wundert mich schon sehr. Warum ist der Referer beim Firefox nicht standardmäßig deaktiviert, das wäre doch bezogen auf den Datenschutz viel besser.
2.) Angenommen ich deaktiviere den Referer über eine der oben beschriebenen Methoden. Dann könnten Google Analytics oder andere Tracking-Systeme nicht mehr erkennen, über welchen Kanal (orgnisch, AdWords, Links usw.) ich auf eine Webseite gekommen bin? Liege ich da richtig? Siehe hierzu folgedener Link in welchem beschrieben wird, dass Google Analytics den Referer zur Identifikation der Quelle verwendet:
https://support.google.com/analytics/answer/6205762?hl=de&ref_topic=1032998#flowchart
Tach!
1.) Das dieser Referer beim Internet-Explorer oder Chrome standardmäßig aktiviert ist wundert mich nicht besonders, dass der Referer allerdings bei Firefox standardmäßig aktiviert ist wundert mich schon sehr. Warum ist der Referer beim Firefox nicht standardmäßig deaktiviert, das wäre doch bezogen auf den Datenschutz viel besser.
Mag sein, dass das aus Gründen besser ist, keinen Referrer zu senden. Aber dann würden auch einige Anwendungen kaputtgehen, die darauf aufbauen. Und wer ist dran schuld? Der Browser natürlich und nicht etwa der Webseitenbetreiber. Sowas überlegt man sich als Browserhersteller schon, ob man sich diesen Schuh anziehen möchte.
2.) Angenommen ich deaktiviere den Referer über eine der oben beschriebenen Methoden. Dann könnten Google Analytics oder andere Tracking-Systeme nicht mehr erkennen, über welchen Kanal (orgnisch, AdWords, Links usw.) ich auf eine Webseite gekommen bin? Liege ich da richtig?
Teilweise. Auch als URL-Parameter kann diese Information den Weg zu einem Tracking-System finden.
dedlfix.
Rein technisch hast du damit sicher Recht. Moralisch finde ich es eine komplett asoziale Einstellung den Datenschutz hinter den Interessen der Konzerne einzuordnen, nur weil man keinen berechtigten Widerstand leisten möchte, sondern lieber Klickzahlen abgreift - mit der Einstellung ist Mozilla damals mMn nicht gestartet. Gleiches Spiel gibt's ja immer wieder mit alten Zertifikaten und rückständiger Verschlüsselung. Da sieht man dann halt auf wessen Seite "die" stehen, das nagt dann an der Vertrauenswürdigkeit, ich muss mir bei jeder neuen Version überlegen was die jetzt schon wieder von meinem Rechner ungefragt mitliefern, und das macht so Krücken wie den Privaten Modus notwendig.
Hello,
Rein technisch hast du damit sicher Recht. Moralisch finde ich es eine komplett asoziale Einstellung den Datenschutz hinter den Interessen der Konzerne einzuordnen, nur weil man keinen berechtigten Widerstand leisten möchte, sondern lieber Klickzahlen abgreift - mit der Einstellung ist Mozilla damals mMn nicht gestartet. Gleiches Spiel gibt's ja immer wieder mit alten Zertifikaten und rückständiger Verschlüsselung. Da sieht man dann halt auf wessen Seite "die" stehen, das nagt dann an der Vertrauenswürdigkeit, ich muss mir bei jeder neuen Version überlegen was die jetzt schon wieder von meinem Rechner ungefragt mitliefern, und das macht so Krücken wie den Privaten Modus notwendig.
Ich stimme Dir hier zum gewählten Zusammenhang nicht zu. (-1). Bitte keine undurchdachte Pauschalschelte!
Der Referrer hat nichts mit dem "Abgreifen von Klickzahlen" zu tun, sondern nur damit, wer meine Seite empfohlen hat. Insofern wäre ein gültiger Referrer also auch im Sinne der Sicherheit und des Rechtsschutzes für den Webseitenbetreiber (wer wird schon gerne von einer absoluten Chaosseite empfohlen?) und damit auch zum Nutzen des Besuchers (wer will sich schon gerne verarschen lassen?).
Mit dem Referrer kann man lediglich den Weg eines Besuchers einen Schritt rückwärts verfolgen. EIn Referrer alleine ist also kein Tracking!
Ich stimme Dir aber zu, dass man im Browser technisch gesehen durchaus den Referrer abschalten könnte für alle externen Requests. Für Sekundärrequests auf dieselbe Domain sollte er aber zur Verfügung stehen. Dies wäre dann so eine Art SameOriginPolicy für Sekundärrequests. Ich muss zugeben, dass ich die bisher noch nirgends gefunden habe (Vermutlich gibt's das schon von Bosch...).
Wäre mal eine Idee für ein kleines PlugIn, oder?
Liebe Grüße
Tom S.
Hallo TS,
Für Sekundärrequests auf dieselbe Domain sollte er aber zur Verfügung stehen. (...) SameOriginPolicy (...) (Vermutlich gibt's das schon von Bosch...).
Von Bosch gibt's das vermutlich in einer Version, die im Prüflabor funktioniert und beim User fleißig Adressen abgreift (oder wer hat VW die Dieselsteuerung geliefert?)...
Rolf
Hello,
Für Sekundärrequests auf dieselbe Domain sollte er aber zur Verfügung stehen. (...) SameOriginPolicy (...) (Vermutlich gibt's das schon von Bosch...).
Von Bosch gibt's das vermutlich in einer Version, die im Prüflabor funktioniert und beim User fleißig Adressen abgreift (oder wer hat VW die Dieselsteuerung geliefert?)...
+Daimler +BMW, wenn man den gelegentlichen Nachrichten trauen darf.
Und wer hat sie Bosch untergejubelt? Auch diese (fiktive) Möglichkeit sollte man nicht außer Betracht lassen, oder?
Aber das weiß man bei Software und auch bei Microhardware ja heute nie. Da muss man dann schon Testszenarien aufbauen, die richtig Geld kosten und die auswertenden Leute müssen frei sein von Dünkel (also ohne Fanatismus offen für jede Verschwörungstheorie).
Liebe Grüße
Tom S.
