Blicken wir einmal zurück. 2018 rollte Firefox ETP (Enhanced Tracking Protection) im Browser aus. Dabei handelt es sich um eine Einstellung, die gegen Tracker vorgeht. Neben “Standard” gibt es noch die Stufen “Streng” und “Benutzerdefiniert”. Mehr dazu im oben verlinkten ETP-Beitrag. Nach der Einführung von ETP folgten weitere Maßnahmen gegen das Tracking:
Ende März verkündet Firefox nun 2 weitere Maßnahmen, die mit Version 87 kommen:
HTTP-Referer werden getrimmt
Zunächst zum Hintergrund: Browser senden bei einer Anfrage HTTP-Referer-Daten an den Server mit. Standardmäßig wird die komplette URL dabei mitgeschickt. So kann man feststellen auf welcher Seite der Nutzer davor unterwegs war. Im schlimmsten Fall können in der URL auch private und personenbezogene Informationen enthalten sein. Aus diesem Grund wurde Anfang 2016 die Referrer-Policy eingeführt. Damit konnten Website-Betreiber mehr Kontrolle auf die übermittelten Referer-Daten ausüben. Setzt aber eine Website keine Referrer-Policy, so greift standardmäßig bei den meisten Browsern “no-referrer-when-downgrade”. Zumindest lange Zeit, mittlerweile haben viele Browser auf striktere Regeln umgestellt. “no-referrer-when-downgrade” führt dazu, dass die komplette URL übermittelt wird. Außer der Nutzer bewegt sich von einer sicheren Verbindung (HTTPS) zu einer unsicheren (HTTP).
Damit zwischen HTTPS-Verbindungen keine sensiblen Informationen aus bzw. über die URL ausgelesen werden können, ändert Firefox ab Version 87 die standardmäßige Referer-Policy auf “strict-origin-when-cross-origin”.
Beispiel
Ist der Nutzer auf der URL https://www.domain.com/path?query und klickt auf einen Link, der den Nutzer nach https://www.abc.com/seite bringt, dann würde man folgende Informationen bei diesen 2 Einstellungen sehen:
- no-referrer-when-downgrade: https://www.domain.com/path?query
- strict-origin-when-cross-origin: https://www.domain.com/
Wie man sehen kann wird nur die Domain, aber nicht mehr der Pfad übermittelt.
Einführung von SmartBlock
Bei SmartBlock handelt es sich um einen neuen Tracking-Block-Mechanismus. Hintergrund ist dabei ETP, welcher im privaten Modus und bei der Einstellung “Streng” die Skripte aus der Firefox-Blocklist blockiert. Dazu gehören auch gtag.js von Google Analytics oder fbevents.js von Facebook. Das komplette Blocken von Skripten kann aber auch zu Probleme führen. Vor allem dann, wenn ein Skript wichtige Funktionen bietet. So könnten z.B. Bilder fehlen oder die Performance der Seite verschlechtert sich. Um dieses Problem zu umgehen, führt Firefox die neue Technologie namens SmartBlock ein. Dabei werden blockierte Skripte von Drittanbieter durch eigene Skripte von Firefox ersetzt. Diese sollen die Funktionalität der Website weiterhin gewährleisten, aber gleichzeitig mögliches Nutzer-Tracking weiterhin blockieren.
Die Technik ist in 2 Fällen aktiv:
- Beim Surfen im privaten Modus
- Wenn ETP auf “Streng” umgestellt wird
Bez. letzterem muss gesagt werden, dass SmartBlock dadurch nicht standardmäßig aktiv ist.
