10 Reaktionen

Privatsphäre: Mozilla entfernt Battery API aus Firefox

Geschätzte Lesedauer:

Die Battery Status API ist eine Schnittstelle, welche Informationen über den Ladezustand des Akkus liefert. Diese wird häufig missbraucht, um Nutzer zu tracken. Aus Privatsphäre-Gründen entfernt Mozilla die Schnittstelle für Webseiten aus Firefox 52. Damit sind zukünftig nur noch Nutzer von Chrome und anderen auf dem Chromium-Core basierenden Browsern wie Opera anfällig für Tracking über die Battery Status API.

Mittels Battery Status API, oft auch einfach nur Battery API genannt, ist es Webseiten und Add-ons möglich, den Ladezustand des Geräte-Akkus auszulesen und über Änderungen benachrichtigt zu werden. Was zunächst einfach nur praktisch klingt, beispielsweise um Dokumente automatisch zu speichern, wenn der Akkustand gering ist, kommt mit einem unschönen Nebeneffekt: über diese Schnittstelle ist es überraschend präzise möglich, Nutzer zu tracken, ohne dass es einen effektiven Schutz dagegen gibt. Firefox-Nutzer können die Battery Status API zumindest per about:config komplett für Webseiten deaktivieren. Der entsprechende Schalter hört auf den Namen dom.battery.enabled und muss dazu per Doppelklick auf false geschaltet werden.

Unterstützt wird die Battery Status API von Firefox sowie von Chrome und allen anderen auf dem Chromium-Core basierenden Browsern, einschließlich Opera. Der Internet Explorer und Edge von Microsoft sowie Safari von Apple unterstützen diese Schnittstelle nicht.

Nun hat Mozilla die Unterstützung der Battery Status API aus Firefox 52 entfernt, um die Privatsphäre seiner Nutzer besser zu schützen – zumindest für Webseiten. Erweiterungen für Firefox sowie Firefox selbst können nach wie vor diese Schnittstelle nutzen, womit weiterhin Anwendungsfälle abgedeckt werden können, die unabhängig von Tracking auf Webseiten sind.

Für Nutzer bedeutet dies in erster Linie, dass Firefox-Nutzer ab Firefox 52 genau wie Nutzer von Safari, Internet Explorer oder Edge nicht länger standardmäßig mittels Battery Status API getrackt werden können. Nutzer von Chrome, Opera oder einem anderen auf Chromium basierenden Browser sollten im Hinterkopf behalten, dass sie hierüber von Webseiten relativ eindeutig identifiziert werden können.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler und Mozilla Repräsentant (Alumnus). Neben diesem Mozilla-Blog betreibt er unter anderem noch firefoxosdevices.org sowie das Fußball-Portal Soccer-Zone und ist außerdem Administrator des deutschsprachigen Firefox Hilfeforums Camp Firefox.

8 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. chapeau
    schrieb am :

    Ich glaub Fonts sind das größere Problem.
    Da wart ich noch auf Abhilfe.
    Browserleaks & Co zeigen da immer noch sehr große Listen an.

  2. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Sind halt zwei voneinander völlig unabhängige Probleme. Klar gibt es zum Tracking / Fingerprinting verschiedene Optionen. Die Battery Status API erlaubt allerdings alleine bereits eine sehr eindeutige Identifizierung.

  3. foobar
    schrieb am :

    Wie ist das mit Desktop-Rechnern ohne Akku? Erscheinen bzgl. der Battery API diese Rechner als gleich oder wäre sogar dort eine Identifizierung möglich?

  4. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Ich gehe mal ganz stark davon aus, dass das einen Unterschied macht und in Geräten ohne Akku ein Tracking nicht in gleichem Maße möglich ist. Was ich allerdings nicht sagen kann, ist, ob eine schwächere Form von Tracking über diese API trotzdem möglich ist. Ich kann das leider auch nicht überprüfen, da ich seit sicher schon zehn Jahren keinen Desktop-Rechner mehr besitze.

  5. Bernd Kramer
    schrieb am :

    Schlimme Nachrichten über den Firefox und seine Erweiterungen:

    https://www.heise.de/newsticker/meldung/Daten-zu-Surfverhalten-von-Millionen-Deutschen-als-kostenlose-Probe-3451556.html

    Dazu wäre hier mal ein Artikel notwendig. Welche Erweiterungen sind betroffen und was unternimmt Mozilla gegen solche Gauner?

    Was ist mit einem Berechtigungssystem für Erweiterungen, damit nicht jede Erweiterung einfach auf alles zugreifen darf und lustig durchs Netz schicken kann?

  6. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Allem voran: was hat das mit dem Thema dieses Artikels zu tun?

    Schlimme Nachrichten über den Firefox und seine Erweiterungen:

    Über Firefox kein bisschen, Mozilla hat damit doch nichts zu tun. Und auch nicht über "seine Erweiterungen", da geht es um eine einzelne Erweiterung.

    Dazu wäre hier mal ein Artikel notwendig. Welche Erweiterungen sind betroffen und was unternimmt Mozilla gegen solche Gauner?

    Inwiefern "welche Erweiterungen"? Es geht doch explizit um eine bestimmte Erweiterung. Ob Mozilla etwas tut und ob sie überhaupt einen Grund dazu haben, kann ich nicht sagen. Es gibt eine Datenschutzerklärung auf der Add-on-Seite, die ich mir nicht durchgelesen habe. Aber das zu tun ist die Mindestvoraussetzung, um konkret über das Thema zu werden. Ehe ich das nicht getan habe, kann und werde ich nicht urteilen, da meine Leser von mir nur Artikel gewohnt sind, die gründlich recherchiert sind.

    Was ist mit einem Berechtigungssystem für Erweiterungen, damit nicht jede Erweiterung einfach auf alles zugreifen darf und lustig durchs Netz schicken kann?

    Ein Berechtigungssystem wird für WebExtensions kommen, nicht für andere Erweiterungs-Architekturen. Das hätte hierfür aber überhaupt nichts gebracht.

  7. Michael M.
    schrieb am :

    Wie ist das mit Desktop-Rechnern ohne Akku? Erscheinen bzgl. der Battery API diese Rechner als gleich oder wäre sogar dort eine Identifizierung möglich?

    Bei Desktop-Rechnern gibt die Battery-API an, dass der Akku zu 100 % voll ist und geladen wird (zumindest ist das in Firefox noch so), das sind Werte, die man bei einem Gerät mit echtem Akku kaum erreichen wird, sodass die Battery-API dort, wo sie vorhanden ist, auch genutzt werden kann um Desktop-Rechner als solche zu identifizieren.

  8. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Um einen Desktop-Rechner als solchen zu identifizieren, benötigt man keine Battery API, da gibt es bessere, weil browserübergreifend funktionierende Lösungen. Und die Information alleine erlaubt keine Identifizierung, weil die das halt mal grob auf die Hälfte aller Zugriffe zutrifft, dass diese von einem Desktop-Gerät erfolgen. 😉

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.