Der Referrer hat nichts mit dem "Abgreifen von Klickzahlen" zu tun
Dann hast du Dedflix' Posting nicht richtig gelesen. Oder wenigsten keine vernünftige alternative These dazu aufgestellt, warum ein Browserhersteller dieses Verhalten sonst überhaupt voreinstellt.
Insofern wäre ein gültiger Referrer
Den Rest des Satzes kannst du dir sparen. Das sind Clientdaten, die haben weder Gültigkeit noch Sicherheit, da willkürlich manipulierbar. Referrerbombing gehört zum Penetrationtesting.
Mit dem Referrer kann man lediglich den Weg eines Besuchers einen Schritt rückwärts verfolgen. EIn Referrer alleine ist also kein Tracking!
Rückverfolgung ist Tracking. Wie weit spielt keine Rolle. Oder wo fängt das an? 10 Schritte? 100 Schritte? Du musst da ja eine konkrete Zahl grösser 1 mit einer nachvollziehbaren Begründung im Kopf haben. Wenn ich auf seidenschluepfer.com war geht das ebay.de nichts an. Aber genau dieses Verhalten wird für 99% der Benutzer versteckt abgewickelt.
Hello,
Insofern wäre ein gültiger Referrer [...]
Den Rest des Satzes kannst du dir sparen. Das sind Clientdaten, die haben weder Gültigkeit noch Sicherheit, da willkürlich manipulierbar. Referrerbombing gehört zum Penetrationtesting.
Du denkst mMn zu kurz und verfremdest auch meine Aussage. Selbstverständlich bedeutet ein Referrer für den Webseitenbetreiber einen Sicherheitsgewinn. Er kann die empfehlenden Seiten aufsuchen und schauen, aus welchem Umfeld heraus er empfohlen wurde. Da gibt es durchaus Negativbeispiele! Und wenn dann mal ein Referrer nicht brauchbar ist (nicht jeder Client manipuliert den), dann wird er eben aussortiert. Er kann damit auch prüfen, ob der Subrequest zum Hauptrequest passt.
Für die Clientseite deutet der Referrer darauf hin, dass der Subrequest wirklich aus der richtigen Primärseite heraus generiert wurde und für seine Anfrage nicht aus Versehen Intanzen des Hauptrequests gemischt wurden. Das ist bei Verwaltungssoftware über HTTP/s höchst interessant! Da wird dann auch kein Client seinen Referrer fälschen wollen, denn damit würde er ja seine eigene Arbeit sabotieren.
Und wer arbeitet schon gerne doppelt?
Liebe Grüße
Tom S.
Selbstverständlich bedeutet ein Referrer für den Webseitenbetreiber einen Sicherheitsgewinn. Er kann die empfehlenden Seiten aufsuchen
Er sieht Ergebnisse aus zwei Gruppen: die, die das unbeabsichtigt richtig mitschicken + die, die es beabsichtigt richtig mitschicken. Das mag statistisch interessant sein, hat aber nichts mit Gültigkeit oder Sicherheit zu tun. Viel interessanter sind die Gruppen die er nicht oder verfälscht sieht: die, die den Referrer nicht mitschicken + die, die bewusst einen falschen Referrer mitschicken + die, die unbewusst (Trojaner) einen falschen Referrer mitschicken. Er kann also eben nicht "mit Sicherheit" sagen wo jemand herkommt.
Daran ändert auch nicht, dass du dir ein lokales Beispiel für ein globales Problem zurechtlegst.
Hello,
[...] und Du scheinst Dir über die Zusammenhänge nicht im Klaren zu sein. Der Referrer wird nicht von der zuvor besuchten Seite aus mitgeschickt, sondern vom Client, der diese Seite besucht hat. Die Millionen von Clients entscheiden das eigenständig, was sie senden.
Folglich gibt es bei einer erfolgreichen Verlinkung von einer fremden Seite auf die eigene diverse Besucher, die den Referrer richtig mitsenden. Und dies gibt dem Seitenbetreiber der eigenen Seite gute Hinweise darauf, wo er verlinkt wurde. Er kann die Seiten dann selber aufsuchen und sich anschauen, ob ihm das gefällt oder wie er sich revanchiert. Das Internet ist auf Zusammenarbeit ausgelegt und nicht primär auf Krieg!
Der Referrer steigert also die Sicherheit und die Möglichkeiten des Webseitenbetreibers und vermindert sie nicht!
Der Client ist dabei nur Überbringer der Nachricht. Ob man für den Client überhaupt eine verwertbare Aussage daraus gewinnt (außer, dass er wohl die empfehlende Seite genau vorher besucht haben könnte), wage ich zu bezweifeln.
Personalisierte Links (also solche mit meist kryptischen Parametern im Anhang) sind da mMn viel kritischer zu betrachten.
Liebe Grüße
Tom S.
und Du scheinst Dir über die Zusammenhänge nicht im Klaren zu sein. Der Referrer wird nicht von der zuvor besuchten Seite aus mitgeschickt, sondern vom Client
Darum geht's doch von Anfang an, und was anderes habe ich nicht behauptet. Hast du nicht aufgepasst? Kannst du dir sparen. Ich hab nicht damit angefangen irgendwen anders ins Spiel zu bringen.
Folglich gibt es bei einer erfolgreichen Verlinkung von einer fremden Seite auf die eigene diverse Besucher, die den Referrer richtig mitsenden.
Ja und wenn nicht? Was ist denn jetzt mit Fake-Refererrn? Wo ist da die Sicherheit?
Und dies gibt dem Seitenbetreiber der eigenen Seite gute Hinweise darauf, wo er verlinkt wurde. Er kann die Seiten dann selber aufsuchen und sich anschauen, ob ihm das gefällt oder wie er sich revanchiert.
Hab ich ja gesagt: er kann seine Hoffnung darauf setzen dass da statistisch wertvolle Informationen drinstehen. Aber er hat nicht einen potentiell gültigen Datensatz.
Das Internet ist auf Zusammenarbeit ausgelegt und nicht primär auf Krieg!
