Ab Firefox 120 werden Cookie-Dialoge blockiert
Cookie-Dialoge sind in der Theorie eine gute Sache, sollen sie dem Anwender doch mehr Kontrolle und Datenschutz geben. In der Praxis sind die meisten Anwender wohl doch eher genervt davon. Ab Firefox 120 soll Mozillas Browser damit beginnen, Cookie-Dialoge standardmäßig zu blockieren.
Wieso gibt es Cookie-Dialoge?
Zunächst einmal: Cookies sind nichts Schlechtes. Im Gegenteil sind diese häufig sogar technisch notwendig. In Cookies werden Informationen gespeichert, die es einem beispielsweise ermöglichen, auf Websites eingeloggt zu bleiben.
Häufig werden Cookies mit Tracking in Verbindung gebracht, indem über Websites und Sitzungen hinweg Informationen gespeichert und zusammengeführt werden, was es Websites dann erlaubt, zum Beispiel personalisierte Werbung auszuspielen. An diesem Punkt bekommen Cookies eine Datenschutz-Relevanz. Firefox-Nutzer sind hier durch den vollständigen Cookie-Schutz geschützt, der seit Firefox 103 für alle Nutzer standardmäßig aktiv ist. Gleichwohl ist zu bedenken, dass seitenübergreifendes Tracking heutzutage auch über andere Mechanismen stattfinden kann.
Cookie-Dialoge sind keine Idee der Website-Betreiber, sondern eine Konsequenz der Gesetzgebung innerhalb der Europäischen Union. Diese sieht es vor, dass Nutzern die Kontrolle darüber gegeben wird, was mit ihren Daten geschieht. Auch wenn es namentlich eigentlich nur um Cookies geht, hängt da oft viel mehr als nur Cookies dran. So kann das Laden ganzer Scripts von fremden Servern von der Entscheidung abhängen, ob man über einen solchen Dialog seine Zustimmung erteilt oder nicht.
Ziel dieser Cookie-Dialoge ist eine Verbesserung des Datenschutzes der Nutzer, was ohne Frage ein nobles Ziel ist. In der praktischen Umsetzung zeigt sich jedoch, dass viele Nutzer nur noch davon genervt sind, auf jeder Website erst einmal einen Dialog bestätigen zu müssen, zumal eine begründete Entscheidung oft auch gar nicht möglich ist, sei es wegen fehlender oder im Gegenteil so vieler Informationen, dass man erschlagen wird und einfach nur noch bestätigt. Gerne wird auch mit Tricks gearbeitet, welche die Zustimmung visuell attraktiver machen als die Ablehnung.
Ab Firefox 120 werden Cookie-Dialoge blockiert
Es ist bereits über ein Jahr her, dass ich darüber berichtet hatte, dass Firefox in Zukunft Cookie-Dialoge blockieren wird. Während Mozilla in der Zwischenzeit weiter an dem Feature gearbeitet hat, war nicht klar, wann die neue Funktion denn nun erstmals in einer finalen Version von Firefox ausgerollt werden wird.
Jetzt ist klar: Mozilla wird in Firefox 120 damit beginnen, Cookie-Dialoge standardmäßig zu blockieren. Allerdings: Die Ausrollung in Firefox 120 wird nur für Nutzer in Deutschland erfolgen. Nutzer in anderen Ländern werden also noch etwas länger warten müssen – oder die Funktion manuell über about:config aktivieren, indem der Schalter cookiebanners.service.mode auf 1 gesetzt wird.
Zu beachten ist, dass die Funktion Cookie-Dialoge reduzieren und nicht vollständig eliminieren wird. Es kann immer auch Websites geben, auf denen Cookie-Dialoge erscheinen, die von Firefox nicht erkannt werden. Außerdem blockiert Firefox standardmäßig ausschließlich Cookie-Dialoge, welche eine Option zum Ablehnen anbieten. Für die Zukunft ist geplant, noch eine Funktion zu integrieren, über welche man Mozilla auf Websites hinweisen kann, auf denen Cookie-Dialoge nicht erkannt werden. Bis dahin lassen sich Seiten mit nicht erkannten Cookie-Dialogen aber auch über GitHub melden.
Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, mozilla.de, firefoxosdevices.org sowie sozone.de.
Weitere aktuelle Artikel aus der Kategorie „Firefox“
- 30.04.2024Firefox 127: Schnelles Schließen identischer Tabs
- 29.04.2024Mozilla veröffentlicht Firefox 125.0.3
- 26.04.2024Firefox 126 lässt Hintergrundbild für Firefox-Startseite setzen
- 23.04.2024Firefox öffnet von alleine Tabs mit https://0.0.0.1 als Adresse? Ursache und Lösung
- 22.04.2024Mozilla veröffentlicht Firefox 125.0.2
Diese Vorgehensweise halte ich aus mehreren Gründen für eine falsch.
1. Firefox kann nur raten. Jeder Dialog ist anders aufgebaut, ob etwas kaputt geht kann man nicht wissen. Ob ein Fix dann auf Dauer hält kann man nicht wissen. Stand heute funktioniert nicht mal mehr GitLab.
2. Wenn alles ausgeblendet wird, sieht die Welt vielleicht wieder in Ordnung aus, ist es aber nicht. Gesetzgeber werden nicht mehr drangsaliert und fühlen sich dadurch bestätigt, dabei müssen genau diese solange genervt werden bis DNT gesetzlich verpflichtend als Willensbekundung akzeptiert wird.
3. Last not least: Manche Masochisten möchten vielleicht gar nicht alles ablehnen (z. B. aktiv an Statistik / Reichweitenerfassung teilnehmen). Insofern finde ich das als zumindest als impliziten Default schwierig.
Zusammenfassend kaschiert es aus meiner Sicht die Probleme der User und das auf eine von Natur aus wackelige Art. Mehr Lobbyismus wäre nötig um die Ursachen statt der Symptome zu bekämpfen.
Ich bin wohl etwas zu doof: Wird da jetzt quasi im Dialog auf "annehmen" oder "ablehnen" geklickt oder wird einfach keine Auswahl getroffen?
Danke!
@Stefan Niedermann:
Dein Kommentar ist auf so vielen Ebenen falsch. Lass mich da Stück für Stück drauf eingehen.
Das stimmt nicht. Es gibt klar definierte Regeln, entweder seitenspezifisch oder für eine sogenannte CMP, die Firefox umsetzt. Das hat mit Raten nicht das Geringste zu tun.
Der Link wäre nicht notwendig gewesen. Ich war es schließlich, der das gemeldet hat. Und die Formulierung „nicht mal mehr“ impliziert, dass hier ein größeres Problem vorliegen würde. Tatsache ist, dass es auf den allermeisten Websites keine Probleme gibt und wo doch, kann man es melden, damit es behoben wird, und in der Zwischenzeit kann man das Feature nicht nur global, sondern auch individuell pro Seite abschalten. Ich bin selbst nur auf zwei Probleme gestoßen, als ich gestern ca. 100 Seiten getestet habe.
Die Aussage ergibt für mich gar keinen Sinn. Wieso sollten Gesetzgeber „drangsaliert“ werden? Und worin sollen die sich bestätigt sehen? Tatsache ist, dass Cookie-Dialog eine Folge der Gesetzgebung sind, die völlig nach hinten losgegangen ist. So viele Nutzer sind extrem genervt davon und begründete Entscheidungen trifft sowieso praktisch niemand. Es wird in vielen Fällen nur noch blind geklickt, damit die Website funktioniert. Das ist nicht im Sinne der Nutzer.
Abgesehen davon: Mehrere Browser blockieren mittlerweile von Haus aus diese Dialoge, ansonsten gibt es immer noch Browser-Erweiterungen für diesen Job. Eine wurde sogar kürzlich von einem großen Sicherheitskonzern gekauft, der seine Reichweite bestimmt auch nutzen wird. Wenn du ein Signal an den Gesetzgeber sehen möchtest, ist das ja wohl eines. Ein Signal dafür, dass es eine andere Lösung für den Datenschutz braucht.
Du weißt aber schon, dass DNT tot ist? Wenn, dann GPC (Global Privacy Control). Und für's Protokoll, weil Europäer beim Datenschutz ja gerne arrogant werden, wenn sie sich mit den USA vergleichen: In den USA ist die Berücksichtigung von GPC bereits teilweise verpflichtend.
Firefox 120 wird übrigens auch eine sichtbare Option für GPC haben (dazu kommt in den nächsten Tagen noch ein eigener Artikel).
Standards sollten sich sinnvollerweise nach dem Mehrheits-Interesse richten und da gibt es in diesem Fall wohl keinen Zweifel. Zumal es hier nicht nur um den „Nerv-Faktor“ für den Nutzer, sondern auch um Datenschutz geht. Mozilla arbeitet bekanntermaßen permanent an Verbesserungen des Datenschutzes und der Limitierung von Tracking. Da ist dieses Feature nicht das erste und wird auch nicht das letzte sein. Zumal Firefox nicht der erste Browser mit so einer Funktion ist. Es gibt bereits mehrere andere Browser, die Cookie-Dialoge standardmäßig blockieren.
