[English]Was ein Chaos! Gut vier Jahre lang hat Google die Branche mit der Ankündigung "wir blockieren *bald* die Verwendung von Drittanbieter Cookies im Chromium-Browser". Aber die avisierten Endtermine wurden gerissen und wieder gerissen. Nun beerdigt Google die Pläne, Drittanbieter-Cookies im Chrome-Browser sterben zu lassen. Nutzer sollen eine Auswahl im Browser erhalten.
Anzeige
Nachfolgender Post auf Mastodon bringt es auf den Punkt: Nach vierjährigen Versuchen macht Google einen Rückzieher von seinen Plänen, Cookies von Drittanbietern abzuschaffen.
Das Eingeständnis, dass man gescheitert ist und den Druck der Datenschützer auch nicht (mehr) fürchtet, findet sich zum 22. Juli 2024 im Post A new path for Privacy Sandbox on the web von Anthony Chavez, der für die Entwicklung der Privacy Sandbox verantwortlich ist. Diese Privacy Sandbox wurde ja mit dem Ziel entwickelt, Lösungen zu finden, die den Online-Datenschutz sinnvoll verbessern und gleichzeitig ein werbegestütztes Internet bewahren, um den freien Zugang zu einer breiten Palette von Inhalten zu ermöglichen.
Während der Entwicklung hat Google Rückmeldungen von einer Vielzahl von Interessengruppen erhalten (Regulierungsbehörden wie die britische Wettbewerbs- und Marktaufsichtsbehörde (CMA) und das Information Commissioner's Office (ICO), Verleger, Webentwickler und Standardisierungsgruppen, die Zivilgesellschaft und Teilnehmer der Werbeindustrie).
Für Google scheint es ein Experimentieren gewesen zu sein: Wie kann ich die Anforderungen an Datenschutz erfüllen, ohne den Werbemarkt zu killen. Im oben verlinkten Beitrag heißt es:
Anzeige
Erste Tests von Ad-Tech-Unternehmen, darunter Google, haben gezeigt, dass die Privacy Sandbox-APIs das Potenzial haben, diese Ziele zu erreichen. Und wir gehen davon aus, dass sich die Gesamtleistung der Privacy-Sandbox-APIs im Laufe der Zeit verbessern wird, wenn die Akzeptanz in der Branche zunimmt. Gleichzeitig sind wir uns bewusst, dass diese Umstellung von vielen Beteiligten viel Arbeit erfordert und Auswirkungen auf Publisher, Werbetreibende und alle an der Online-Werbung Beteiligten haben wird.
Vor diesem Hintergrund schlägt Google einen wir einen aktualisierten Ansatz als ein Verbot von Drittanbieter-Cookies vor. Der Nutzer soll mehr Wahlmöglichkeiten haben. Anstatt die Cookies von Drittanbietern abzuschaffen, sollen Nutzer eine informierte Entscheidung treffen können, die für ihr gesamtes Web-Browsing gilt. Und die Benutzer könnten diese Entscheidung jederzeit ändern.
Im Beitrag A new path for Privacy Sandbox on the web erläutert Google dann, wie man sich diese Lösung vorstellt. Man will den neuen Ansatz mit den Regulierungsbehörden abstimmen und sich bei der Einführung mit der Branche austauschen.
Google will die Privacy Sandbox-APIs weiterhin zur Verfügung stellen und in sie investieren, um den Datenschutz und den Nutzen weiter zu verbessern. Die Entwickler beabsichtigen auch, zusätzliche Datenschutzkontrollen anzubieten, und planen daher, den IP-Schutz in den Inkognito-Modus von Chrome zu integrieren.
Für mich heißt das: Weitere Jahre des Chaos mit raus aus den Kartoffeln, rein in die Kartoffeln. Ich hatte ja auf kontextbasierte, cookie-less-Werbung gehofft – kann mir das aber jetzt wohl abschminken, da kein Akteur so etwas implementieren wird.
Anzeige
Irgendeine Trackingmöglichkeit werden die immer finden. Wenn ich mir im Noscript die Anzahl der abgerufenen Domains von diversen Webseiten so anschaue, wird mir jedes mal ganz anders. Viele namhafte Webseiten rufen die Skripte von 10 – 20 Datenkraken direkt aus ihren jeweiligen Domains auf. Allein schon durch solche Aufrufe kann man die Nutzer wunderbar tracken.
Cookies sind Kinderquatsch. Seht mal was die TechBros im LocalStorage heutzutage ablegen.
[https://addons.mozilla.org/en-US/firefox/addon/localstorage-editor/]
High entropy IDs und andere nette Tracker leben da. Einfach mal auf große US und DE Zeitungen surfen und nachsehen. Kann man in der Browser-Dev-Konsole auch ohne Addon sehen, ist aber viel unbequemer. Wissen sicher manche hier, aber man sollte es mal explizit ansprechen. Webseiten können heute auch woanders tracker vor uns verstecken.
>Ist doch nur local
JS hat vollen schreib lese zugriff, kann also auch den lokalen wert abfragen und über requests zurückfunken.
Edit:
[https://i.imgur.com/ir2aiDn.png]
Große Deutsche Zeitung für obere Mittelschicht. Nichts davon ist ein Cookie. Alles LS.
Drittanbietercookies habe ich schon seit Ewigkeiten im Browser blockiert.
Verzicht auf Drittanbietercookies wäre natürlich für den Endgegner – Verzeihung – Endkunden gut gewesen. Ohne die kriegt Seite A nämlich auch gar nicht raus, ob ich Werbung blocke, wenn es nicht ein von Domain A auslesbares Cookie von Domain B setzen kann. Ich persönlich habe tatsächlich keiner Zeit damit gerechnet, dass das leidige Thema zum Wohle des Nutzers entschieden wird.