Ja genau, erzähl das mal der DARPA, der NSA, dem BND und den ganzen IoT Botnetzen. Was hat irgendeine virtuelle Intention mit konkreten Angriffsvektoren zu tun? Der Grossteil der Zeit in Webanwendungen geht doch für's validieren drauf, weil du niemals Clientdaten vertrauen darfst. Das trifft auch auf den Referrer zu.
Der Referrer steigert also die Sicherheit und die Möglichkeiten des Webseitenbetreibers und vermindert sie nicht!
Welche Sicherheit? Sicherheit vor was? Gegen welchen Angriff? Der Betreiber ist das kleinste und irrelevanteste Licht in der ganzen Kette, und seine Möglichkeiten zu erhöhen ist nicht Aufgabe des Clients wenn er nicht danach gefragt wurde.
Der Client ist dabei nur Überbringer der Nachricht. Ob man für den Client überhaupt eine verwertbare Aussage daraus gewinnt (außer, dass er wohl die empfehlende Seite genau vorher besucht haben könnte), wage ich zu bezweifeln.
Der Browser macht das vorallem hinter dem Rücken des Benutzers. Es geht keinen was an wo jemand vorher war. Es spielt auch keine Rolle welcher Zweck damit verfolgt wird. Die Standardeinstellung ist Müll.
Hallo,
Ich stimme Dir aber zu, dass man im Browser technisch gesehen durchaus den Referrer abschalten könnte für alle externen Requests. Für Sekundärrequests auf dieselbe Domain sollte er aber zur Verfügung stehen. Dies wäre dann so eine Art SameOriginPolicy für Sekundärrequests. Ich muss zugeben, dass ich die bisher noch nirgends gefunden habe (Vermutlich gibt's das schon von Bosch...).
Wäre mal eine Idee für ein kleines PlugIn, oder?
beim Firefox geht da was mit about:config, siehe z.B. http://technikblog.gerhard-kerner.at/index.php?/archives/166-Firefox-Referer-ausschalten-deaktivieren-oder-konfigurieren.html
Fred
Hello,
Ich stimme Dir aber zu, dass man im Browser technisch gesehen durchaus den Referrer abschalten könnte für alle externen Requests. Für Sekundärrequests auf dieselbe Domain sollte er aber zur Verfügung stehen. Dies wäre dann so eine Art SameOriginPolicy für Sekundärrequests. Ich muss zugeben, dass ich die bisher noch nirgends gefunden habe (Vermutlich gibt's das schon von Bosch...).
Wäre mal eine Idee für ein kleines PlugIn, oder?
beim Firefox geht da was mit about:config, siehe z.B. http://technikblog.gerhard-kerner.at/index.php?/archives/166-Firefox-Referer-ausschalten-deaktivieren-oder-konfigurieren.html
Das ist es schon fast.
Zumindest die passive Lösung für diejenigen, die die SOP mögen.
Schöner Tipp!
Liebe Grüße
Tom S.
Hello,
standardmäßig ist ja bei jedem Browser der Refer(r)er aktiviert.
Nun kann man diesen Referer ja z.B. in Firefox durch ein AddOn oder durch folgende Konfiguration deaktivieren:
Nun kann man sich überlegen, was besser ist:
Es wäre mMn wichtiger, Javascript und Java (gibt's ja auch noch) daran zu hindern, Informationen an irgendwelche Webseiten zu senden, die ohne Einwilligung des Benutzers nicht nach draußen gehören!
Liebe Grüße
Tom S.
1.) Das dieser Referer beim Internet-Explorer oder Chrome standardmäßig aktiviert ist wundert mich nicht besonders, dass der Referer allerdings bei Firefox standardmäßig aktiviert ist wundert mich schon sehr. Warum ist der Referer beim Firefox nicht standardmäßig deaktiviert, das wäre doch bezogen auf den Datenschutz viel besser.
Nein. Definiere erst mal genau Datenschutz. Aktuell verbinde ich Datenschutz mit Entrechtung, Bevormundung und Zensur des freien Individuums. Wenn du aus Datenschutzgründen keinen Referrer mitsenden willst und auf HTTPS setzt, "weil es sicherer ist", dann sollte man wissen, das da generell der Referrer mit gesendet wird.
2.) Angenommen ich deaktiviere den Referer über eine der oben beschriebenen Methoden. Dann könnten Google Analytics oder andere Tracking-Systeme nicht mehr erkennen, über welchen Kanal (orgnisch, AdWords, Links usw.) ich auf eine Webseite gekommen bin? Liege ich da richtig? Siehe hierzu folgedener Link in welchem beschrieben wird, dass Google Analytics den Referer zur Identifikation der Quelle verwendet:
https://support.google.com/analytics/answer/6205762?hl=de&ref_topic=1032998#flowchart
Nein. Das kann sein, muss aber nicht. Es gibt einige andere mögliche Trackingverfahren die davon völlig unberührt sind.
Hallo
Definiere erst mal genau Datenschutz. Aktuell verbinde ich Datenschutz mit Entrechtung, Bevormundung und Zensur des freien Individuums.
Datenschutz ist Entrechtung, Bevormundung und Zensur des freien Individuums? Ist das deine These oder verstehe ich dich einfach nur falsch?
Tschö, Auge
Und den letzten Schritt meiner Browserhistorie in der Welt zu verteilen ist dann einfach OK? Das ungefragt zu tun ist keine Bevormundung?
Hello,
Wieso "in der Welt zu verteilen"?
Du sendest die Information an genau eine Zieladresse mit, nämlich diejenige, die in der letzten besuchten Seite verlinkt war.
Besuchst Du hingegen eine neue Adresse, die also nicht verlinkt war und folglich von Dir eigenständig als Ziel angegeben werden musste, sollte der Referrer leer sein. Immer vorausgesetzt, Du hast keine Manipulation vorgenommen.
Liebe Grüße
Tom S.
Hallo TS,
Wieso "in der Welt zu verteilen"?
Weil man nicht in der Hand hat, welche Ressourcen andere Webseiten einbinden.
LG,
CK
Hello,
Wieso "in der Welt zu verteilen"?
Weil man nicht in der Hand hat, welche Ressourcen andere Webseiten einbinden.
Da wäre dann der Tipp von Fred interesssant
Solange der Link nicht personalisiert ist, würde ich das immer noch als unbedenklich ansehen.
