Trackingmethoden von Facebook, Twitter und Co.

[Felix_krueger]

Hallo Leute,

man hört ja immer wieder, dass die Mailanbieter, Suchmaschinenbetreiber und Sozialen Netzwerke (allen voran Facebook) seine Nutzer tracken. Natürlich auch nicht Facebooknutzer unter Pseudonymen.
Meine Frage ist: Hat jemand ne Idee wie z.B. Facebook das macht? Funktioniert das über Cookies, oder nur über eine Kombination aus Cookies und das Laden des "Like-Buttons" auf anderen Webseiten ?

Wie kann man sich dagegen wehren? Reicht es Disconnect.me als FF Add-On zu installieren, oder muss man mit Noscript alle Skripte der sozialen Netzwerke komplett verbieten und lässt keine Cookies von denen zu, bzw. löscht diese nach der Session? Bleibt dann aber das Tracking für die bestehende Session aktiv?
Reicht es evtl. schon ein zweites FF Profil anzulegen das man speziell für Facebook und Co. benutzt, oder empfiehlt es sich sich einen komplett anderer Brwoser zu benutzen?

Den Tipp "Hör auf Facebook, Google und Co. zu nutzen", habe ich schon oft gehört. Es geht mir hier aber um das Tracking aus technischer Sicht!
Dass Webseiten durchaus in der Lage wären auch über Browser-fingerprinting, Evercookies etc. zu tracken ist mir klar. Meine frage ist: Welche Methoden werden wirklich von Facebook und Co. angewendet um User zu tracken und wie "wehre" ich mich dagegen?

LG
Felix

 

[zoz]

Cookies, oder nur über eine Kombination aus Cookies und das Laden des "Like-Buttons" auf anderen Webseiten

Beides.

Wie kann man sich dagegen wehren? Reicht es Disconnect.me als FF Add-On zu installieren, oder muss man mit Noscript alle Skripte der sozialen Netzwerke komplett verbieten und lässt keine Cookies von denen zu, bzw. löscht diese nach der Session? Bleibt dann aber das Tracking für die bestehende Session aktiv?

AdBlock Plus mit aktivieren Tracking und SocialButtons Listen sind die beste lösung. Desweitere das BetterPrivacy AddOn installieren das sich z.b. um Flashcookies, diverse HTML5 features etc. kümmert.

Welche Methoden werden wirklich von Facebook und Co. angewendet um User zu tracken und wie "wehre" ich mich dagegen?

Das weiß nur Facebook selbst. Du kannst ja mal ihre Datenschutzbestimmungen durchlesen, aber dagegen wurde schon mehr als einmal verstossen von daher ist das nicht 100% zuverlässig. Was genau ermittelt bzw. gespeichert wird lässt sich aus Client nicht eindeutig feststellen.

Ich _persönlich_ gehe davon aus das durchaus IP-unabhängiges Fingerprinting betrieben wird.

 

[mcwild]

Du bist Gläsern und wirst dich dagegen nicht wehren können! Mein Tipp: In der Masse untergehen! Wenn du dich versuchst zu schützen, wirst du nur noch interessanter für wen auch immer...

 

[tnoay]

warum können leute nicht die finger still halten wenn sie die antwort zum ersten beitrag nicht wissen?

 

[kaffeetrinken_]

Jupp. Beides. Wobei speziell Facebook wenige Cookies einsetzt. Brauch ja Dank der ganzen like buttons auch gar nicht. Siehe dazu :

http://www.leitmedium.de/2013/12/10/warum-die-nsa-affaere-niemanden-wirklich-stoert-vielleicht-weil-selbst-facebook-weniger-tracken-als-guardian-und-faz/

Ich fand das sehr zum Schmunzeln, wenn nicht gar Weinen -.-

Aber sei es drum...ich weiß nicht weiß gerade nicht, ob Adblock Plus wirklich alles blockt...mein Tipp: Schau dir mal das Addon ghostery an

 

[Daaron]

Meine Frage ist: Hat jemand ne Idee wie z.B. Facebook das macht? Funktioniert das über Cookies, oder nur über eine Kombination aus Cookies und das Laden des "Like-Buttons" auf anderen Webseiten ?

Der Like-Button setzt und liest einen Cookie. So einfach ist das.

Natürlich könnte rein theoretisch auch ohne Cookie gearbeitet werden, aber das Facebook-CDN dürfte zu komplex sein, um effizientes ETag-Tracking zu implementieren. Dann lieber n Keks anbieten und fertig.

 

[Felix_krueger]

@ Daaron. Heißt das, dass Facebook nur die Rückmeldung bekommt wer wann auf welcher Seite ihren Likebutton geladen hat?
Denn man hört immer wieder, dass FB den Nutzern nachspioniert, auch wenn sie nicht eingeloggt sind ... nur wird nie gesagt wie das genau geschehen soll.
Aber wenn dem so ist, dann würde es ja ausreichen das Laden des Likobuttons zu unterbinden.
Oder kann man mit Cookies auch verfolgen welche Seiten ein User auch noch aufgerufen / in seiner History gespeichert hat ?


@kaffeetrinken Ich habe hierzu schon einen Artikel verfasst https://www.computerbase.de/forum/threads/firefox-add-ons-zur-privatsphaere.1243270/ und benutze eine ganze Reihe von Addons, aber speziell ghostery nicht, weil es durchaus Kritik dazu gibt. Ob disconnect.me jetzt besser ist kann ich nicht beurteilen.

@tnoay ...genau das frage ich mich auch! Aber es scheint wohl sowa wie ein Naturgesetz der Foren zu sein, dass einer immer seinen Senf dazugeben muss ohne konkrete Lösungsvorschläge zu machen.

Aber okay mcwild: Sag mir doch bitte WIE ich mich in der Masse unsichtbar machen soll. Soweit ich weiß sind wir alle ziemlich einmalig und so erkennbar. Weiteres in dem Link von weiter oben.

 

[Daaron]

@ Daaron. Heißt das, dass Facebook nur die Rückmeldung bekommt wer wann auf welcher Seite ihren Likebutton geladen hat?

Jep. Wenn der Like-Button über die reguläre Methode eingebunden wird, dann lädt er einen Cookie in dein System. Über diesen Cookie, egal ob du FB-User und eingeloggt bist oder nicht, kannst du über die verschiedenen Seiten verfolgt werden, die den Button verwenden.

Einzige Ausnahme binden die von Heise.de entwickelten "Social Privacy"-Buttons, wie sie hier auf CB verwendet werden. Da wird der FB-Code erst geladen, wenn du gezielt FB anschaltest. Somit raffter der Cookie nix.

Aber wenn dem so ist, dann würde es ja ausreichen das Laden des Likobuttons zu unterbinden.

Tut es. Die einfachste Methode, gerade wenn du FB für gar nichts verwendest, ist: schreib die verschiedenen Domains des Facebook Content Delivery Networks in deine Hosts-Datei (glaub, die liegt bei Windows irendwo in system32) und verknüpfe fest deine Localhost-IP 127.0.0.1 mit diesen Domains.
Ansonsten gibt es natürlich auch zig tausend Browser-Plugins, die das für dich machen, ohne das du deine Hosts umschreiben musst.

Oder kann man mit Cookies auch verfolgen welche Seiten ein User auch noch aufgerufen / in seiner History gespeichert hat

Nope, geht nicht.

Aber okay mcwild: Sag mir doch bitte WIE ich mich in der Masse unsichtbar machen soll.

Tatsächlich bist du das bereits.
Ja, theoretisch kannst du über den Cookie, dein Verhalten und nicht zuletzt die User Agent Kennung deines Browsers recht gut identifiziert werden. Mit genug Verhaltenstracking könnten durchaus Schlüsse auf deinen Wohnort oder deine Gewohnheiten geschlossen werden. Der Aufwand wird aber nicht betrieben. Die Fehlerquote wäre viel zu hoch.

In der Realität zählen DEINE Daten nichts. Wichtiger für solche Unternehmen sind Schwarmdaten und Trends. Wenn sich von heut auf morgen einige hunderttausend Menschen über ein bestimmtes Thema informieren, das vorher vollkommen Banane war, dann könnte hier ein Trend stecken, der sich zu Geld machen lässt. Denk nur an Gangnam Style, The Fox,...
Kombiniere das frühzeitige Erkennen solcher Trends durch Schwarmdaten mit einem Markt wie z.B. Textildruck, und du siehst den Nutzen. Es ist egal, ob du The Fox gesehen/gehört hast. Viel wichtige sind die anderen ~285Mio...

 

[shane01]

[...] AdBlock Plus mit aktivieren Tracking und SocialButtons Listen sind die beste lösung [...]

Aktuell hab ich 2 Filterlisten bei Adblock Edge aktiv. EasyList Germany und Fanboy´s Social Blocking List. Gibt es vielleicht etwas Besseres als diese Social Blocking List? Ich möchte nicht zu viele Filterlisten verwenden aufgrund der Performance. 2 genügen. Aber oft braucht man ja noch zusätzliche Listen, weil die voneinander abhängen.

 

[Felix_krueger]

Danke Daaron für deine ausführliche Antwort! Bislang dachte ich auch immer, dass es egal sei was man persönlich so treibt ... aber mir kommen da langsam Zweifel (Bsp.: Browser-fingerprinting). Jetzt könnte man lange darüber debattieren, ob es sinnvoll oder überhaupt möglich ist, sich der allgegenwärtigen Überwachung zu entziehen, obwohl der Kampf aufgrund der ungleichen Waffen sowieso direkt als verloren gelten müsste.
Ich habe mich aber trotzdem dazu entschlossen meinen Browser so zu konfigurieren, dass ich zumindest weniger Datenspuren hinterlasse. Ob's sinnvoll ist oder nicht ist mir erst mal egal

Ich habe einen Artikel gefunden der eigentlich das bestätigt was du sagst, denn im letzten Absatz heißt es www.faz.net/aktuell/technik-motor/computer-internet/nsa-missbraucht-google-cookies-lasst-die-finger-von-den-cookies-12644086.html:
"Facebook setzt auf das Profil

Facebook nutzt schon länger diese Methode. Das soziale Netzwerk kann relativ einfach seine Nutzer tracken. Sobald man sich eingeloggt hat und die Seite offen lässt, sammelt Facebook fleißig Informationen während man auf anderen Seiten surft. Da die Identität aufgrund des Profils immer eindeutig ist, können die Informationen auf allen Geräten direkt zugewiesen werden. Die Weitergabe einer Information funktioniert allerdings nur, wenn die jeweilige Webseite einen Code-Schnipsel enthält. Das können Like-Buttons oder andere Facebook-Plugins sein.

Nach Informationen von USAToday trackt Facebook auch Nutzer, die ausgeloggt sind. Es gibt also zwei Cookies: einen für den Browser und einen für die Session. Letzterer ist aktiv bei eingeloggten Nutzern und sammelt Daten über Name, Mail-Adresse, Freundesliste, Vorlieben, IP-Adresse, Bildschirmauflösung, Browserversion, Zeit, Datum und alle Webseiten, die ein Facebook-Plugin beinhalten. Doch Facebook kann offenbar auch tracken, wenn man abgemeldet ist. Dann wird der Browser-Cookie aktiv. Dann fehlen lediglich die Informationen über Name, Mail-Adresse, Freundesliste und Vorlieben."


Wenn man dem Glauben schenkt, dann dürfte es wohl reichen das Laden von FB-Skripten zu unterbinden, um trotz geöffnetem FB-Profil auf anderen Webseiten unverfolgt surfen zu können und zwar auch wenn man ausgeloggt ist, da ja keine FB-Skripte geladen werden.

Danke auch für die Info, dass Cookies nicht in der Lage sind einen auf jeder Webseite zu verfolgen, es sei denn man ruft eine Webseite noch mal auf, dann weiss der Cookie woher ich komme und wie oft ich schon da war.

