Apple veröffentlicht Richtlinien für den Schutz vor Website-übergreifendes Tracking

Im Jahr 2017 erschien Safari 11 zusammen mit macOS High Sierra – und brachte erstmals eine Funktion namens "Intelligent Tracking Prevention" mit. Hiermit will Apple und das WebKit-Projekt verhindern, dass Nutzer über Webseitengrenzen hinweg verfolgt werden können. Durch ein solches Tracking ist es zum Beispiel Werbevermittlern wie Google möglich, sehr zielgerichtete Werbung an Nutzer auszusteuern. Auf ähnliche Art und Weise verfolgt Facebook durch den bekannten Like-Knopf seine Mitglieder – ebenfalls für zielgerichtete Werbung.


Das WebKit-Team hat nun eine Richtlinie zur WebKit Tracking Prevention veröffentlicht, in dem die Ziele, Methoden und ungewollte Seiteneffekte dargelegt werden. Schon in der Präambel wird klar, dass die Privatsphäre des Nutzers wie auch der Datenschutz im Vordergrund steht.

Arten von Nutzertrackings
Als erstes werden die Möglichkeiten des Nutzertrackings genannt: Ohne Website Tracking Prevention können Konzerne Nutzer per Cookies, DOM Storage, abgelegte Elemente im HTTP Cache und andere Cache-Elemente potenziell verfolgen. Auch ist es möglich, Webseitenbesucher mittels HSTS- oder TLS-Verschlüsselungen zu verfolgen.

Besonders erfindungsreich ist Fingerprinting: Dadurch wird ein Nutzer über Webseiten hinweg identifiziert, in dem bestimmte Merkmale ausgewertet werden, wie der Computer genutzt wird: Zum Beispiel die Cursorbewegungen enthalten oftmals schon genug Informationen, um einen Nutzer erfolgreich über Webseitengrenzen hinweg zu identifizieren.

Einen Nutzer über Webseiten hinweg zu verfolgen hat das Ziel, dass dem Anwender zielgerichtet Werbung präsentiert wird: Besuchte der Nutzer zum Beispiel zuvor die Webseite einer Airline, wird er auf den Folgeseiten häufig Werbung für Flugreisen wiederfinden. Dies an sich wäre noch nicht schlimm – werden allerdings Daten über Monate oder Jahre hinweg erfasst, können Konzerne wie beispielsweise Facebook oder Google ein extrem genaues Bild des Nutzers zeichnen.

Unbeabsichtigte Seiteneffekte
Verhindert man diese Techniken, führt dies aber unter Umständen zu Fehlfunktionen auf Webseiten, da es auch viele valide Gründe gibt, die genannten Methoden einzusetzen. Hierzu gehören zum Beispiel die Speicherung von Anmeldedaten, Messung der Effektivität von Werbung, Anmeldungen über Dritte (zum Beispiel "Sign in with Apple"), Like-Knöpfe ohne Tracking und Betrugserkennung. Auch Tools wie Google Analytics können gestört werden, wenn diese nur die Leserzahlen auf einer einzelnen Webseite ermitteln sollen.

Sollte es durch die Tracking Prevention zu ungewünschten Fehlern kommen, wird Apple die Tracking Prevention dementsprechend anpassen – anstatt Webseitenbetreiber zur Umprogrammierung der Webseite zu zwingen. Sollte dies nicht möglich, wird Safari den Nutzer um Erlaubnis fragen, ob für eine spezifische Webseite eine Ausnahme erteilt werden soll.

Keine Sonderregeln für Konzerne – harte Strafen bei Umgehung
Im Dokument betont das WebKit-Projekt, dass es keine Ausnahmen in der Tracking Prevention für manche Firmen oder Domains geben wird. Sollten Webseitenbetreiber aktiv diese Maßnahmen umgehen, wird das WebKit-Projekt dies genau so behandeln wie das Ausnutzen von Sicherheitslücken.

Dies kann dazu führen, dass zusätzliche Restriktionen ohne vorherige Ankündigung freigeschaltet werden, welche die Verstöße unterbinden. Hierbei kann es sich entweder um generelle Restriktionen für alle Webseiten, von einem Algorithmus erkannte Verstöße auf spezifischen Webseiten oder um Einschränkungen für bestimmte Konzerne handeln, welche aktiv die Sicherheitsmaßnahmen umgehen.