#Preisfrage:
Kann man mittels Javascript den Cookie von Domain A an den Link nach Domain B anhängen?
Liebe Grüße
Tom S.
Hallo TS,
Solange der Link nicht personalisiert ist, würde ich das immer noch als unbedenklich ansehen.
Mit Techniken wie Cookies ist auch ohne personalisierten Link erkennbar, welcher User welche Seite besucht hat. So funktionieren Google, Facebook & co.
#Preisfrage:
Kann man mittels Javascript den Cookie von Domain A an den Link nach Domain B anhängen?
Ich weiss nicht, was du damit meinst.
LG,
CK
Hello,
Solange der Link nicht personalisiert ist, würde ich das immer noch als unbedenklich ansehen.
Mit Techniken wie Cookies ist auch ohne personalisierten Link erkennbar, welcher User welche Seite besucht hat. So funktionieren Google, Facebook & co.
Können denn ohne personalisierte Links und/oder JavaScript Daten von einer Seite auf die andere übertragen werden beim GET? Wie geht das? Da ist mir vermutlich 'was entgangen.
Wie geht das mit Cookies alleine?
Seite A setzt einen Cookie. Wie kommt der auf Seite B?
Liebe Grüße
Tom S.
Hallo TS,
Solange der Link nicht personalisiert ist, würde ich das immer noch als unbedenklich ansehen.
Mit Techniken wie Cookies ist auch ohne personalisierten Link erkennbar, welcher User welche Seite besucht hat. So funktionieren Google, Facebook & co.
Können denn ohne personalisierte Links und/oder JavaScript Daten von einer Seite auf die andere übertragen werden beim GET? Wie geht das? Da ist mir vermutlich 'was entgangen.
Umgekehrt. Dir ist etwas entgangen. Beispiel Google: Google setzt einen Cookie, damit bist du identifizierbar. Du surfst Seite foo
an, foo
bindet einen Font von Google Fonts ein. Google bekommt jetzt den Referrer zusammen mit dem Cookie und weiss damit, welche Seite du gerade besuchst.
Wie geht das mit Cookies alleine?
Seite A setzt einen Cookie. Wie kommt der auf Seite B?
Nein, Seite B setzt bereits vorher den Cookie.
LG,
CK
Tach!
Umgekehrt. Dir ist etwas entgangen. Beispiel Google: Google setzt einen Cookie, damit bist du identifizierbar. Du surfst Seite
foo
an,foo
bindet einen Font von Google Fonts ein. Google bekommt jetzt den Referrer zusammen mit dem Cookie und weiss damit, welche Seite du gerade besuchst.
Theoretisch wäre das möglich. Praktisch sehe ich jedoch keinen Cookie, der zu fonts.googleapis.com gesendet wird. Man müsste auch nicht "bei Google" gewesen sein, sondern auf fonts.googleapis.com oder googleapis.com. google.de bindet laut Netzwerktrace auch keinen Font ein. Und bei wiederholten Aufrufen von Seiten mit einbindenden Fonts kommt der Font auch aus dem Cache. Viel mit Tracking ist da also nicht.
Man darf auch gern mal die Paranoia etwas beiseite lassen, wenn die Fakten nicht dafürsprechen. Ich weiß, das war nur ein Beispiel, aber warum musste da wieder mal Google herhalten, wenn gerade bei denen das geschilderte Verhalten nicht nachvollziehbar ist? Man kann sowas auch mit Beispielen ohne unzutreffende Bezichtigungen erläutern.
dedlfix.
Hello,
Und bei wiederholten Aufrufen von Seiten mit einbindenden Fonts kommt der Font auch aus dem Cache. Viel mit Tracking ist da also nicht.
Bei entsprechender Einstellung würde aber doch trotzdem ein Request abgesetzt. Der müsste dann den Cookie trotzdem anhängen haben, oder?
Ob da als Antwort nur Status 304 kommt, wäre doch für den bereits vorhendenen Cookie unerheblich. Kann die Response mit Status 304 eigentlich den Cookie erneuern?
Liebe Grüße
Tom S.
Tach!
Und bei wiederholten Aufrufen von Seiten mit einbindenden Fonts kommt der Font auch aus dem Cache. Viel mit Tracking ist da also nicht.
Bei entsprechender Einstellung würde aber doch trotzdem ein Request abgesetzt. Der müsste dann den Cookie trotzdem anhängen haben, oder?
Wo kein Cookie gesetzt ist, wird keiner mitgesendet. Abgesehen davon, wird das wohl auf die konkreten Cache-Settings ankommen, ob gar nichts oder ein "hast du vielleicht was neues? - nö." abläuft.
dedlfix.
Hallo dedlfix,
Theoretisch wäre das möglich. Praktisch sehe ich jedoch keinen Cookie, der zu fonts.googleapis.com gesendet wird.
Die Fonts kommen von gstatic.com
, nur das CSS kommt von googleapis.com
.
Der Punkt war auch nicht, dass sie es tun, sondern dass sie es tun können. Und sie können es auch jederzeit einschalten.
Man darf auch gern mal die Paranoia etwas beiseite lassen, wenn die Fakten nicht dafürsprechen.
Paranoia war nicht der Punkt. Aber danke, dass du dir Sorgen um meine geistige Gesundheit machst. 🙄
LG,
CK
Tach!
Theoretisch wäre das möglich. Praktisch sehe ich jedoch keinen Cookie, der zu fonts.googleapis.com gesendet wird.
Die Fonts kommen von
gstatic.com
, nur das CSS kommt vongoogleapis.com
.
Auch da ist kein Cookie im Spiel. Und das Cachen ist erlaubt für 1 Jahr. Ist also auch für das Tracking reichlich ungeeignet.
Der Punkt war auch nicht, dass sie es tun, sondern dass sie es tun können. Und sie können es auch jederzeit einschalten.
Warum sollten sie das für Fonts tun? Damit Webseiten langsamer aufgebaut werden und Google-Fonts negative Publicity bekommen und sie am Ende keiner mehr verwenden möchte?
Man darf auch gern mal die Paranoia etwas beiseite lassen, wenn die Fakten nicht dafürsprechen.
