Chrome-Browser: Funktion für seiteninterne Verlinkung sorgt für Diskussionen

Google hat eine Chrome-Funktion aktiviert, die seiteninterne Verlinkungen erleichtert. Praktisch für Suchmaschinen – doch Kritiker haben Bedenken.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 69 Beiträge
Von

Eine neue Chrome-Funktion sorgt für Bedenken, was die Privatsphäre der Nutzer angeht. Es geht dabei um seiteninterne Links, die Nutzer gezielt zu bestimmten Abschnitten auf Webseiten schicken. Bislang haben Anker-Links diese Aufgabe übernommen, sie dienen als simple Sprungmarken. Der Verweis "...info.html/#kontakt" führt den Nutzer beispielsweise direkt zu einem Formular auf einer Webseite. Der Nachteil: Seitenbetreiber müssen die korrekten Stellen im Quelltext mit einem ID-Attribut markieren, zum Beispiel mit <h2 id="#kontakt">...</h2>.

Eine neue Chrome-Funktion soll dies überflüssig machen: "Scroll To Text Fragment" ermöglicht seiteninterne Links, die beliebige Textfragmente auf einer Webseite verlinken. Es entsteht eine URL nach dem Schema https://example.com#:~:text=prefix-,startText,endText,-suffix. Definiert ist das Format in einem Entwurf der "Web Platform Incubator Community Group", kurz WICG. In dieser W3C-Gruppe sind alle wichtigen Browser-Hersteller vertreten. Besonders aktiv sind hier Google-Entwickler.

Beim Aufrufen des neuen Anker-Links springt der Browser automatisch zur ersten passenden Textstelle, die den Angaben bei "text" entspricht. Im Quelltext muss keine Textstelle mit einem ID-Attribut markiert sein, weshalb jedes Wort und jeder Satz als Linkziel dienen kann. Besonders hilfreich ist dies für Suchmaschinen: Google & Co. können die Links nutzen, um ihre Nutzer ganz gezielt zu bestimmten Abschnitten zu schicken. "Mit dieser Funktion kann der Link-Ersteller angeben, welcher Teil einer Webseite interessant ist, ohne sich auf die Anker des Seitenbetreiber verlassen zu müssen", erklärt Google.

Bislang war ScrollToTextFragment in Chrome standardmäßig nicht aktiviert – was sich mit der aktuellen Version 80 geändert hat. Schon seit einigen Monaten wurden die Nachteile der Funktion diskutiert. Sicherheitsforscher Peter Snyder etwa, der beim Browser-Hersteller Brave tätig ist, machte auf eine mögliche Gefahr für die Privatsphäre der Nutzer aufmerksam: "Stellen Sie sich eine Situation vor, in der ich den DNS-Verkehr (zum Beispiel in einem Firmennetzwerk) einsehen kann und ich einen Link zum Firmengesundheitsportal mit ...#:~:text=Krebs sende." In bestimmten Situationen wäre dadurch erkennbar, "ob der Mitarbeiter Krebs hat, weil dieser tiefergehende Informationen aufgerufen hat", schreibt Snyder in einem GitHub-Post. Die Daten unter "text" können unter ganz spezifischen Umständen verräterisch sein. Eine generelle Verwundbarkeit ist nicht gegeben. Fraglich ist aber auch, wie Google die Information weiterreichend auswertet.

Mozilla-Entwickler David Baron bezeichnet die Funktion zwar als "wirklich wertvoll", sie könne jedoch auch große Probleme verursachen. Die Frage sei daher, ob es nicht eine bessere Lösung geben kann, die nun diskutiert werden müsse. Bereits im Oktober 2019 sammelten Google-Entwickler etwaige Sicherheitsbedenken in einem öffentlichen Dokument. Beschrieben sind darin mögliche Angriffsszenarien, um persönliche Informationen abzugreifen. Chrome-Entwickler Bokan erklärte, dass sie das Problem auch mit dem Security-Team diskutiert hätten. "Zusammenfassend lässt sich sagen, dass wir das Problem verstanden haben, wir uns aber uneinig sind, wie schlimm es ist", erklärt Bokan. Das Team habe schließlich die Entscheidung getroffen, ohne ein nötiges Opt-in fortzufahren. Ein solche Funktion müsste zudem noch implementiert werden.

Für Verstimmung sorgt vor allem der Umstand, dass Google die Funktion in Chrome 80 ohne weitere Diskussionen aktiviert hat. Chrome-Entwickler Bokan bestätigte dies: "Ja, wir liefern [Chrome] M80 ohne Flag aus." Brave-Sicherheitsforscher Peter Snyder fragte auf Twitter, welchen Sinn es dann habe, wenn neue Funktionen bei der WICG vorgestellt würden, wenn diese am Ende sowieso einfach im Browser landen? Kritiker bemängeln generell, dass Google eine zu große Macht habe und einfach entscheiden könne, welche Funktionen akzeptabel seien und welche nicht.

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

(dbe)