Kommentare

Appletiser
Appletiser15.08.19 11:09
Finde ich gut!
Und auf ein wenig Komfort kann ich gerne verzichten, wenn ich auf der anderen Seite die Gewissheit bekomme, dass nicht Hans-und-Franz irgendwie über mein Bewegungsprofil entsprechende individuelle Kampagnen starten können!
+1
Rosember15.08.19 11:22
Das klingt ja alles recht hübsch. Ich frage mich nur, warum ich schon seit diversen Versionen bei Safari immer diesen Haken setze:

ohne jemals einen Effekt zu bemerken
-2
lphilipp
lphilipp15.08.19 12:18
Im Titel bitte ein "s" durch ein "m" ersetzen!
Man muß sich Sisyphos als einen glücklichen Menschen vorstellen! Albert Camus (Il faut imaginer Sisyphe heureux)
+3
Jörg H.15.08.19 12:44
Rosember
Das klingt ja alles recht hübsch. Ich frage mich nur, warum ich schon seit diversen Versionen bei Safari immer diesen Haken setze:

ohne jemals einen Effekt zu bemerken

Das Häkchen bewirkt, dass den Servern bei einem Seitenaufruf mitgeteilt wird, dass du nicht getrackt werden möchtest. Ob sich der Server daran hält ist eine andere Sache. Genau deshalb gibt es deshalb den Vorstoß, das aktiv zu verhindern.
0
Rosember15.08.19 12:53
Jörg H.
Rosember
Das klingt ja alles recht hübsch. Ich frage mich nur, warum ich schon seit diversen Versionen bei Safari immer diesen Haken setze:

ohne jemals einen Effekt zu bemerken

Das Häkchen bewirkt, dass den Servern bei einem Seitenaufruf mitgeteilt wird, dass du nicht getrackt werden möchtest. Ob sich der Server daran hält ist eine andere Sache. Genau deshalb gibt es deshalb den Vorstoß, das aktiv zu verhindern.
Das ist dann aber überaus missverständlich formuliert. Da sollte dann wohl besser stehen: "Anfrage an Server senden, Tracking bitte zu unterlassen." - Nicht, dass ich mir irgendwelche Illusionen über meine Trackbarkeit machen würde oder gemacht hätte, aber da hat Apple wirklich schon mal präziser formuliert (und in den USA sind schon schlechter begründete Klagen gegen Apple eingereicht worden ).
-2
Kovu
Kovu15.08.19 16:31
Jörg H. hat damit auch nicht ganz Recht.

Hier die tatsächliche Funktion:
0
Pixelmeister15.08.19 17:21
Rosember
Das klingt ja alles recht hübsch. Ich frage mich nur, warum ich schon seit diversen Versionen bei Safari immer diesen Haken setze:
ohne jemals einen Effekt zu bemerken
Weil das damals auf dem Prinzip der Freiwilligkeit beruhte (war halt ein Versuch) – und gerade Google, der größte Werbeplatz-Vermarkter im Internet, das einfach ignoriert hat. Jetzt zieht Apple halt andere Saiten auf. Ich hoffe, dass Google dieses Mal die Wünsche der user nicht ignoriert und nicht wieder alle Maßnahmen umgeht.

Datenschutz-Verstoß: Google muss erneut für Safari-Hack zahlen (2013)
Stanford students create 'do not track' software
Safari-Trackingschutz: Google soll bis zu 3,76 Milliarden Euro an iPhone-User zahlen (2018)
Apple is removing the Do Not Track toggle from Safari, but for a good reason
Safari Update: Neue Funktion blockt Conversion-Tracking
Neues Feature: User Tracking in Google Analytics
0
sierkb15.08.19 18:58
WebKit.org: WebKit Blog (14.08.2019): Announcing the WebKit Tracking Prevention Policy :
WebKit Blog, 14.08.2019
Today we are publishing the WebKit Tracking Prevention Policy, covering:

  • What types of tracking WebKit will prevent.
  • When other tracking countermeasures come into play such as limiting capabilities and informed user consent.
  • How WebKit handles unintended impact of our tracking prevention.

We’d like to thank Mozilla for their anti-tracking policy which served as inspiration for ours.

Please send us your comments or questions about this policy to @webkit on Twitter.