Diese Funktion kaschiert kein Problem der Nutzer, sondern löst eines. Befasse dich doch mal mit den Interessen der Firefox-Nutzer. Ich betreibe unter anderem das größte Firefox-Forum im gesamten deutschsprachigen Raum, ich bekomme einiges an echtem Nutzer-Feedback mit. Wie ich in der Einleitung des Artikels schrieb: Cookie-Dialoge sind in der Theorie eine tolle Sache. Sie sollten ein Datenschutz-Problem lösen. Aber in der Praxis sind sie gescheitert.
Meinst du nicht, dass auch ein gewisser Lobbyismus dazu führte, dass wir jetzt Cookie-Dialoge haben? Die EU hat auf die Bedürfnisse gehört – nur die Umsetzung ist leider ein Problem und mittlerweile gesetzlich verankert. Eine bessere Alternative ist ganz bestimmt möglich – aber selbst wenn man dafür jetzt eine tolle Idee hätte, Jahre entfernt. Dieses Feature ist eine Lösung für die Gegenwart. Das schließt überhaupt nicht aus, für langfristig bessere Lösungen einzustehen. Aber es ergibt keinen Sinn, das nur deswegen jetzt nicht zu machen, weil man glaubt, Veränderungen irgendwann herbeiführen zu können, wofür es zudem auch gar keine Garantie gibt.
@Guido:
Die Dialoge werden nicht einfach ausgeblendet, es wird explizit abgelehnt. Deswegen werden auch keine Dialoge blockiert, für die es nur eine Zustimmen- und keine Ablehnen-Option gibt.
> Es gibt klar definierte Regeln, entweder seitenspezifisch oder für eine sogenannte CMP, die Firefox umsetzt.
Gibt es hier einen Standard oder eine Spezifikation, wie Consent Management Platforms (ich vermute dafür steht die von dir verwendete Abkürzubg?) mit einer Seite interagieren? Wenn hier ein klar definiertes API zur Verfügung steht sieht die Sache natürlich anders aus. Wenn "klar definierte Regeln" allerdings nur innerhalb des Browsers definiert sind, z. B. mit CSS Selektoren oder ähnlichen ist der Begriff "raten" aus meiner Sicht nicht falsch. Das wäre zum Artikel ergänzend sehr interessant gewesen
> Der Link wäre nicht notwendig gewesen. Ich war es schließlich, der das gemeldet hat.
Inwiefern ist zusätzlicher Kontext für andere mitlesende User denn nicht notwendig? Das Internet funktioniert nunmal mit Links und Querverweisen, wieso einem dies vorgeworfen wird kann ich leider beim besten Willen nicht nachvollziehen.
> Und die Formulierung „nicht mal mehr“ impliziert, dass hier ein größeres Problem vorliegen würde. Tatsache ist, dass es auf den allermeisten Websites keine Probleme gibt
Bedenken wir, dass deprecated Uralt-Web-Standards nicht entfernt werden können weil Kompatibilität mit selbst den ältesten und kleinsten Hobby-Websites gewahrt wird – gemessen daran empfinde ich es als "größeres Problem", wenn eine der größten Code-Hosting- und -Entwicklungsplattformen nicht scrollbar ist. Auch kann ich bei 2% Seiten mit Problemen schwer von "nur" sprechen.
> Die Aussage ergibt für mich gar keinen Sinn. Wieso sollten Gesetzgeber „drangsaliert“ werden? Und worin sollen die sich bestätigt sehen? Tatsache ist, dass Cookie-Dialog eine Folge der Gesetzgebung sind, die völlig nach hinten losgegangen ist.
Ich denke, hier hast du mich falsch verstanden. Ich stimme zu, dass die Dialoge eine Folge der Gesetzgebung ist, und dass das ganze furchtbar schief gegangen ist. Immer mehr Politiker sind hiervon (wie die User zurecht) genervt und fordern Veränderungen. Warum? Weil die Politiker selbst von Cookie-Bannern betroffen sind (= drangsaliert werden). Würden diese Banner nicht mehr erscheinen, wären die meisten Politiker vermutlich schon zufrieden – obwohl das Problem nur kaschiert und nicht die Ursache behoben wurde.
Ich trauere DNT nach, ("Tot" ist relativ, Matomo unterstützt es z. B. noch und einen Header kann ja erstmal jeder setzen wie er möchte). Eine gute Lösung, die durch Ignoranz von Unternehmen verhindert und von der Politik nicht ausreichend unterstützt wurde.
> Meinst du nicht, dass auch ein gewisser Lobbyismus dazu führte, dass wir jetzt Cookie-Dialoge haben? Die EU hat auf die Bedürfnisse gehört – nur die Umsetzung ist leider ein Problem und mittlerweile gesetzlich verankert. Eine bessere Alternative ist ganz bestimmt möglich – aber selbst wenn man dafür jetzt eine tolle Idee hätte, Jahre entfernt. Dieses Feature ist eine Lösung für die Gegenwart. Das schließt überhaupt nicht aus, für langfristig bessere Lösungen einzustehen. Aber es ergibt keinen Sinn, das nur deswegen jetzt nicht zu machen, weil man glaubt, Veränderungen irgendwann herbeiführen zu können, wofür es zudem auch gar keine Garantie gibt.
Lobbyismus ist der Versuch von Einflussnahme zur Vertretung von Interessen – und gilt natürlich für beide Seiten. Ich sehe hier keinen Widerspruch, dass andere Interessen zu dem Cookie-Drama geführt haben. Inwiefern widerspricht dies der Aussage, dass wir (und damit meine ich inklusive Mozilla) mehr dafür tun sollten um unsere Interessen langfristig rechtlich zu verankern?
> Dein Kommentar ist auf so vielen Ebenen falsch.
Den Punkt zuletzt: Ich finde es nicht gerade angenehm, einen Meinungsaustausch so zu beginnen. Sicher gibt es verschiedene Ansichten und nicht jeder kann alles im Blick haben. Ich habe mich bemüht, meinen Kommentar sachlich zu schreiben. Bitte nimm es doch als freundlichen Aufruf bei solchen Artikeln mehr Kontext in Form von Links zu z. B. GPC und den von dir angesprochenen CMP-Regeln anzubieten, sodass wir am Ende des Tages alle profitieren und unser Wissen erweitern können. Ich jedenfalls werde mich nach meinem Urlaub in dir Technik hinter GPC einlesen 🙂
Ich sage mal Hurrah!. Wie ich das Zeug hasse.
Ideal wäre noch, dass man das auf bestimmten Websites oder meinetwegen im Private Mode abschalten kann. Das Problem für mich ist, ich bin Entwickler und ein paar der Sites haben solche Dialog und gelegentlich muss ich was im Zusammenhang testen. I still don't care about cookies hat z.B. eine Whitelist, das wäre schon praktisch.
Schon jetzt treffe ich als jemand, der Cookies nach jeder Sitzung löscht, sehr häufig auf Dialoge, bei denen man ganz einfach zustimmen aber nur sehr kompliziert und in mehreren Schritten ablehnen kann. So toll ich dieses Feature prinzipiell finde, ich fürchte, dass künftig immer mehr Website-Betreiber absichtlich Dialoge bauen werden, die sich nicht automatisiert ablehnen lassen – ggf. mittels dynamisch benannter Buttons. Keine Ahnung. Irgendwas werden die sich schon einfallen lassen. 🙁
Ich hab mich zwar ein stück weit daran gewöhnt diese Dialoge abzulehnen, nerven tun die trotzdem. Meine Freundin bestätigt die immer, durchgelesen haben wir die noch nie.
Wie passt das eigentlich zusammen: Der gesetzgeber will usern mit den Dialogen mehr kontrolle geben. Aber browser dürfen eine funktion haben die zu blokieren. Firefox lehnt damit ja die erlaubnis ab und somit hat der User wieder keine kontrolle?
Die Gesetzgeber haben gute Arbeit geleistet. Leider interessiert es aber niemanden, dass man auf sämtlichen Seiten getracked wird oder die persönlichen Daten Verarbeitet und Verkauft werden. Ansonsten besteht nämlich keine Pflicht den Anwender zu informieren.
Nein, es gibt dafür keinen verpflichtenden Standard, wie Buttons und Cookies benannt sein müssen. So funktioniert das Web generell nicht. Es gibt klar definierte Regeln, die für bestimmte CMPs oder individuelle Website-Lösungen funktionieren. Und dass das irgendetwas mit „raten“ zu tun hätte, stimmt schlicht und ergreifend nicht.
Ich habe dir nichts „vorgeworfen“. Als Kommentar unter meinem Artikel sind aber erst einmal vor allem wir zwei im Dialog miteinander, entsprechend verstand ich das auch in meine Richtung. Ich habe darauf hingewiesen, dass mir der Link bereits bekannt ist, da die Meldung von mir stammt. Wenn du der Meinung bist, dass das für andere Leser eine relevante Information ist, ist das selbstverständlich völlig in Ordnung.
Du hättest höchstens unter der Annahme recht, dass wir von einem Problem in einer finalen Firefox-Version unter einer Standard-Konfiguration sprechen. Wir sprechen hier aber immer noch von einem Feature, welches sich in einem Test in einer nicht für den Produktiveinsatz bestimmten Vorabversion von Firefox befindet. Bis zur finalen Auslieferung kann das Problem behoben sein.
Abgesehen davon sind die zwei Prozent keine repräsentative Zahl, nur weil ich schätzungsweise 100 Seiten getestet habe und dabei nur auf zwei Websites ein Problem festgestellt hatte. Zumal GitLab schon nicht zu den Top 1.000-Websites gehört und gHacks sowieso nicht, Similarweb listet die Seite auf knapp unter Rang 60.000. Und das ist global betrachtet, während wir hier ausschließlich von einer Aktivierung des Features für Nutzer in Deutschland sprechen und beides keines deutschsprachigen Websites sind.
Ich bezweifle, dass für eine Veränderung ausschlaggebend ist, ob Politiker privat von solchen Dialogen genervt sind oder nicht. In dem Fall könnten sie die gleichen Maßnahmen ergreifen wie alle anderen Nutzer auch. Mir sind auch keine konkreten Pläne bekannt, die sich diesbezüglich politisch entwickelt hätten.
Ob eine einzelne Anwendung oder Website DNT berücksichtigt, hilft nicht viel, wenn der Browser das nicht unterstützt. Safari unterstützt DNT beispielsweise überhaupt nicht mehr, der Internet Explorer (gut, der ist Vergangenheit, aber für's Protokoll) hatte eine zweifelhafte Standard-Einstellung und selbst in Firefox bildet die Option nicht mehr das ab, was der Standard eigentlich vorgesehen hatte. Und Tatsache ist, dass DNT nie zu einer finalen Spezifikation wurde. Die Bemühungen wurden eingestellt. Und damit ist DNT de facto „tot“.
Es ging darum, dass das, was man für eine bessere langfristige Perspektive sonst tun könnte, schlicht und ergreifend kein Argument dafür ist, wieso es „falsch“ wäre, dieses Feature zeitnah auszuliefern.
Mir ist nicht klar, wo genau das Problem sein soll. Mir sind in deiner Argumentation mehrere Punkte aufgefallen, die so einfach nicht gepasst haben. Und genau das habe ich geschrieben.
Das hat mit dem Thema dieses Artikels nur überhaupt nichts zu tun und dementsprechend nichts in diesem Artikel zu suchen.
@Christoph:
Das Feature ist bereits pro Website abschaltbar und kann auch für den privaten Modus individuell ein- oder ausgeschaltet werden. Ersteres per Oberfläche, letzteres derzeit nur via about:config.
@Ralf Niemann:
Das Ablehnen komplizierter als das Zustimmen zu machen, wäre nicht legal und könnte einen Website-Betreiber bei einer Meldung an den zuständigen Landesdatenschutzbeauftragten in Schwierigkeiten bringen.
Selbst wenn sich die IDs oder Klassen dynamisch ändern, heißt das nicht zwingend, dass man die entsprechenden Buttons nicht mit einer statischen Regel ansprechen kann. Selektoren, die beispielsweise so etwas wie :nth-child(3) beinhalten, werden bereits verwendet. Aber das müsste man sich dann im Einzelfall ansehen.
Grundsätzlich glaube ich, dass die allermeisten Websites auf Fertiglösungen setzen, sprich sogenannte CMPs, und dass es für die fast immer feste Regeln geben wird. Denn es besteht ja häufig auch der Anspruch durch Website-Betreiber, diese Dialoge anpassen zu können.
Aber wir werden sehen. Darüber lässt sich jetzt nur spekulieren.
@Se:
Das Feature ist optional, Nutzer dürfen auch weiterhin alle Cookie-Dialoge sehen, wenn sie das wollen.
Hi, habe eine kurze Verständnisfrage.
Ist die Funktion mit FF 120 nur auf dem Desktop (Windows etc.) oder auch auf Android verfügbar?
Vielleicht habe ich es auch einfach überlesen…
Danke vorab.
Ab Firefox 120 in Firefox für den Desktop in privaten Fenstern, ab Firefox 121 auf Android, jeweils nur in Deutschland. Aber über about:config lässt sich das auch in nicht privaten Fenstern aktivieren sowie in anderen Ländern.