zurück zum Artikel

Firefox 59 verschleiert Referrer für besseren Datenschutz Update

Firefox

Referrer können viel über einen Internet-Nutzer verraten – selbst sensible Daten zur Gesundheit. Deshalb wird die kommende Firefox-Version den Referrer verschleiern und damit den Datenschutz verbessern.

Die kommende Firefox-Version 59 will die Privatsphäre seiner Nutzer besser schützen. Dazu verschleiert der Browser den sogenannten Referrer, wenn dieser an Dritte (etwa Werbenetzwerke) gesendet wird. Soll heißen, dass die Webseiten nicht mehr erfahren, woher ein Besucher kam, welche Seite er also zuvor besucht hat. Im Privat-Modus bereinigt der Browser dazu die Referrer-URL und entfernt aus ihr alle Unterverzeichnisse und Parameter. Die Nutzer können die Referrer-Optionen[1] unabhängig vom Privat-Modus frei bestimmen, schreibt Mozilla[2]. So lassen sich die Referrer-Regeln des Browsers überschreiben. Firefox 59 soll am 13. März erscheinen.

Im Privat-Modus blockiert Firefox Tracking-Skripte und speichert keine Cookies. Ab Version 59 verschleiert der Browser zusätzlich den Referrer, um den Datenschutz zu verbessern. (Bild: Mozilla)

Der Referrer gehört zum Hypertext-Übertragungsprotokoll (HTTP) und ist Teil einer herkömmlichen HTTP-Anfrage[3]. Alle gängigen Browser übertragen den Referrer standardmäßig an den kontaktierten Zielserver. Dieser speichert den Referrer sowie andere persönliche Daten in der Regel in einer Protokolldatei, darunter auch die IP-Adresse des Besuchers.

Der Seitenbetreiber entscheidet, was mit diesen Daten passiert: Er kann sie beispielsweise für die Web-Analyse verwenden oder mit den URL-Parametern seine Werbemaßnahmen optimieren. So lässt sich etwa feststellen, ob viele Besucher über soziale Medien auf eine Seite gelangen. Hilfreich sind die Daten auch bei der Abwehr von Attacken.

Das Problem aber: Über den Referrer können auch sehr sensible Daten übertragen werden. Die Electronic Frontier Foundation (EFF) hatte bereits 2015 kritisiert[4], dass das Gesundheitsportal healthcare.gov der US-Regierung persönliche Informationen weitergeleitet hatte. Die als Referrer übertragene URL enthielt leicht ablesbare Informationen, darunter die Postleitzahl und das Alter des Nutzers. Zudem ließ sich leicht ableiten, dass etwa eine Nutzerin schwanger ist (pregnant=1) und raucht (smoker=1):

Referer: https://www.healthcare.gov/see-plans/85601/results/?county=04019&age=40&smoker=1&pregnant=1&zip=85601&state=AZ&income=35000

Laut Associated Press wurden die sensiblen Daten an diverse Drittanbieter-Seiten übertragen. Die EFF konnte das in einer eigenen Untersuchung bestätigen: Die Gesundheitsdaten gelangten etwa an das Werbenetzwerk DoubleClick, das zu Google gehört. Dieser Umstand werfe "erhebliche Bedenken hinsichtlich des Datenschutzes auf", schrieb die EFF.

Dienstleister wie DoubleClick können die erfassten Informationen einem bestimmten Nutzer zuordnen, über den sie bereits zahlreiche Daten gesammelt haben. Das geschieht über Tracking-Cookies, die den Nutzer identifizieren. Verrät der Referrer, dass ein Nutzer raucht, kann das Werbenetzwerk ganz gezielt Onlineanzeigen für E-Zigaretten ausspielen. Davon abgesehen kritisierte die EFF grundsätzlich die US-Regierung, weil healthcare.gov persönliche Daten über den Referrer an kommerzielle Firmen weitergab. Das Web-Portal ist Teil des "Affordable Care Act" von Barack Obama und hatte seit seinem Start mit zahlreichen Bugs zu kämpfen[5].

Update, 5. Februar: Zur Klarstellung: Firefox kürzt im Privat-Modus nur die Referrer, die an Dritte gesendet werden. Das wären beispielsweise Werbenetzwerke. Damit setzt der Browser die sogenannte "Referrer Policy" auf strict-origin-when-cross-origin. Der Nutzer kann diese Policy selbst bestimmen und justieren. (dbe[6])


URL dieses Artikels:
http://www.heise.de/-3960175

Links in diesem Artikel:
[1] https://wiki.mozilla.org/Security/Referrer
[2] https://blog.mozilla.org/security/2018/01/31/preventing-data-leaks-by-stripping-path-information-in-http-referrers/
[3] https://de.wikipedia.org/wiki/Referrer#Beispiel_einer_HTTP-Anfrage_mit_Referrer-%C3%9Cbergabe
[4] https://www.eff.org/deeplinks/2015/01/healthcare.gov-sends-personal-data
[5] https://www.heise.de/meldung/Obamacare-Webseite-schluckt-ein-Drittel-der-Versicherungsantraege-2059149.html
[6] mailto:dbe@ct.de