Paranoia war nicht der Punkt. Aber danke, dass du dir Sorgen um meine geistige Gesundheit machst. 🙄
Deine Gesundheit ist mir egal, ich sähe es nur lieber, wenn allgemein nicht so sehr Halbwissen und Spekulation statt Fakten im Vordergrund stünden.
dedlfix.
Hello,
Umgekehrt. Dir ist etwas entgangen. Beispiel Google: Google setzt einen Cookie, damit bist du identifizierbar. Du surfst Seite
foo
an,foo
bindet einen Font von Google Fonts ein. Google bekommt jetzt den Referrer zusammen mit dem Cookie und weiss damit, welche Seite du gerade besuchst.Wie geht das mit Cookies alleine?
Seite A setzt einen Cookie. Wie kommt der auf Seite B?Nein, Seite B setzt bereits vorher den Cookie.
Jaa, stimmt. Das habe ich übersehen. :-O
Das lohnt sich dann aber nur für große Seiten mit vielen identifizierbaren Usern, so wie eben Google eine ist.
Wenn ich das auf einer meiner mäßig besuchten Seiten machen würde, könnte ich kaum Erkenntnisse daraus ziehen. "In der Welt verteilen" bleibt also Google vorbehalten :-(
Liebe Grüße
Tom S.
Hallo
Das lohnt sich dann aber nur für große Seiten mit vielen identifizierbaren Usern, so wie eben Google eine ist.
Wenn ich das auf einer meiner mäßig besuchten Seiten machen würde, könnte ich kaum Erkenntnisse daraus ziehen.
Wieviele Seiten würden auch Cookies von dir setzen wollen? Damit die das tun, musst du schon einen beliebten Dienst betreiben.
"In der Welt verteilen" bleibt also Google vorbehalten :-(
Und Facebook und Twitter und Amazon und … ach ja, und alle, die auf deren Daten Zugriff haben.
Es ist ja eben nicht nur Google.
Tschö, Auge
Hallo
Wie geht das mit Cookies alleine?
Seite A setzt einen Cookie. Wie kommt der auf Seite B?
Öhhm, (außer über Bugs im Browser oder in Websites) nicht.
Allerdings ist es (leider) gängige Praxis, Dienste von Fremdanbietern in die eigenen Seiten einzubinden. Setzen diese Fremddienste eigene Cookies, werden die halt bei jedem Request mitgeschickt.
Bei Diensten wie Google oder Facebook, die auf vielen Seiten eingebunden werden, wirst du als Besucher somit über die Domaingrenzen hinweg identifizierbar. Dazu kommen noch weitere Verfahren, die zu deiner Identifizierbarkeit beitragen, wie z.B. die Ermittlung von Betriebssystem, installierten Schriften und Browserplugins, etc. Das alles zusammen ergibt einen recht eindeutigen Abdruck deines Systems.
Es wäre in dieser Hinsicht hilfreich, wenn es im Browser (einfacher) möglich wäre, zusätzlich zur Sperrung der Cookies von Drittabbietern und der Sperrung von Skripten aus bestimmten Quellen (über Plugins) auch den Zugriff auf bestimmte Ziele wie der installierten Plugins, Schriften, der Browserhistory oder der Geoposition ganz oder selektiv zu sperren.
Tschö, Auge
Hello,
Es wäre in dieser Hinsicht hilfreich, wenn es im Browser (einfacher) möglich wäre, zusätzlich zur Sperrung der Cookies von Drittabbietern und der Sperrung von Skripten aus bestimmten Quellen (über Plugins) auch den Zugriff auf bestimmte Ziele wie der installierten Plugins, Schriften, der Browserhistory oder der Geoposition ganz oder selektiv zu sperren.
Genau über die Cookies von Drittanbietern habe ich eben nachgedacht. Was aber die Einstellung, die es im Firefox mal gab (in den neuen Versionen finde ich sie nicht mehr) "Cookies von Drittanbietern akzeptieren: nie" nun für mein Tracking bedeuten könnte, wollte ich gerade nochmal nachstellen.
Beim direkten Aufruf des "Drittanbieters" ist er ja Erstanbieter und bei meiner üblichen Einstellung würde ich den Cookie akzeptieren. Wenn ich dann eine Seite aufrufe, in der ein Trackingpixel zum Drittanbieter enthalten ist, habe ich den Cookie ja schon akzeptiert. Wird er dann trotzdem nicht mitgesendet?
Da steht ja nicht "Cookies an Drittanbieter nicht mitsenden"!
Liebe Grüße
Tom S.
Hallo
Genau über die Cookies von Drittanbietern habe ich eben nachgedacht. Was aber die Einstellung, die es im Firefox mal gab (in den neuen Versionen finde ich sie nicht mehr) "Cookies von Drittanbietern akzeptieren: nie" nun für mein Tracking bedeuten könnte, wollte ich gerade nochmal nachstellen.
Die Einstellung findest du unter Datenschutz⇒Chronik, wenn du „nach benutzerdefinierten Eisntellungen anlegen“ auswählst. Was die Cookie-Einstellungen auch immer mit der Chronik zu tun haben.
Beim direkten Aufruf des "Drittanbieters" ist er ja Erstanbieter und bei meiner üblichen Einstellung würde ich den Cookie akzeptieren. Wenn ich dann eine Seite aufrufe, in der ein Trackingpixel zum Drittanbieter enthalten ist, habe ich den Cookie ja schon akzeptiert. Wird er dann trotzdem nicht mitgesendet?
Wenn der Betreiber einer Domain einen Dienst von Google (oder wem auch immer) einbindet und Google (oder wer auch immer) Cookies setzen, senden lassen und empfangen will, ist Google (oder wer auch immer) Drittanbieter. Ich kenne den Quellcode von Firefox nicht (nicht, dass ich zwingend davon ausgehe, dass ich daraus schlau würde), interpretiere das aber so, dass diese Cookies erst gar nicht akzeptiert werden, auch wenn der selbe Anbieter sie für seine eigenen Seiten verwenden darf.
Tschö, Auge
Das passiert genau jedes Mal wenn ich einen Link anklicke, jede Seite die ich durch Link aufrufe bekommt diese Information. Jedes Mal wieder wenn ich den Link anklicke. Also wird diese Information in der Welt rumverteilt, ständig. Ohne HTTPS bekommen diese Info dann auch noch Dritte.
