13 Reaktionen

Firefox 59: Noch mehr Privatsphäre für den Privaten Modus

Geschätzte Lesedauer:

Im Privaten Modus merkt sich Firefox keine Surf-Spuren wie Chronik oder Cookies. Außerdem werden standardmäßig Tracking-Scripts blockiert. Mit Firefox 59 verbessert Mozilla weiter die Privatsphäre in diesem Modus.

Besuchte Webseiten, Eingaben in das Suchfeld und Logins sind Dinge, die sich Firefox, neben anderen Dingen, merkt. Was häufig praktisch ist, ist nicht immer erwünscht. Daher gibt es mit dem sogenannten Privaten Modus eine Betriebsart, bei der sich Firefox all dies nicht merkt. Auch liefert der Private Modus standardmäßig mehr Privatsphäre. Bekannte Tracking-Scripts von Drittanbietern werden nämlich blockiert. Neben einer Verbesserung der Privatsphäre sorgt dies ganz nebenbei für deutlich weniger Werbung auf den Webseiten und für eine spürbar bessere Webseiten-Performance.

Mit Firefox 59 geht Mozilla einen Schritt weiter. Bisher ist es üblicherweise so, dass der Browser gemäß HTTP-Protokoll bei jedem Aufruf einer Webseite einen sogenannten Referrer sendet. Dies bezeichnet die URL, von der ein Nutzer zur Zielseite navigiert ist, und zwar in der Regel die komplette URL. Diese Information steht auch sämtlichen Sub-Ressourcen wie eingebetteter Werbung oder Social Media-Widgets zur Verfügung. Solche Informationen werden häufig für Statistiken genutzt. Während dies vergleichsweise harmlos ist, ist es weit problematischer, wenn der Referrer sensible Informationen preisgibt. So hat die EFF berichtet, dass healthcare.gov über den Referrer sensible Informationen an mindestens 14 Domains geleakt hat. Ein solcher Referrer konnte beispielsweise so aussehen:

https://www.healthcare.gov/see-plans/85601/results/?county=04019&age=40&smoker=1&pregnant=1&zip=85601&state=AZ&income=35000

Aus diesem Referrer lässt sich nicht nur ableiten, welche Seite der Anwender zuvor besucht hat. In diesem konkreten Fall beinhaltet der Referrer das Alter, den Wohnort, ob der Anwender Raucher ist, und sogar das Einkommen, weil all diese Informationen auf der Webseite als URL-Parameter vorhanden und beim direkten Navigieren auf eine andere Webseite dann im Referrer vorhanden sind.

Im Privaten Modus wird Firefox ab Version 59 den Referrer standardmäßig kürzen und den kompletten Pfad sowie zusätzliche Parameter entfernen. Im obigen Beispiel würde damit nur noch Folgendes als Referrer übrig bleiben:

https://www.healthcare.gov/

Damit wird für Webseiten-Betreiber verhindert, dass sensible Daten versehentlich geleakt werden, zumindest für Nutzer des Privaten Modus von Firefox. Im Idealfall sollten Webseiten natürlich von sich aus für alle Nutzer gewährleisten, dass solche Informationen nicht via Referrer weitergegeben werden.

Firefox besitzt darüber hinaus einige Einstellungen, um das Referrer-Verhalten detailliert, unabhängig vom Privaten Modus, zu konfigurieren.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler und Mozilla Repräsentant (Alumnus). Neben diesem Mozilla-Blog betreibt er unter anderem noch firefoxosdevices.org sowie das Fußball-Portal Soccer-Zone und ist außerdem Administrator des deutschsprachigen Firefox Hilfeforums Camp Firefox.

13 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. schrieb am :

    Ganz ehrlich, ich habs bis heute nicht kapiert, was dieser komische Referrerkram soll, abgesehen vom Daten leaken. Warum man das nicht schon vor >10 Jahren komplett entfernt hat ist mir ein Rätsel.

  2. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Ein Anwendungsfall steht im Artikel: statistische Zwecke. Für Webseitenbetreiber, mich selbstverständlich eingeschlossen, ist das eine unheimlich wichtige Information.

    Und ganz ehrlich, wenn man alles entfernen würde, was negativ ausgenutzt werden kann, dann würde es heute praktisch gar nichts mehr geben.

  3. schrieb am :

    Naja, vermutlich teile ich einfach nur nicht die Meinung, daß diese Statistiken derart wichtig sind. Spielt in meinen Augen keine große Rolle, wo der Hit herkam.

    😀 Klingt nach einem sehr einfachen und sauberen Internet! Neenee, ist natürlich Quatsch alles zu entfernen, was nicht nur positiv ist. JavaScript fällt mir da ein. Gleichzeitig unheimlich praktisch und unheimlich dusselig. Wär blöd, das zu entfernen…

  4. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Es macht natürlich auch einen Unterschied, ob man fünf Besucher pro Tag hat oder ein paar Tausend. Je größer das Projekt ist, desto weniger kann man die Analyse vernachlässigen. Ich schau mir die Referrer des Vortages sogar jeden Tag an. Es wäre für mich unvorstellbar, dieses Werkzeug nicht mehr zur Verfügung zu haben.

  5. Marcel
    schrieb am :

    Ich schau mir die Referrer des Vortages sogar jeden Tag an. Es wäre für mich unvorstellbar, dieses Werkzeug nicht mehr zur Verfügung zu haben.

