Firefox 120 bringt einige neue Funktionen zum Schutz

Die Erweiterung »I don’t care about Cookies« zum Blockieren von Cookie-Dialogen wurde an Avast, einen Hersteller von Sicherheitssoftware verkauft.

Quelle

Ich kann gnulinux.ch völlig verstehen: Was tun nachdem die Browser-Erweiterung ‚I don’t care about Cookies‘ durch Avast aufgekauft wurde? Hier findest du praktische Alternativen. Wer das AddOn „I don’t care about Cookies“ bei sich...

by adminForge.

Die auch für Tracking genutzten Third-Party-Cookies will Google in Chrome ersetzen. Das soll nun erst in zwei Jahren geschehen.

Seit inzwischen fast drei Jahren arbeitet Google an Techniken, die die bisher für webseitenübergreifendes Tracking genutzten Third-Party-Cookies im Chrome-Browser ersetzen sollen. Die Umsetzung hat Google nun aber erneut verschoben: auf Ende 2024, wie es in einem aktuellen Blogeintrag des Unternehmens heißt.

Bereits im vergangenen Jahr musste Google den Termin verschieben, ursprünglich geplant war die Einführung neuer Technik und die Abschaffung der Third-Party-Cookies eigentlich früh im Jahr 2022. Als Grund für die Verzögerungen nennt das Unternehmen vor allem das Feedback der Web-Community, die sich mehr Zeit zum Testen der neuen alternativen APIs gewünscht habe. Konkret handelt es sich dabei um die Privacy-Sandbox-APIs.

Google selbst räumt aber ein, dass die Verzögerungen auch im Einklang mit Forderungen von Markt- und Kartellwächtern stehe, damit die Industrie genügend Zeit hat, auf die neuen Techniken zu wechseln. Immerhin sammelt Google auch selbst Daten auf Webseiten und vermarktet diese zu Werbezwecken. Eine zu schnelle Einführung der Technik könnte die Konkurrenz massiv benachteiligen. Der Testzeitraum soll entsprechend deutlich vergrößert werden, bevor die Third-Party-Cookies in Chrome wirklich abgeschafft werden.

Zwar könnten Entwickler die Technik schon nutzen, noch im August würden die Versuche damit aber auf “Millionen von Nutzern weltweit” ausgeweitet. Die Anzahl der ausgewählten Nutzer soll dabei bis ins Jahr 2023 hinein kontinuierlich ansteigen. Die Nutzer sollen dabei entscheiden können, ob sie teilnehmen wollen oder nicht, und werden darüber über ein gesondertes Fenster informiert.

Im dritten Quartal 2023 sollen die APIs dann weltweit an alle Chrome-Verwender verteilt werden und standardmäßig in Chrome verfügbar sein. In der zweiten Hälfte des Jahres 2024 erst soll die Unterstützung für Third-Party-Cookies auslaufen.

Der Beitrag Google verschiebt Ende von Third-Party-Cookies erschien zuerst auf Linux-Magazin.

Mozilla kündigt an, dass bei Firefox künftig die Total Cookie Protection Nutzer vor unerwünschtem Tracking schützen soll. Im Browser werden dabei Cookies von Webseiten isoliert in einer jeweils eigenen “Keksdose” abgelegt.

Bei Total Cookie Protection wird für jede Website, eine eigene “Cookie-Dose” angelegt, teilt Mozilla mit. Damit könnten Trackern nicht länger die Aktionen der Nutzer auf mehreren Websites verknüpfen, sondern nur das Verhalten auf einzelnen Websites sehen.

Lege eine Website oder ein in eine Website eingebetteter Inhalt eines Drittanbieters ein Cookie im Browser ab, sei dieses Cookie auf die Keksdose beschränkt, die nur dieser Website zugewiesen sei, schreibt Mozilla weiter. Keine andere Website könne in die Cookie-Jar greifen, die nicht zu ihr gehört.

Keksdosen-Ansatz der Cookie Control in Firefox. Quelle: Mozilla

Mozilla sieht sich damit in der Lage, Nutzer vor Tracking und damit der schlechtesten Eigenschaft von Drittanbieter-Cookies zu bewahren. Gleichzeitig ermögliche man mit der Keksdose den Anbietern eine weniger invasive Verwendung der Cookies, etwa zu Analysezwecken.

