Tracking Schutz / Tracking Protection

  • Article

Ich habe zwar genau vor einem Jahr schon einmal über die Tracking Protection [TP] (sorry, aber mir gefällt der Engl. Begriff deutlich besser, daher werde ich diesen auch nachfolgend weiterverwenden) berichtet, jedoch ist mir aufgefallen, dass ich zwar das UI beschrieben habe, aber nicht was die TP eigentlich genau macht, dies möchte ich nun nachholen:

Agenda

  1. Fast track
  2. Definition
  3. Do Not Track
  4. Do Not Track im Internet Explorer
  5. Funktionsweise von Tracking Protection Lists
  6. Nutzen
  7. Probleme bei der Nutzung
  8. Zu guter Letzt

Fast track: wo gibt es TPLs?

Zum einen gibt es in der IEGallery je nach Land gefeaturete Listen, oder aber auch über bestimmte Webseiten wie z.B. Privacy Online (sogar mit einer extra für Deutschland erstellten Liste).

Definition

Fangen wir mit einer Definition von Tracking an (mir ist neben Tracking auch schon ein anderer Begriff über den Weg gelaufen, der das Thema auch sehr schön beschreibt: Stalking. Ich bleibe aber bei Tracking, da dies der gebräuchlichere Begriff ist):

Tracking ist das Aufzeichnen von Nutzerverhalten durch Dritte, ohne dem User dadurch direkt einen Mehrwert zu liefern und die Daten später zum eigenen Nutzen weiterzuverwenden.

Dies ist zumindest meine Definition. Allerdings ist es sehr, sehr schwierig eine klare technische Grenze zwischen z.B. Tracking und Werbung zu ziehen.

Wenn also Tracking verhindert werden soll, so soll nach Möglichkeit Werbung - denn dadurch wird ein Großteil des Webs finanziert - nicht verhindert werden. Ein Tracking Schutz soll und darf also kein Werbeschutz sein!

Da allerdings bei jedem Aufruf von “standard” Werbung auch Daten über den verwendeten PC/User mitübertragen werden (z.B. IP Adresse, die bei etwas cleverer Implementierung durchaus auf einen User gemappt werden kann), ist es hier nicht einfach zu entscheiden ob man dies zulassen kann/soll oder eben nicht.

Do Not Track

Zu diesem Zweck hat sich eine Art Community entwickelt, die versucht den sog. “DNT” (Do-Not-Track) http Header einzuführen und zu etablieren, siehe auch https://en.wikipedia.org/wiki/Do_not_track_header. Dieser DNT Header – sofern aktiviert – kann über donottrack.us überprüft werden – teilt dem Webserver und damit auch der Webseite mit, dass der User wünscht nicht getrackt zu werden. Der Webserver/seite/betreiber kann dann darauf Rücksicht nehmen – oder leider auch nicht. Es ist keine gesetzliche Verpflichtung oder ein “muss”!

image
donottrack.us zeigt dem User ob sein Browser dies unterstützt, und ob es aktiv ist

Außerdem unterstützen leider immer noch nicht alle großen Webbrowser diese einfache Möglichkeit den User zu schützen (DNT wird derzeit nur von Internet Explorer 9, Firefox, Safari, Konquerer unterstützt, siehe auch hier).

DNT im Internet Explorer

Die Aktivierung dieses Mechanismus ist im Internet Explorer einfach, es muss lediglich irgendeine Tracking Schutz Liste (Tracking Protection List) aktiviert sein, sprich entweder die eigene, personalisierte, oder jede andere 3rd Party TPL!

Das ist sehr einfach zu erreichen, indem über das Zahnrad->Sicherheit->Trackingschutz (oder Extras->Internetoptionen->Programme->Addons verwalten->Trackingschutz) das UI aufgerufen wird:

image

Dort kann dann z.B. die eigene TPL aktiviert werden:

image

 

Wie äußert sich dies nun auf der Leitung?
Hierzu bemühe ich die F12 Tools bzw. den Fiddler:

imageimage

Und dort ist zu sehen, dass der IE nur durch Einsatz einer TPL den DNT Header auf 1 setzt und damit signalisiert, dass nicht getrackt werden soll.

Funktionsweise von Tracking Protection Lists

Neben DNT unterstützt der Internet Explorer bis jetzt als einziger Browser sog. Tracking Protection Lists. In diesen Listen können sowohl gute als auch schlechte Domänen oder Strings eingetragen werden, die zu Trackinganbietern gehören, z.B. etwa "-d boesetrackingdomaene.com”.

