Firefox verrät RSS-Abonnements

Unter bestimmten Umständen überträgt Firefox die Adresse jedes vom Benutzer abonnierten RSS- und Atom-Feeds an Google – auch wenn dieser nicht die Google-Dienste zur Anzeige von Feeds nutzen möchte. Das berichtet Jared Breland in seinem Blog, in dem er auch die technischen Hintergründe beleuchtet.

Firefox lässt in seiner neuen Version 2 dem Benutzer die Wahl, mit welchem Programm oder Online-Dienst er Feeds ansehen möchte. Der Anwender kann entweder einen Aggregator fest vorgeben oder sich immer, wenn er auf eine Feed-URL klickt, eine Auswahl zur Verfügung stehender Dienste anzeigen lassen. Dazu gehören neben auf dem PC installierten Anwendungen auch die Online-Reader von Google, Yahoo und Blog-Lines.

In der Vorschau zeigt Firefox neben dem Namen der Dienste auch je eine kleine Grafik an, ein so genanntes Favicon. Breland hat beobachtet, dass Firefox das Google-Icon nicht etwa aus dem Programmverzeichnis oder dem Browsercache, sondern bei jedem neuen Abonnement per http von einem Google-Server lädt. heise online konnte dieses Verhalten auch für das Yahoo-Favicon beobachten. Beide Dienste versuchen auch ein Cookie zu setzen.

Auch wenn der Firefox-Nutzer nicht den Google-Dienst nutzt (respektive den Yahoo-Dienst, für den dieselbe Argumentation gilt), erfährt Google also die URL der besuchten Site, die IP-Adresse und die Browserkennung des Nutzers. Mit dem Cookie kann Google ihn bei späteren Besuchen identifizieren. Breland merkt in seinem Blog-Posting an, dass es keine technische Notwendigkeit gibt, bei jedem Abonnement die Grafik vom Server zu laden.

heise online hat die Mozilla-Stiftung auf das Problem hingewiesen. Tristan Nitot, Chef von Mozilla Europe, konnte uns in einer ersten Stellungnahme keine Erklärung für das Verhalten geben, will es aber mit den Firefox-Entwicklern klären. Ende 2004 hatte die Mozilla-Stiftung bei einem ähnlichen Datenschutzproblem schnell reagiert und es behoben. (jo/c't)