Tracking mit Cookies

Die Mozilla Foundation hat angekündigt, dass Firefox 22.0 standardmäßig Cookies von Drittseiten blockieren wird, die bisher noch keine Cookies im Browser gesetzt haben (siehe: The New Firefox Cookie Policy). Damit sollen Tracking Cookies blockiert werden, mit denen das Surfverhalten der Nutzer website-übergreifend verfolgt werden kann. (Google als Hauptsponsor der Mozilla Foundation ist von dieser Einschränkung davon nicht betroffen, da der Browser üblicherweise beim ersten Start durch ein Google Cookie personalisiert wird.)

Ist das Blockieren der Cookies von Drittseiten ein geeignetes Mittel, um Tracking durch Third-Parties mit Cookies zu verhindern? Für einen kleinen Test haben wir einen Firefox frisch installiert, in der Konfiguration die Annahme der Cookies von Drittseiten blockiert und drei Webseiten aufgerufen. Diese Einstellung ist etwas restriktiver, als die neue Firefox Cookie Policy, aber für diese Demonstration trotzdem geeignet.

  1. Zeit.de (Online-Portal der Zeitschrift Zeit)
    Cookies bei Zeit.de

    Alle Cookies sind von Firefox als First-Party Content klassifiziert worden. Folgende Cookies dienen dabei der Übertragung von Informationen an Dritte:

    • Das Cookie "rsi_segs" wird von www.audiencescience.com zur Verfolgung des Surfverhaltens auf der Webseite genutzt, um geeigente Werbung einzublenden.
    • "wt3_eid" und "wt3_sid" sind Tracking Cookies von WebTrekk.
    • Die Cookies "__umta" ..."__umtz" werden von Google Analytics ausgewertet.
    • Das Cookie "_chartbeat2" wird von www.chartbeat.com für die real-time Anlayse der Besucher genutzt.

    Die Cookies werden auf der Webseite von von Zeit.de mittels Javascript im Context der Seite generiert, ausgewertet und an die Tracking­server gesendet. Damit unterlaufen sie die Wünsche des Surfers, der keine Informationen in Form von Cookies an Drittseiten senden wollte.

  2. Zalando.de (kommerzieller Webshop)
    cookies set by Zalando.de

    Neben den bereits oben genannten Javascript generierten Cookies von Google Analytics usw. findet man bei Zalando.de einen anderen Trick, um die Blockade der Cookies von Drittseiten zu umgehen. Die Tracking Cookies "wteid_xxxxx" und "wtsid_xxxxx" von WebTrekk werden von einer unsichtbaren 1x1 Pixel großen HTML-Wanze gesetzt, die von der Subdomain "track.zalando.de" geladen und damit als First-Party Content behandelt wurde. Diese Subdomain ist ein DNS-Alias für "zalando-de01.webtrekk.net". Diese beiden Cookies werden also von einer Drittseite gesetzt und ausgewertet. Sie unterlaufen damit ebenfalls die Präferenzen des Nutzers.

  3. Heise.de (IT-News Portal)
    Cookies bei Heise.de

    Heise.de nutzt ebenfalls den Tracking Service WebTrekk. Es werden die Methoden von Zeit.de (1.) und Zalando.de (2.) kombiniert:

    • Wenn Javascript aktiviert ist, dann werden die Cookies "wt3_eid" und "wt3_sid" mit Javascript erstellt und analysiert.

    • Ist Javascript deaktiviert, dann wird eine 1x1 Pixel große, unsichtbare HTML-Wanze von der Domain "prophet.heise.de" geladen. Da die Sub-Domain First-Party Status hat, können die beiden Cookies "wteid_xxxxx" und "wtsid_xxxxx" gesetzt werden. Die Domain "prophet.heise.de" ist ein DNS-Alias für "heise02.webtrekk.net". Der whois-Eintrag für den Server (IP-Adresse: 80.190.166.27) liefert nicht "Heise Zeitschriften Verlag GmbH & Co. KG" sondern:

      inetnum: 80.190.166.0 - 80.190.166.255
      netname: WEBTREKK-GMBH-IPX-NET-DE
      descr: Webtrekk GmbH
      descr: 10245 Berlin
      country: DE

    Aufgrund der Verwendung eines DNS-Alias ist nur schwer erkennbar, dass Daten an Dritte übertragen und Cookies von Dritten gesetzt werden. In der Datenschutz Policy von Heise.de fehlt der Hinweis auf die Daten­weitergabe an WebTrekk. Die Firma WebTrekk weist gemäß deutschem Daten­schutz­recht ihre Kunden auf die notwendige Veröffentlichung der Daten­übertragung hin und stellt dafür ein Musterformular (PDF) bereit. Heise.de sollte die Daten­schutz­hinweise über­arbeiten und die an WebTrekk gesendeten Daten ergänzen.

Schlussfolgerung

Die Trackingdienste haben bereits Methoden entwickelt, um Cookies als First-Party Content in Webseiten einzubetten. Neben den hier vorge­stellten Firmen gibt es viele weitere Anbieter, die ähnliche Methoden nutzen. So wirbt Yahoo! Web Analytics auf der eigenen Webseite damit, Tracking Cookies als First-Party Content auf vielen Webseiten zu nutzen und damit 99,9% der Surfer verfolgen zu können.

Diese First-Party Cookies sind nur im Context der Webseite gültig und können ohne weitere Maßnahmen nicht zur Verfolgung von Surfern über mehrere Webseiten genutzt werden. Es werden jedoch zusätzlich weitere Methoden eingesetzt, die eine Verknüpfung der gesammelten Daten über mehrere Webseiten hinweg ermöglichen. WebTrekk sammelt z.B. folgende Daten: Geolocation anhand der IP-Adresse, die Bildschirm­größe und Farb­tiefe des Monitors, innere Größe des Browser­fensters, bevorzugte Sprache, User-Agent des Browsers, Version des Betriebs­systems sowie Einstellungen für Java (AN/AUS), Javascript (AN/AUS) und Cookies (AN/AUS). Damit ist es möglich, einen Fingerprint des Browsers zu berechnen, der für die meisten Surfer eindeutig ist. Mit diesem Finger­print ist es prinzipiell möglich, die mit First-Party Cookies gesammelten Tracking Daten von mehreren Webseiten zu verknüpfen.

Um das Tracking des Surfverhaltens durch Dritte zu verhindern, ist es notwendig, Cookies und Javascript komplett zu deaktivieren und nur bei Notwendigkeit für einzelne Webseiten freizugeben. Nach dem Verlassen der Website oder spätestens beim Beenden der Browser­sitzung sollten die Spuren gelöscht werden. Der JonDoFox und JonDoBrowser sind entsprechend vorkonfiguriert. Außerdem werden durch das Add-on AdBlock Plus die Tracking-Domains wie "prophet.heise.de" gesperrt. Während der Sitzung können Sie evtl. gespeicherte Cookies mit dem Menüpunkt "Extras - Neueste Chronik löschen" oder der Tastenkombination Strg-Alt-Entf entfernen.

Trackbacks

    Keine Trackbacks

Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)

    Noch keine Kommentare


Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.