Wenn nun der User auf eine Webseite navigiert auf der eine Verknüpfung – z.B. durch ein Trackingbild, oder ein Trackingscript – zu eben jener boesetrackingdomaene.com existiert, z.B.

<img src=”https://boesetrackingdomaene.com/trackingbild.jpg” />

so würde ein normaler Browser dieses Bild einfach laden.
Wenn nun der User allerdings entweder eine 3rd party TPL installiert hat oder aber in seiner eigenen der eingestellte Schwellwert (kann zwischen 3 und 30 eingestellt werden, auch über eine GPO) der erlaubten Aufrufe dieser Resource überschritten wird, so fordert der Internet Explorer diese Datei gar nicht erst an.

Nutzen der TPLs

Dies bedeutet automatisch gleich mehrere Dinge:

  1. Tracking kann nicht stattfinden, da keine Daten an 3. versendet werden, die Privatsphäre bleibt gewahrt
  2. Die aufgerufene Seite lädt schneller, da weniger Daten übertragen werden müssen und damit auch weniger Daten/Scripte verarbeitet werden müssen
  3. Die Netzwerklast sinkt, insb. da die Tracking Resourcen typischerweise klein sind und damit einen recht hohen Overhead im Netzwerk verursachen und dadurch wichtigere Daten verlangsamt werden
  4. Aus dem identischen Grund wie in 3. wird die allgemeine Last auf einem ggf. vorhandenen Proxy reduziert oder wenn über UMTS keine Datenflat verwendet wird, so werden weniger Daten abgerechnet

D.h. wir erreichen dadurch mehr Sicherheit, mehr Datenschutz, weniger Overhead, eine verbesserte Performance und ggf. sogar reduzierte Kosten.

Die beiden letztgenannten Punkte sind vermutlich im Wesentlichen für ITPros/Unternehmen von Interesse, sollten aber durchaus in Erwägung gezogen werden, da dadurch (je nach Nutzung und Anzahl der Nutzer) deutlich die Netzwerk & Proxylast verringert werden kann und dadurch letztlich Geld eingespart werden kann.

Probleme bei der Nutzung

Bei der Verwendung von TPLs kann es vorkommen, dass bestimmte Mechanismen auf einer Webseite nicht (mehr) funktionieren. Dies ist dem geschuldet, dass viele Webseiten sog. Content Distribution Networks (CDN) nutzen. Diese CDN dienen dazu, dass oft genutzte Libraries – z.B. jQuery – nicht von der eigenen Webseite, sondern von einem besonders performanten und typischerweise “nahen” Ort kommen. Dies erhöht die Geschwindigkeit und reduziert letztlich auch die Netzwerklast/kosten der Webseite.

Wenn bei der Erstellung der TPLs nicht auf diese CDNs Rücksicht genommen wird, so kann eine TPL im schlechtesten Fall verhindern, dass eine notwendige Javascript Resource nicht geladen wird und damit die Webseite (zum Teil) unbrauchbar wird.

Hierfür haben sich die Entwickler des Internet Explorers ebenfalls etwas einfallen lassen: man kann für eine  Webseite schnell die TP abschalten, dazu gibt es in der Adresszeile ein neues Symbol. Wenn nun für eine Webseite die TP disabled wurde, so wird dies für diese Seite gespeichert – also bei dem nächsten Besuch bleibt diese Einstellung – aber alle anderen Seiten bleiben davon unberührt:

image

Für die ITPros:

Die Settings für die Ausnahmen werden in der Registry unter

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Safety\Tracking Protection Exceptions

gespeichert und zwar als dword welches den Namen der Domäne (z.B..”microsoft.com”) und als Wert 1 beinhaltet. Dies kann also entsprechend ferngewartet werden.

Zu guter Letzt

Zu guter Letzt möchte ich eine Empfehlung an Werbetreibende abgeben: Aufgrund der Tracking Problematik und auch der Funktionsweise von gängigen Adblockern sollte Werbung von den jeweiligen Webservern kommen, sprich wenn ich auf www.gutewebseite.irgendwas gehe, dann sollte der Werbebanner auch durch gutewebseite.irgendwas ausgeliefert werden und nicht von ad.boeseradserver.irgendwas. Dies beobachte ich übrigens schon vereinzelt und freue mich, dass hier ein Trend zu erkennen ist!

Zu der Erstellung/Updates von TPLs habe ich mich unter Tracking Protection Lists und ihre Updates bereits geäußert, die Erstellung selber ist in der MSDN hinreichend beschrieben (Bei Fragen gerne direkt oder als Kommentar).

 

Siehe außerdem: Thema der Woche: Datenschutz

-Stephanus