Für mich ist das mittlerweile ganz einfach. Mein Pi-Hole filtert, ohne umgangen werden zu können. Und eine Seite, die mir die Informationen nicht ohne die Anzeige von Werbung oder die Zulassung von Cookies Dritter zeigen will, die besuche ich halt nicht. Natürlich gibt es von dieser strikten Einstellung Ausnahmen. Aber die sind dann auch im Pi-Hole hinterlegt.
Die Aussage "ohne umgangen werden zu können" nehme ich dir nicht ab. PiHole ist im Prinzip nur ein DNS-Server, mehr nicht. (Das spezielle gegenüber anderen DNS-Servern ist nur, dass er für Werbe-Server oder sonstige unerwünschte Server/Inhalte) keine IP rausrückt und dass diese Liste eben über eine sehr aktive Community ständig erweitert und angepasst wird.) Wenn der Browser sich dafür entscheidet, diesen DNS-Server nicht zu benutzen, in dem zum Beispiel DOH eingeschaltet ist und ein DOH-Server "da draußen" angesprochen wird, nützt dir dein PiHole garnichts mehr, weil er diese DNS-Anfragen nicht mehr bekommt.
Gut wäre es, wenn das Ding gleichzeitig ein Proxy-Server wäre, und du es deinem Heimrouter verbieten würdest, den HTTP(S) Datenverkehr deiner PCs direkt raus zu lassen, sondern nur noch über den Proxy auf dem PiHole. Dann würde die Inhaltesperrumng tatsächlich umumgehbar funktionieren.
SO macht man das auch wenn man es richtig umsetzt Proxy + PiHole & Co. (So kann der Proxy auch gleich das noch filtern was
PiHole prinzipbedingt nicht filtern kann bzw. dafür sorgen das die ContentMAFIA lediglich Fake-Daten bekommt).
Aber davon ab: Wieso sollte der Browser den einfach so DOH nutzen wenn man im das verbietet? Das wäre dann Vorsatz von Seiten des Browserherstellers und man könnte ihn damit an den eiern fassen (in der EU sowieso).
Hat jemand eine Idee hierzu?
Unter Edge (v126) kann in den Einstellungen "Cookies von Drittanbietern blockieren" auswählen.
Schaut man später unter "Alle Cookies und Websitedaten" und filtert dort nach "Drittanbieter" tauchen massig Einträge auf (die erst nach "Drittanbietern blockieren" erstellt wurden)
da läuft bei dir was schief… nachdem hier Coockies von Drittanbieter blocken aktiviert ist tauchen da nur noch Coockies von Erstanbieter auf und Drittanbieter Cookies bleiben leer.
Vorher mal den Cache richtig leeren? Und Browser Neustarten nach Einstellungsänderung?
also zählt die WerbeMAFIA doch mehr als der User, tja deswegen überlässt man das auch nicht dem Browser ( den merke dem kann man nicht trauen), sondern regelt selbst!
Es passt nur mittelbar hierher, aber ich wage es mal trotzdem:
Mir ist aufgefallen, dass sich der Brave-Browser leider immer als solcher verrät, obwohl er einen zum Vivaldi identischen User Agenten ausgibt. Der Vivaldi verrät dafür seine volle Versionsnummer (126.0.6478.192) obwohl auch er im User Agenten nur 126.0.0.0 stehen hat. Der Brave gibt sich als Version 126.0.0.0 aus. Seine Layout-Engine gibt er im Gegensatz zum Vivaldi nicht an, obwohl die sicher auch Blink ist.
Ich nutze ihn zwar nicht, aber der Edge wird auch als solcher erkannt, hat es allerdings im User Agenten stehen.
h**ps://www*whatismybrowser*com
auch etwas was man nicht dem Browser selbst überlässt will man das nicht haben sondern externen Erweiterungen! Dann funzt das auch.
Sicherheit und Privacy ist niemals selbst der Browser für zuständig! (dem kann man nicht vertrauen) Wenn man das beherzigt klappts auch.
Was sind denn "externe" Erweiterungen? Raspberry und Co?
Ich habe mittlerweile selbst herausgefunden, mit was sich Brave als solcher verrät:
Er sendet als »SEC-CH-UA« Header:
"Not/A)Brand";v="8", "Chromium";v="126", "Brave";v="126"
Das erfährt man auf folgender Unterseite:
h**ps://www*whatismybrowser*com/detect/what-http-headers-is-my-browser-sending/
Dazu gibt es folgenden kurzen Thread (es abzuschalten, würde nicht mehr Privatsphäre bringen, sagen die Entwickler):
h**ps://community*brave*com/t/how-to-make-brave-undetectable-reduce-fingerprintability-and-improve-privacy/546193
Man könnte ja das »Brave« einfach rausnehmen, was die Privatsphäre schon noch ein Stückchen anheben würde. Aber sie wollen eben in den Statistiken sichtbar sein, und es wird für dieses »Brave Rewards« nötig sein – denke ich. Allerdings könnte man es konfigurierbar machen, zumindest, wenn man »Brave Rewards« nicht nutzt, so wie ich, aber dann fallen diese Konfigurationen auch aus den Statistiken, was sie nicht wollen.
Firefox unterstützt den Header übrigens nicht:
h**ps://developer*mozilla*org/en-US/docs/Web/HTTP/Headers/Sec-CH-UA