    Und welche Konsequenzen folgen dann, wenn du siehst, dass viele User von einer bestimmten Seite kommen? Ich denke das ist das was man wissen muss, weil Datenerfassung unter dem Grund "das ich die erfassten Daten sehen kann" ist irgendwie kein Grund.

    Nicht falsch verstehen, ich bin auch ein riesen Fan von Statistiken (und deiner News-Seite natürlich), aber da muss ich jetzt einfach kritisch nachfragen 😉

  6. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    weil Datenerfassung unter dem Grund "das ich die erfassten Daten sehen kann" ist irgendwie kein Grund.

    Mal davon abgesehen, dass ich das so auch nicht gesagt habe: letztlich muss man Daten natürlich sehen, damit man sie auswerten kann, insofern ist das eine Begründung, die für alles greift. Aber ich schrieb in meinen Kommentaren ja auch, dass es einen Zweck gibt und was dieser Zweck ist. 😉

    Ich werde hier jetzt natürlich nicht ins Detail gehen, wie ich meine Webseiten optimiere. Daher ganz allgemein: man sieht über den Referrer, woher Nutzer kommen – man sieht auch, woher Nutzer nicht kommen und welche Quellen weniger gut funktionieren. Man kann sich die Quellen auch genauer ansehen und schauen, in was für einem Kontext Links zu einer Seite irgendwo gesetzt werden. Wenn du beispielsweise viele Klicks von einer Seite aus erhältst, dir die Quelle ansiehst und dann siehst, dass dort diskutiert wird, wie inhaltlich schwach dein verlinkter Artikel doch ist, dann ist das etwas, woraus man sicher eine Konsequenz ziehen kann, nämlich was die eigene inhaltliche Qualität betrifft. Heißt: es hört nicht dabei auf, zu erfahren, woher ein Leser kommt. Du kannst auf diese Weise auch wertvolles inhaltliches Feedback erhalten. Das war jetzt ein Beispiel. Man kann nicht verallgemeinern, was für Konsequenzen man grundsätzlich aus der Information des Referrers zieht, es hängt immer von verschiedenen Variablen ab. Und das muss am Ende auch jeder für sich selbst wissen, ob und in welchem Ausmaß man hier Zeit und Arbeit investiert. Wer keine Ziele hat und sich mit wenig zufrieden gibt, wird vermutlich weniger in dieser Richtung tun als jemand, der besser sein will.

  7. kuru
    schrieb am :

    Referrer werden auch für seitenübergreifende Logins verwendet wenn ich das richtig im Kopf habe. Da wär so ein generelles Abschalten keine gute Idee

  8. miku23
    schrieb am :

    @Sören: Ich weiss nicht ob die Quelle gepatzt hat oder ob du das selber hinzugefügt hast aber im privaten Modus sollte wohl eher https://www.healthcare.gov/see-plans/85601/results/ verbleiben. Die von dir genannten URL (https://www.healthcare.gov/) würde eine andere Seite öffnen.

    @kuru: Was du meinst sind die temporären Hashes usw. die mittels URL mitgegeben werden. Ich hoffe nicht dass diese entfernt werden da z.B. bei PHP Seiten gerne mal die URL für die Weitergabe ganz harmloser Variablen gebraucht wird (https://www.testpage.com?lang=de z.B.).

  9. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    @Sören: Ich weiss nicht ob die Quelle gepatzt hat oder ob du das selber hinzugefügt hast

    Die im Artikel auch verlinkte Quelle ist Mozilla und die werden wohl am besten wissen, was sie selbst in Firefox implementiert haben, nicht? Insbesondere dann, wenn es dafür sogar eine offizielle Ankündigung gibt und das das einzige Thema dieser Ankündigung ist. Also nein, da hat niemand gepatzt. Es ist genau so, wie es hier beschrieben steht.

    aber im privaten Modus sollte wohl eher https://www.healthcare.gov/see-plans/85601/results/ verbleiben. Die von dir genannten URL (https://www.healthcare.gov/) würde eine andere Seite öffnen.

    Falsch, sollte es nicht. Dass das einen anderen Inhalt öffnet, wenn man das als URL in die Adressleiste eingibt, ist nicht das Thema. Denn genau darum geht es ja: dass der Referrer auf die Domain gekürzt und der komplette Pfad wegfällt.

  10. miku23
    schrieb am :

    Sorry ich hatte Referrer mit den tatsächlichen Link verwechselt, vermutlich ist das gleiche auch @kuru passiert weshalb meine Antwort an ihn solvent ist.

  11. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Achso. 😛

  12. Jasper
    schrieb am :

    Ich habe mal eine grundsätzliche Frage zum Referrer. Wird die URL nur dann übertragen, wenn man von der vorhergehenden Seite über einen Link auf neue Seite kommt, oder auch, wenn man die neue Seite über einen Bookmark aufruft oder die URL manuell in die URL-Leiste tippt?

     

  13. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Es muss eine Navigation von der Seite erfolgt sein, d.h. wenn du ein Lesezeichen im gleichen Tab öffnest oder eine andere URL in die Adressleiste eingibst, wird die aktuelle Seite nicht zum Referrer.

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.
  1. Nach Absenden des Kommentar-Formulars erfolgt eine Verarbeitung der von Ihnen eingegebenen personenbezogenen Daten durch den datenschutzrechtlich Verantwortlichen zum Zweck der Bearbeitung Ihrer Anfrage auf Grundlage Ihrer durch das Absenden des Formulars erteilten Einwilligung.
    Weitere Informationen