Der zweite Fall spielt hier keine Rolle. Der Referrer sollte immer leer sein, als Standardeinstellung. Wo ich vorher war geht niemanden was an. Das der Browser Trackinginformationen weitergibt sollte unterdrückt, oder mindestens unüberlesbar angezeigt werden. Wo ist das Problem das Opt-In zu machen?
Hello,
Das passiert genau jedes Mal wenn ich einen Link anklicke, jede Seite die ich durch Link aufrufe bekommt diese Information.
Bitte genauer: Welche Domains bekommen welche Informationen?
Jedes Mal wieder wenn ich den Link anklicke. Also wird diese Information in der Welt rumverteilt, ständig. Ohne HTTPS bekommen diese Info dann auch noch Dritte.
Diese Information wird genau an die Domains verteilt, von denen die besuchte Seite Elemente enthält, also nicht "in der Welt herum verteilt". Das ist eine sehr überschaubare Menge von Domains, die da Informationen darüber bekommen.
Und hier hat ja Fred einen mMn sehr guten Hinweis gegeben, wie man das zumindest im Firefox auf SOP beschränken kann. Dann werden aber Collaboration und Syndication nicht mehr so einfach funktionieren, wie jetzt.
Liebe Grüße
Tom S.
Es geht nicht um Domains. Alle Router und das Zielsystem ausserhalb meines Rechners bekommen diese Information - und die sind allesamt zu viel. Ohne meine Einverständnis und sogar ohne meine Kenntnis (!) geht meine Browserhistorie niemanden etwas an. Das ist genau der gleiche Krempel wie neulich in den USA, nur kleiner.
Dann werden aber Collaboration und Syndication nicht mehr so einfach funktionieren
Gut so. Datenschutz und Privatsphäre kommen nunmal mit einem Zuschlag an Aufwand, der nicht auf dem Rücken der Unwissenden ausgetragen wird. Und wenn ein paar Leute dann halt auf trackmichundmeineletztepornoseite.com ein Popup "jetzt meine letzte Pornosichtung statistisch auswerten und für immer speichern damit die bei einem Leak abgegriffen werden können" bestätigen müssen, reicht mir das. Ist doch das gleiche Spiel mit Formulardaten auf unverschlüsselten Seiten, da wird auch einfach drauf hingewiesen. Opt-In meiner Daten kann ja wohl kein Problem sein.
Hello,
Es geht nicht um Domains. Alle Router und das Zielsystem ausserhalb meines Rechners bekommen diese Information - und die sind allesamt zu viel. Ohne meine Einverständnis und sogar ohne meine Kenntnis (!) geht meine Browserhistorie niemanden etwas an. Das ist genau der gleiche Krempel wie neulich in den USA, nur kleiner.
Wenn Du nicht willst, dass jemand anderes wissen kann, mit wem Du Kontakt aufnimmst, dann musst Du dich eben in deinem Keller einmauern.
Selbst, wenn Du deine Briefe persönlich zum Adressaten bringen würdest, könntest Du dabei beobachtet werden. Und wer weiß schon, ob der Adressat den Briefinhalt dann nicht (unberechtigt) in der Bildzeitung abdrucken lassen wird?
Da finde ich das Internet als Transportmedium schon diskreter. Da kann ich VPN und Anonymisierungsdienste nutzen und muss noch nicht einmal mein Bett verlassen dazu.
Liebe Grüße
Tom S.
Hallo
… Ohne meine Einverständnis und sogar ohne meine Kenntnis (!) geht meine Browserhistorie niemanden etwas an.
Wenn Du nicht willst, dass jemand anderes wissen kann, mit wem Du Kontakt aufnimmst, dann musst Du dich eben in deinem Keller einmauern.
Das ist ein absolut schwachsinniges Argument. Dir sind also Seitenoptimierungen so wichtig, dass du damit die Untergrabung eines verfassungsmäßigen Rechts rechtfertigst. Dass viel zu viele Menschen ihre Rechte aufgeben, weil sie sich dessen nicht bewusst sind oder es ihnen schlicht egal ist, ist schon schlimm genug. Dass du sie hier jemandem bewusst absprichst, ist hingegen eine Schande.
Tschö, Auge
Hello,
Wenn Du nicht willst, dass jemand anderes wissen kann, mit wem Du Kontakt aufnimmst, dann musst Du dich eben in deinem Keller einmauern.
Das ist ein absolut schwachsinniges Argument. Dir sind also Seitenoptimierungen so wichtig, dass du damit die Untergrabung eines verfassungsmäßigen Rechts rechtfertigst. Dass viel zu viele Menschen ihre Rechte aufgeben, weil sie sich dessen nicht bewusst sind oder es ihnen schlicht egal ist, ist schon schlimm genug. Dass du sie hier jemandem bewusst absprichst, ist hingegen eine Schande.
Du interpretierst mich leider falsch.
Ich habe jetzt auch keine Zeit, das näher zu beleuchten. Dazu komme ich später aber nochmal.
Ich möchte aber auch noch einen Aspekt hinzufügen, der von den Paranoiden betrachtet werden sollte:
SNI für TLS bei HTTP
Das stellt mMn schon ein Loch im Eimer dar!
Wenn ich mich also auf eure Seite schlagen soll, dann sagt mir, dass ich damit Recht habe!
Liebe Grüße
Tom S.
Hallo
Wenn Du nicht willst, dass jemand anderes wissen kann, mit wem Du Kontakt aufnimmst, dann musst Du dich eben in deinem Keller einmauern.
Das ist ein absolut schwachsinniges Argument. Dir sind also Seitenoptimierungen so wichtig, dass du damit die Untergrabung eines verfassungsmäßigen Rechts rechtfertigst. Dass viel zu viele Menschen ihre Rechte aufgeben, weil sie sich dessen nicht bewusst sind oder es ihnen schlicht egal ist, ist schon schlimm genug. Dass du sie hier jemandem bewusst absprichst, ist hingegen eine Schande.
Du interpretierst mich leider falsch.
Du sagst, er solle sich im Keller einmauern, wenn er bestimmte Informationen nicht in fremde Hände geben will. Ich denke nicht, dass das missinterpretierbar ist.
Tschö, Auge
Hallo Tom,
Ich möchte aber auch noch einen Aspekt hinzufügen, der von den Paranoiden betrachtet werden sollte:
SNI für TLS bei HTTP
Das stellt mMn schon ein Loch im Eimer dar!
Gruß
Julius
Ich möchte aber auch noch einen Aspekt hinzufügen, der von den Paranoiden betrachtet werden sollte:
SNI für TLS bei HTTP
Das stellt mMn schon ein Loch im Eimer dar!
Sicherlich.
Wenn auf einem Server mehrere Webseiten unter verschiedenen Domains sind, dann will ich wömöglich nicht, dass bei einer verschlüsselten Verbindung offengelegt wird, welchem der Webauftritte ich mir ansehe. Nehmen wird was wie blogger: Anhand der Subdomain könnte man erkennen, dass ich statt eines Blogs mit Katzenbildern in Wahrnehmung meiner immer mehr missachteten Verfassungsrechte oder halt zufällig im Blog eines islamisch-kommunistischen Reichsbürgers gelesen und also womöglich als registrierter zeitweiliger Inhaber der IP-Adresse 174.257.31.2 am 32.15.2016 um 18:61 Uhr den sarkastischen Kommentar "Bomben statt Blumen!" hinterlassen habe. In Bayern droht mir dafür unbegrenzte "Präventivhaft". Die Nazis nannten das übrigens "Schutzhaft".
Eine "paranoide" Wahrnehmung des privaten Sicherheitsbedürfnisses ist jedenfalls nichts schlechtes. Nur erscheint mir das Sicherheitsbedürfnis der Partei-und Staatsführung etwa in Bayern, der Türkei oder China als krankhaft.
- Folgendes in Firefox Adresszeile eingeben: about:config
- Suchen nach der Zeile Filter network.http.sendRefererHeader
- Doppelklicken auf network.http.sendRefererHeader.
- Ändern des Wertes von 2 auf 0. Ergo: Referer = aus.
… und Probleme auf manchen Webseiten, siehe unten.
Besser: network.http.sendRefererHeader auf dem Standardwert lassen und stattdessen network.http.referer.spoofSource einschalten.
Noch besser: In jüngeren Versionen gibt es die Einstellung network.http.referer.userControlPolicy. Mit dem Wert 1 sendet der Browser die Information nur an dieselbe Quelle zurück (also an denjenigen, der sowieso schon weiss, was man vorher von ihm geholt hat), was meines Erachtens ein vernünftiger Kompromiss zwischen Datenschutz für den Nutzer und freundlicher Hilfe für den Serverbetreiber (ebenfalls siehe unten) ist.
dass der Referer allerdings bei Firefox standardmäßig aktiviert ist wundert mich schon sehr.
Dieser Wert wird seit über 20 Jahren von jedem Browser übermittelt. Sinn war nicht etwa, hinter einzelnen Personen hinterzuschnüffeln, sondern das Aufspüren von verwandten Seiten wie auch fehlerhaften Verweisen. So steht's in RFC 1945:
This allows a server to generate lists of back-links to resources for interest, logging, optimized caching, etc. It also allows obsolete or mistyped links to be traced for maintenance.
Das Netz war mal ein freundlicher Ort der Wissensmehrung. Nicht alles, was dir asozial erscheint, ist auch asozial gedacht gewesen.
Warum ist der Referer beim Firefox nicht standardmäßig deaktiviert, das wäre doch bezogen auf den Datenschutz viel besser.
Weil manche Seiten die Angabe nutzen, um Bilderklau einzudämmen. Ja, das lässt sich von den "wahren Cracks" leicht umgehen, und doch, ja, es zeigt bei der weit überwiegenden Masse der Besucher seine Wirkung – und hier gilt: Besser ganz viel als gar nichts.
Angenommen ich deaktiviere den Referer über eine der oben beschriebenen Methoden. Dann könnten Google Analytics oder andere Tracking-Systeme nicht mehr erkennen,
Das Einzige, was Google in dieser Hinsicht behindert, ist das Sperren der Google-Analytics-Domain. Ich möchte mal behaupten, nur Facebook ist auf noch mehr Seiten präsent und somit noch ein wenig mehr in der Lage, Nutzer alleine dadurch zu verfolgen, dass deren Codefitzelchen auf wirklich jeder einzelnen bekloppten Seite eingebunden ist.
Hallo,
Weil manche Seiten die Angabe nutzen, um Bilderklau einzudämmen.
Genauer genommen geht es um das Verhindern des Hotlinkings von Inhalten, was den eigenen Server belastet, ohne dass die Leute die eigene Website besuchen, siehe Beispiel. Bilder „klauen“ (aka unberechtigt nutzen) kann man dennoch weiterhin problemlos.
Gruß
Julius
Wie lange das schon so gemacht wird spielt keine Rolle - je länger man etwas falsch macht, desto schlechter. Dass es so nicht geplant war, spielt in meinen Augen auch keine Rolle, da es zum Angriffspunkt geworden ist. Dass man den Referrer zum tacken missbrauchen kann zeigt nur, dass dieses Problem eingedämmt werden muss. Eine Lösung besteht ja ganz offensichtlich (userControlPolicy) - fraglich bleibt, warum das nicht die Standardeinstellung ist und die Leute darüber im Unklaren gelassen werden, obwohl es so einfach wäre das Opt-In ggf. gezielt für einzelne Seiten, zu erlauben. Darauf kann der Webmaster auch selbst hinweisen - im Bspl. des Bildhosters halt ein Bild anzeigen, wo drin steht dass der Referrer aktiviert werden muss und wie man das macht. Die Meldung dass das Bild blockiert wurde kommt doch eh, schreibt man halt noch rein warum.
Wie lange das schon so gemacht wird spielt keine Rolle - je länger man etwas falsch macht, desto schlechter. Dass es so nicht geplant war, spielt in meinen Augen auch keine Rolle
Es spielt sehr wohl eine Rolle, wenn die Leute, die das so gemacht haben, und zwar mit gutem Hintergedanken, mal eben als "komplett asozial" tituliert werden.
Gehst du auch in einen Laden, weil dir eine Ware bei genauerem Hinsehen nicht gefällt, und blaffst die freundliche Bedienung hinterm Tresen erstmal an, sie sei asozial? Ist das, primitives Rumgepöbel, hier auch noch aus der Anonymität heraus und hinter dem Rücken der Betroffenen, deine Vorstellung von "sozialem" Verhalten? Und glaubst du allen Ernstes, damit kommst du weiter?
Für Firefox gibt es ein System für Fehlermeldungen und Vorschläge. Asozial, oder besser: hinterfotzig ist es, sich in einem Forum, das nichts mit Firefox zu tun hat, derart über die zum überwiegenden Teil freiwillig und unbezahlt arbeitenden Firefox-Entwickler zu äußern, anstatt sich mittels besagten Systems erstmal direkt und konstruktiv einzubringen.
Typisch Internet im Jahre 2017: Alles haben wollen, und zwar bitteschön sofort und umsonst, und dann auch noch rumstänkern, was für ein beschissenes Arschloch der Lieferant doch wäre.
Wenn ich nach Jahren rausfinde, dass die "Ware" meine persönlichen Daten ungefragt an Dritte weiterreicht, die das nichts angeht - ja, warum denn nicht? Guck dir doch mal das Dilemma mit Web of Trust an. Wirf einfach einen Blick in Mozillas offizielles Manifest:
04 Die Sicherheit und der Schutz der Daten einer Person im Internet sind von grundlegender Bedeutung und dürfen nicht als optional betrachtet werden.
Ausserdem wurde hier explizit nach der Meinung der Forenteilnehmer gefragt und genau darauf habe ich reagiert. Freie Meinungsäusserung und so. Und die Übertreibung im letzten Satz kannst du dir schenken, hab ich so nie gesagt.
Hallo chorn,
Wenn ich nach Jahren rausfinde, dass die "Ware" meine persönlichen Daten ungefragt an Dritte weiterreicht, die das nichts angeht - ja, warum denn nicht? Guck dir doch mal das Dilemma mit Web of Trust an. Wirf einfach einen Blick in Mozillas offizielles Manifest:
04 Die Sicherheit und der Schutz der Daten einer Person im Internet sind von grundlegender Bedeutung und dürfen nicht als optional betrachtet werden.
Du möchtest also quasi Mozilla die Schuld an dem WOT-Debakel geben und ihnen den Bruch ihres Manifests vorwerfen?
Ich denke nicht, dass das zielführend ist. Die gleichen Addon-APIs, die WOT zum Tracken benutzt hat, können Apps wie NoScript, uBlock oder „Self-Destructing Cookies“ zum Schutz deiner Privatssphäre benutzen, was damit geschieht, kann Mozilla wohl nicht in seiner Gesamtheit überprüfen (Bei WOT haben sie aber reagiert, als es bekannt wurde).
In diesem Thread wurde ja bereits erwähnt, dass Mozilla nicht einfach Dinge abschalten kann, die deine Privatssphäre beeinträchtigen, aber leider von vielen Websites zum Funktionieren benötigt werden. Der einfache Nutzer geht nicht auf Fehlersuche, sondern meckert über Mozilla und wechselt zur Konkurrenz (die per default erst einmal alle Eingaben in die Adresszeile an den Hersteller zwecks Anzeigen Vorschlägen schickt). Mozilla braucht aber einen gewissen Marktanteil, um das Web verbessern zu können, während die anderen großen Browserhersteller primär auf Gewinnmaximierung aus sind.
Mozilla macht ja einiges in dem Bereich:
Mit passenden Einstellungen bei der Referrer Policy kannst du deine Nutzern helfen, ihre Privatssphäre zu schützen und zumindest von deinen Seiten ausgehend keinen Referrer zu senden.
Mit so einem bedachten Vorgehen erreicht man mehr Nutzer als wenn man sie vergrault, indem man alles abschaltet, was die Privatssphäre beeinträchtigt, aber potenziell auch Websites ziemlich kaputt machen kann. Wer mit Werkzeugen wie NoScript und ihren Limitierungen umgehen kann, kann sie sich ja problemlos installieren.
Mit Trump’schen undurchdachten Vorpreschen erreicht man wenig[1].
Gruß
Julius
Eigentlich kann man im Falle Trumps eher darüber froh sein und hoffen, dass er seine kruden Ideen nicht umgesetzt bekommt und dass der Schutthaufen, den vermutlich ab 2021 sein Nachfolger aufkehren muss, dadurch klein gehalten wird. ↩︎
Du möchtest also quasi Mozilla die Schuld an dem WOT-Debakel geben
Nein. Ist aber das gleiche Prinzip.
und ihnen den Bruch ihres Manifests vorwerfen?
Klar. Wenn sich jemand was auf die Flagge schreibt, soll er sich auch daran halten. Vgl. WOT.
In diesem Thread wurde ja bereits erwähnt
und es bleibt Quatsch, hab ich bereits kommentiert.
dass Mozilla nicht einfach Dinge abschalten kann
Doch, genau das können sie.
die deine Privatssphäre beeinträchtigen, aber leider von vielen Websites zum Funktionieren benötigt werden.
Wie viele sind viele? Welche sind das? Für wen sind die überhaupt relevant? Was spricht gegen Opt-In per Popup? Wird doch genau so gemacht bei Seiten die per HTTPS erreichbar sind, aber keine Verschlüsselung anbieten oder ungültige Zertifikate haben, da kommt richtig dick, richtig fett, in rot, eine Vorschaltseite die man manuell mit mehreren Klicks bestätigen muss.
Der einfache Nutzer geht nicht auf Fehlersuche, sondern meckert über Mozilla und wechselt zur Konkurrenz ... Mozilla braucht aber einen gewissen Marktanteil, um das Web verbessern zu können
Das Fazit ist also: Mozilla braucht viele User um was zu verändern, kann aber nichts verändern weil sie zu viele User haben bei denen dann irgendwas nicht mehr läuft? Wo ist da der Break-Even erreicht? Ergibt für mich keinen Sinn.