Tracking mit ETAG

Ein schöner Artikel auf heise, beschreibt eine weitere Tracking-Variante neben dem vor kurzem erwähnten Browser-Fingerprinting. Hier geht es nun um die ETAG’s.

Wenn ein Browser von einem Webserver eine Datei abruft, hat der Webserver die Möglichkeit, die Datei eine Markierung, also ein „Tag“ mitzugeben. Dies hat den Zweck, das der Browser bei einer erneuten Anfrage der gleichen Datei, dieses Tag zurück schicken kann. Der Webserver kann nun bestimmen, wann er diese Datei herausgegeben hat, wenn er sich an das Tag erinnert. Basierend darauf, kann der Webserver auch entscheiden, ob die Datei sich geändert hat oder nicht. Hat sie sich nicht geändert, muss der Webserver die Datei nicht neu ausliefern. Das spart Bandbreite.

Nun kann der Server das aber erweitern. Theoretisch könnte man hergehen, und jedes vergebene Tag in einer Datenbank speichern. Wenn ein Browser eine Datei anfordert, und ein ETAG mitschickt, kennt der Server den Besucher. Wenn der Browser kein ETAG schickt, ist es ein neuer Besucher. So kann der Server die Besucher unterscheiden. Und in der Datenbank kann er dann fröhlich mitschreiben, wer-was-wann besucht hat. Und das ganz ohne Cookie, Flash-Cookie oder Browser-Fingerprinting.

Wenn es sich bei der Datei zum Beispiel um ein Bild handelt, das man auf jeder Seite einbindet (ein kleiner weißer Pixel zum Beispiel, den niemand sieht), dann kann man die Besucher über alle Seiten verfolgen. Wenn es sich dabei sogar um eine Werbebanner handelt, sagen wir eines von Google, das auf vielen verschiedenen Webseiten eingebunden wird, dann kann man den Besucher auch über viele verschiedene Webseiten verfolgen. Und wenn wir uns die Social-Buttons von, zum Beispiel, Facebook anschauen, stellen wir fest, das diese sich auf beinahe allen Webseiten befinden, und das die Bilder für die Buttons immer von Facebook geladen werden.

ETAG

Bei der ganzen Mechanik handelt es sich um einen Teil des HTTP-Protokoll. Leider gibt es derzeit keine Möglichkeit, dieses Verhalten im Browser zu deaktivieren. Eine Variante besteht darin, den Cache des Browsers komplett zu deaktivieren. Wenn keine Daten zwischengespeichert werden, braucht man auch kein ETAG. Allerdings verbessert das natürlich nicht gerade die Performance der Internetverbindung, da nun alles immer wieder geladen wird.

Alternativ kann man seinen Browser auch so einstellen, das bei jedem beenden des Browsers alle Daten automatisch gelöscht werden. Das erlaubt dem Server nach wie vor die Verfolgung während einer Surf-Sitzung, aber immerhin nicht darüber hinaus.

So weit mir bekannt ist letzteres bei allen gängigen Browsern möglich, zumindest für den Firefox geht das relativ einfach.

Firefox Daten löschen bei beenden

Firefox Daten löschen bei beenden

Im optimalen Fall, sollte hier alles angekreuzt werden. Für diesen speziellen Fall, benötigt man mindestens einen Haken bei „Cache“. Eine Anleitung dazu findet sich in der Mozilla-Hilfe: http://support.mozilla.org/de/kb/Wie-Sie-den-Cache-leeren-konnen

Weitere Informationen:

Heise: User Tracking mit etag

http://lucb1e.com/rp/cookielesscookies/

Wikipedia: ETAG

oder: https://www.google.de/#q=http+etag