 

[Daaron]

Du wirst FB nicht sauber aussperren können, wenn du gleichzeitig aktiv ein FB-Profil nutzen willst. Die Hosts-Methode würde FB z.B. für das gesamte Betriebssystem lahm legen. Bei anderen Methoden bräuchtes du einen "Quarantäne-Browser", in dem du nur FB nutzt, und für alles andere einen anderen, in dem kein FB auftauchen darf.

So oder so könnte deine Filterliste nach hinten losgehen. So mancher Social Media Dienst bietet weitere Funktionen an, dei von Webentwicklern gern genutzt werden, aber nichts mit Social Media zu tun haben. Ich denke da nur an FontAwesome und Bootstrap, die Teil des Twitter-CDNs sind.
Oh, und wie willst du dich vor Google+ verbergen? Das Google CDN kannst du auf keinen Fall blocken, denn damit zerschießt du dir garantiert viele Webseiten. Das Netz als Gesamtheit wäre viel träger, gäbe es solche leistungsstarken zentralisierten CDNs nicht. Das nutzen Webentwickler natürlich nur zu gern. Ich hab quasi kein Projekt am Start, dass nicht auf das Google CDN zurückgreift, und viele greifen zumindest auf FontAwesome zurück.
Sogar an eine "zivile" Nutzung der Facebook API ist schnell gedacht: oAuth Logins. oAuth ist mit Abstand das beste Login-System, dass es gibt. Es ist weit besser, als sich für 50 Dienste auch 50 Passwörter zu merken oder gar für 50 Dienste dasselbe PW zu nutzen.

 

[Felix_krueger]

Alles klar, danke für die Aufklärung über Cookies und CDNs! Ich habe auch schon über ein zweites Profil in Firefox nachgedacht oder komplett einen anderen Browser zu nutzen. Aber das hätte ich nur für nötig gehalten, würde FB einem durch das ganze Internet folgen, auch wenn man Likebuttons aussperrt. Da das aber wohl nicht der Fall ist, ist es halb so wild.
Ich hatte nur befürchtet, dass eine neue Methode des Trackings an mir vorbeigegangen ist, weil es ja oft heißt "Facebook verfolgt seine User überall hin".

Ich habe heute mal einen Test gemacht wie effektiv die einzelnen Maßnahmen gegen Tracking sind. Dafür habe ich drei Nachrichtenseiten geladen und mit lightbeam visualisiert welche Verbindungen bestehen und woher Cookies kommen. Das hier sind die Ergebnisse:

Bemerkenswert war, dass man 3 Third-Party-Sites weniger lädt, wenn man einstellt, dass man verfolgt werden möchte.
Grundsätzlich lässt sich aber sagen, dass No Script und Ad Block Edge schon einen deutlichen Unterschied gegenüber ungeschützdem Browsing machen. Es funktioniert auch gut FB, G+ und Twitter bei No Script zuzulassen, dann aber Disconnect dabei zu haben.

 

[Daaron]

...weil es ja oft heißt "Facebook verfolgt seine User überall hin".

Nennt sich Panikmache, damit sorgt die Presse gern für Auflage. In IT-Dingen, vor allem wenn es um SPIONAGE!!!! geht, kann man wunderbar Panik verbreiten, denn Ahnung haben die Wenigsten.

Aber: Theoretisch könnte dich Facebook bis aufs Klo verfolgen.... wenn auf dem Klo jemand ein Foto von dir macht, es auf FB stellt und dich entweder jemand manuell markiert oder aber die Gesichtserkennung auslöst, weil deine Visage schon aktenkundig ist *G*
Is natürlich Schwachsinn. Alles Humbug.

Bemerkenswert war, dass man 3 Third-Party-Sites weniger lädt, wenn man einstellt, dass man verfolgt werden möchte.

Ist eher Zufall. Das kann z.B. damit zusammen hängen, welche Werbebanner bei dir gerade eingeblendet werden. Die eine Firma will nur, dass du ihr Banner siehst, die nächste will wissen, dass du es gesehen hast (und trackt).

 

[Felix_krueger]

Alles klar, danke für deine ausführliche Hilfe Daaron!

Und für die, die es interessiert: Am besten funktioniert Request Policy


Einen schönen dritten Advent wünsche ich