Aktualisierungen als RSS-Feed oder
auf unserem Twitter Account @PrHdb

Privacy-Handbuch

Ein Referer liefert die Information, von welcher Seite der Surfer zu der aufgerufenen Webseite gekommen ist, oder bei der Einblendung von Werbung durch Dritte die Information, welche Seite er gerade betrachtet. Es ist ein sehr gut geeignetes Merkmal für das Tracking mit Werbung, HTML-Wanzen und Like-Button - die Schleimspur im Web.

Die Studie Privacy leakage vs. Protection measures (PDF) zeigt, dass außerdem viele Web­seiten private Informationen via Referer an Trackingdienste übertragen. Das Beispiel zeigt den Aufruf eines Werbebanners nach dem Login auf der Webseite http://sports.com GET http://ad.doubleclick.net/adj/....
Referer: http://submit.sports.com/...?email=name@email.com
Cookie: id=123456789.....
Mit einer eindeutigen UserID (im Beispiel ein Tracking-Cookie) kann das Surfverhalten über viele Webseiten verfolgt werden. Durch zusätzliche Informationen im Referer (im Beispiel eine E-Mail Adresse) werden die gesammelten Datensätze personalisiert.

Im Rahmen der Studie wurde 120 populäre Webseiten untersucht. 56% der Webseiten sendeten nach dem Login private Informationen wie E-Mail, Name oder Wohnort an Trackingdienste.

Referer modifizieren für Firefox

Firefox bietet die Möglichkeit, das Senden des Referers and Drittseiten zu blockieren. Dafür setzt man unter "about:config" folgende Option: network.http.referer.XOriginPolicy = 2 Mit dieser Einstellung werden Subdomains als Drittseiten behandelt und es wird auch an Subdomains kein Referer gesendet. Das bringt möglicherweise vereinzelt Probleme bei einigen Websites mit sich. Anderseits schützt es gegen Trackingdienste, die sich mit DNS-Aliases als Subdomains auf populären Webseiten einschleichen wollen (z.B. WebTrekk bei Heise.de und Zeit.de).

Einige Webseiten zum Thema Privacy empfehlen, das Senden des Referers mit folgender Option komplett zu deaktivieren: network.http.sendRefererHeader = 0 Wir empfehlen diese Einstellung nicht! Im Vergleich zu unserer Empfehlung verbessert es den Schutz gegen Tracking nicht. Innerhalb einer Domain kann der Webmaster einen Surfer immer verfolgen, mit oder ohne Referer. Die Einstellung führt zu einem individuellen Fingerprint, da der Request-Header ganz ohne Referer sich von den 99% der anderen Surfer unterscheidet. Außerdem hat man öfters seltsame Probleme, weil Spam-Schutz Module in Diskussionsforen und Blogs oft den Referer als Feature zur Erkennung von Spam-Bots auswerten.
Lizenz: Public Domain