Die Total Cookie Protection bietet zusätzlichen Schutz der Privatsphäre zum bereits 2019 generell eingeführten erweiterten Tracking-Schutz. Die Enhanced Tracking Protection (ETP) blockiere Tracker auf der Grundlage einer Blacklist. ETP sei ein großer Gewinn für die Privatsphäre von Firefox-Nutzern, der Ansatz berge aber auch Schwachstellen, gesteht Mozilla ein. Wenn ein Tracker nicht auf dieser Liste stehe, könne er immer noch Nutzer tracken. Wolle ein Angreifer die Tracking Protection aushebeln, könne er auch eine neue Tracking-Domain einrichten, die dann ebenfalls noch nicht auf der Liste stehe. Total Cookie Protection vermeide diese Probleme, indem es die Funktionalität für alle Cookies einschränkt, nicht nur für solche, die auf einer Liste stehen.

Der Beitrag Firefox bekommt Total Cookie Protection erschien zuerst auf Linux-Magazin.

Noch bevor Nutzer ein Formular auf mancher Webseite abgeschickt haben, landen E-Mail-Adresse oder Passwort bei Trackingdiensten.

Formulare sind im Web allgegenwärtig. Doch bevor die Nutzer auf Senden geklickt haben, werden die Eingaben in einigen Fällen bereits mit Trackingdiensten von Drittanbietern geteilt. Das hat eine Studie der Universitäten Leuven (Belgien), Radboud (Niederlande) und Lausanne (Schweiz) herausgefunden.

Untersucht wurden die 100.000 beliebtesten Webseiten. In drei Prozent der Fälle wurden die Daten bereits vor einem Klick auf den Sendebutton mit anderen Dienste geteilt. Zuerst berichtete das Onlinemagazin Bleepingcomputer.

Demnach verwenden etliche von den Webseitenbetreibern integrierte Trackingdienste Skripte, die in einem Formular Tastenanschläge registrieren und den Inhalt speichern beziehungsweise übermitteln. Dabei werden auch persönliche Daten wie E-Mail-Adressen, Nutzernamen, Passwörter oder sogar Nachrichten, die die Nutzer verschicken wollten oder verschickt haben, an die Trackingdienste übermittelt. Die Nutzer dürften jedoch üblicherweise davon ausgehen, dass die Daten erst nach einem Klick auf den Senden-Button und nicht an Dritte übermittelt werden.

Ihre Ergebnisse veröffentlichten die Forscher sowohl auf einer Webseite als auch in einem Paper. Demnach leiteten unter anderem Shopify.com, Facebook.com, Gravatar.com, Bose.com, Bmw.de und Trello.com die E-Mail-Adresse ihre Nutzer an Trackingdienste weiter – noch bevor die Nutzer auf Senden geklickt hatten oder mittels eines Cookiebanners etwaigem Tracking zugestimmt hatten. Teils wurden die E-Mail-Adressen zuvor gehasht, teils wurden sie wie beispielsweise bei Gearbest.com im Klartext übertragen.

Insgesamt fanden die Forscher 1844 Webseiten, die bei einem Aufruf mit einer IP-Adresse aus der EU E-Mail-Adressen vor dem Absenden eines Formulars an Trackingdienste weitergaben. Laut der Studie verstößt die E-Mail-Exfiltration durch Drittanbieter gegen mindestens drei Anforderungen der Datenschutzgrundverordnung (DSGVO): das Transparenzprinzip, das Zweckbindungsprinzip und das Vorhandensein einer Einwilligung.

Wurden die Webseiten mit einer IP-Adresse aus den USA aufgerufen – also außerhalb des Geltungsbereichs der DSGVO – stieg die Anzahl der Seiten auf 2950, darunter beispielsweise Theverge.com und Businessinsider.com. Der Trackingdienst von Yandex soll auf etlichen Webseiten zudem Passwörter im Klartext gesammelt haben – bei Webseitenbesuchen aus den USA, aber auch aus Europa. Zu den häufig entdeckten Trackingdiensten, an welche die Daten übermittelt wurden, zählten unter anderem Liveramp, Taboola und Adobes Bizible.

Der Beitrag Studie: Wenn Daten schon vor dem Senden weitergegeben werden erschien zuerst auf Linux-Magazin.