WebKit.org WebKit Tracking Prevention Policy
WebKit Tracking Prevention Policy
[…]
Acknowledgements

Our policy was inspired by and derived from Mozilla’s anti tracking policy .

Mozilla: Security/Anti tracking policy

Golem (15.08.2019): Safari: Webkit bekommt Richtlinie für Trackingschutz
In Anlehnung an Mozilla bekommt auch das Webkit-Projekt eine Richtlinie gegen das Tracking der Nutzer. Die Umsetzung neuer und aktueller Technik in Webkit soll sich daran ausrichten.
Golem, 15.08.2019
[…]
Die nun vorgestellte Richtlinie gibt diesen Arbeiten eine Art Grundlage. Dabei orientieren sich die Entwickler an einer ähnlichen Richtlinie von Mozilla.
[…]

heise (15.08.2019): Tracking-Schutz im Browser Safari: Apple warnt Werbefirmen vor Umgehung
Apples WebKit-Team hat Anti-Tracking-Regeln aufgestellt. Um den Nutzer zu schützen, nehme man dabei auch Nebenwirkungen in Kauf.

heise (22.05.2019): Apple schwebt datenschutzgerechtes Werbe-Tracking vor
Werbe-Tracking sei möglich, ohne die Privatsphäre des Nutzers zu verletzen, argumentiert der iPhone-Konzern – und schlägt einen neuen Web-Standard vor.



Jörg H.
Das Häkchen bewirkt, dass den Servern bei einem Seitenaufruf mitgeteilt wird, dass du nicht getrackt werden möchtest. Ob sich der Server daran hält ist eine andere Sache.

Bei Safari seit Version 12.1 nicht mehr. Denn:

heise (07.02.2019): Do Not Track: Apple streicht Browser-Funktion – um Missbrauch zu verhindern
"Websitetracking ablehnen" ist in Safari bald Geschichte: Die Funktion war praktisch nutzlos und kann für Tracking zweckentfremdet werden.

Wikipedia (de): Do Not Track (Software)
[…]
Im Januar 2019 wurde das DNT-Standardisierungsgremium beim W3C geschlossen, ohne dass der Status eines W3C-Standards erreicht wurde. Als Gründe wurden die nicht ausreichenden Implementierungszahlen und fehlende Anzeichen für die Unterstützung von DNT seitens der Browser-Hersteller und anderer Beteiligter angegeben. Im Februar 2019 wurde die DNT-Unterstützung aus Safari entfernt. Nach Aussage von Apple wurde diese Entscheidung getroffen, um Fingerprinting zu erschweren.

Apple: Safari 12.1 Release Notes :
Apple, Safari 12.1 Release Notes
[…]
Security and Privacy
New Features
  • […]
  • Removed support for the expired Do Not Track standard to prevent potential use as a fingerprinting variable.
  • […]
Intelligent Tracking Prevention
New Features
  • Removed support for partitioned cookies for domains with cross-site tracking capabilities. The Storage Access API now provides third-party access to cookies.
  • Improved Intelligent Tracking Prevention to limit long-term tracking based on client-side first-party cookies and to verify partitioned cache entries.

Datenschutzbeauftragter.info (28.06.2012): Debatte um „Do Not Track“-Einstellung von Microsoft

Golem (07.06.2012): W3C: Do Not Track darf nicht standardmäßig aktiviert werden
Microsoft hat mit der Release Preview von Windows 8 im Internet Explorer 10 die Do-Not-Track-Funktion standardmäßig aktiviert. Das aber ist nicht im Sinne des W3C, wie die zuständige Arbeitsgruppe unmissverständlich deutlich macht.

W3C (11.06.2018): Do Not Track and the GDPR
W3C: Tracking Preference Expression (DNT)
W3C: Tracking Protection Working Group (Closed)
-1
Weia
Weia17.08.19 10:21
Kovu
Jörg H. hat damit auch nicht ganz Recht.

Hier die tatsächliche Funktion:
Die von Dir verlinkte „tatsächliche Funktion“-Seite beschreibt exakt, was Jörg H. beschrieben hat, wenn man dort auf High Sierra klickt – was als Antwort auf Rosembers Frage, warum es diese GUI-Funktion auch früher schon gab, einzig sinnvoll ist. Wählt man die Artikel-Version für Mojave, steht da mehr, klar, aber genau um diese jüngsten Entwicklungen geht es doch in diesem Artikel.
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen