Privacy Handbuch

Mit jedem Klick auf einen Link sendet Browser einen Referer im HTML Header an die aufgrufenen Webseite und teilt mit, von welcher Webseite der Surfer gekommen ist.

Bei der Einblendung von Bildern, Videos oder Werbung durch Dritte liefert der Referer die Information, welche Seite man gerade betrachtet. Es ist ein gut geeignetes Merkmal für das Tracking mit Werbung, HTML-Wanzen oder Like-Buttons - die "Schleimspur im Web".

Die Studie Privacy leakage vs. Protection measures (PDF) zeigt, dass außerdem viele Webseiten private Informationen via Referer an Trackingdienste übertragen. Das Beispiel zeigt den Aufruf eines Werbebanners nach dem Login auf der Webseite http://sports.com GET http://ad.doubleclick.net/adj/.... Referer: http://submit.sports.com/...?email=name@email.com Cookie: id=123456789.....

Mit einer eindeutigen UserID (im Beispiel ein Tracking-Cookie) kann das Surfverhalten über viele Webseiten verfolgt werden. Durch zusätzliche Informationen im Referer (im Beispiel eine E-Mail Adresse) wurden die gesammelten Datensätze personalisiert.

In der Studie wurde 120 populäre Webseiten untersucht. 56% der Webseiten sendeten nach dem Login private Informationen wie E-Mail, Name oder Wohnort an Trackingdienste.

Referer modifizieren für Firefox

Firefox bietet sehr graduell abgestufte Möglichkeit, das Senden des Referers zu modfizieren.

Folgende Einstellungen kann man unter "about:config" aktivieren, um die Privatsphäre zu verbessern und das Tracking zu erschweren ohne das Surferlebnis zu beeinträchtigen:

Das Senden des Referers an externe Drittseiten ist (meistens) überflüssig, also: network.http.referer.XOriginPolicy = 1
Klicks innerhalb einer Webseite kann der Webmaster immer verfolgen (völlig unabhängig vom Referer) und es ist auch nicht das Ziel, dass zu verhindern.
Um auch die kleinsten Restprobleme zu vermeiden, die bei Nutzung von Google Diensten o.ä. entstehen könnten, verwenden TorBrowser, MullvadBrowser und andere Projekte folgenden Einstellungen, die den Referer an Drittseiten auf den Servernamen kürzen: network.http.referer.XOriginPolicy = 0 network.http.referer.XOriginTrimmingPolicy = 2 Das Beispiel von oben für den Aufruf von Daten von Drittseiten würde dann so aussehen: GET http://ad.doubleclick.net/adj/.... Referer: http://submit.sports.com Cookie: id=123456789..... Das führt dann aber dazu, dass bei Klick auf einen Link zu einer anderen Webseite im Log der Zielwebseite erkennbar ist, von welcher Domain man gekommen ist. Das möchte ich nicht. Die Schleimspur des Referers sollte unterbrochen werden, wenn man die Domain wechselt.

Folgenden Einstellungen sind suboptimal, weil sie nur wenig Verbesserung für die Privatsphäre bieten aber sich negativ auf das Surferlebnis auswirken können:

Wenn man Subdomains als Drittseiten behandelt und keinen Referer sendet, könnte das auch gegen Trackingdienste schützen, die sich mit DNS-Aliases als Subdomains auf populären Webseiten einschleichen (z.B. WebTrekk bei Heise.de und Zeit.de).
network.http.referer.XOriginPolicy = 2
Allerdings werden diese Trackingdienste durch uBlock Origin blockiert, da die DNS-Aliases aufgelöst und blockiert werden. Diese Einstellung führt auf einigen Webseiten zu Problemen mit dem Login und teilweise auch zu Problemen beim Laden von Content von Subdomains.
Einige Webseiten zum Thema Privacy empfehlen, das Senden des Referers komplett zu deaktivieren, auch für die FirstParty Domain und deren Subdomains.
network.http.sendRefererHeader = 0
Innerhalb einer Domain kann der Webmaster einen Surfer aber immer verfolgen. Diese Einstellung führt zu Problemen beim Login und auch beim Versand von Kommentaren in Diskussionsforen und Blogs, die den Referer als Feature zur Erkennung von Spam-Bots auswerten.

Lizenz: Public Domain