Privacy Handbuch

Einige Trackingdienste verwenden unsichtbare iFrames, um HTML-Wanzen zu laden, wenn Javascript blockiert ist und keine Trackingscripte ausgeführt werden können. Auf vielen Webseiten findet man den Code vom GoogleTagManager ("Google Universal Analytics tracking code"):

<noscript>
   <iframe src="//www.googletagmanager.com/ns.html?id=blabala..."
      height="0" width="0" style="display:none;visibility:hidden">
   </iframe>
</noscript>
<script>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start': new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0], j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src= '//www.googletagmanager.com/gtm.js?id='+i+dl;f.parentNode.insertBefore(j,f); })(window,document,'script','dataLayer','blabala...');</script>

Die Tracking Technik des DoubleClick Bid Manager wurde von Invite Media entwickelt und in DoubleClick integriert, nachdem Google die Firma aufgekauft hatte. Auch dieses Tracking nutzt einen unsichtbaren iFrame, um Tracking Wanzen mit oder ohne Javascript zu platzieren:

<script type="text/javascript">
...
   <document.write('
      <iframe src="http://nnnn.fls.doubleclick.net/activityi;src=xxxx;...."
      width="1" height="1" frameborder="0" style="display:none"></iframe>');
</script>
<noscript>
   <iframe src=""http://nnnn.fls.doubleclick.net/activityi;src=xxxxx;"
      width="1" height="1" frameborder="0" style="display:none">
   </iframe>
</noscript> 

iFrames mit uBlock Origin blockieren

Mit dem Add-on uBlock Origin kann man alle iFrames von Drittseiten blockieren, indem man auf dem Reiter "Meine Regeln" eine Filterregel einfügt: * * 3p-frame block

Die Regel kann auf der rechten Seite zum temporären Ausprobieren editiert werden und werden dann mit dem Button "Dauerhaft speichern" zur linken Seite übernommen:

Einige News-Webseiten wie z.B. www.Golem.de oder www.Zeit.de sind nicht mehr kostenfrei lesbar, wenn man alle iFrames blockiert, weil sie die Zustimmungsseite für Cookies mit iFrames von einer Subdomain von privacy-mgmt.com (Bauer Media Group) realisieren. Kurioserweiser funktioniert es wieder, wenn man "privacy-mgmt.com" unter "Meine Filter" mit einer Regel komplett blockiert.

||privacy-mgmt.com$important

iFrames auf einzelnen Webseiten freigeben

Manchmal kann es nötig sein, iFrames auf einzelnen Webseiten freizugeben. Das kann man in uBlock Origin mit zwei Klicks erledigen:

Nach der Freigabe von iFrames ist die Webseite neu zu laden. Die Freigabe kann für die aktuelle Webseite dauerhaft gespeichert werden oder nur temporär bis zum Neustart des Browsers gelten.

Integrierte Videos mit Javascript Player

Viele Webseiten integrieren Videos von Videoplattformen. Die Integration erfolgt in der Regel als iFrame. Für Youtube-Videos sieht der HTML Code so aus: <iframe src="https://www.youtube.com/embed/xyz........

Mit dem Aufruf der Webseite, welche das eingebettete Video enthält, wird auch der iFrame von Youtube geladen und der Surfer mit einem Cookie von Youtube markiert.

Um mit europäischem Datenschutzrecht konform zu sein, bietet Youtube eine Adresse für die Einbettung von Videos in Webseiten an, die auf das Setzen von Trackingcookies verzichtet: <iframe src="https://www.youtube-nocookie.com/embed/xyz........ Leider wählen nicht alle Webseitenbetreiber freiwillig die privacy-freundlichere Youtube-Variante. Man kann das Add-on Privacy Enhanced Mode for Embedded Youtube installieren. Es schreibt die Adressen für embedded Youtube Videos auf die No-Cookie Adresse um.

Eingebettete Videos mit Click-2-Play laden

Mit der oben genannten Regel verschwinden auch die eingebetteten Videos von den Webseiten. Um die Videos mit Click-2-Play zu laden, kann man folgende Regeln unter "Meine Filter" einfügen:

||youtube-nocookie.com/embed/$3p,frame,redirect=click2load.html
||youtube.com/embed/$3p,frame,redirect=click2load.html
||scribd.com/embeds/$3p,frame,redirect=click2load.html
||player.vimeo.com/video/$3p,frame,redirect=click2load.html
||dailymotion.com/embed/$3p,frame,redirect=click2load.html
||player.glomex.com/integration/$3p,frame,redirect=click2load.html
||players.brightcove.net/$3p,frame,redirect=click2load.html
||cdn.podigee.com/podcast-player/$3p,frame,redirect=click2load.html
||odysee.com/$3p,frame,redirect=click2load.html
||rumble.com/embed/$3p,frame,redirect=click2load.html
||lbry.tv/$3p,frame,redirect=click2load.html
||widget.spreaker.com/$3p,frame,redirect=click2load.html
||media.theplattform.net/videos/embed/$3p,frame,redirect=click2load.html
||vk.com/video_ext.php$3p,frame,redirect=click2load.html
||podbean.com/$3p,frame,redirect=click2load.html

Die Filterliste kann auch als benutzerdefinierte Liste importiert werden:

https://www.privacy-handbuch.de/download/prhdb-video-click-2-play-list.txt

Die Video iFrames von diesen Domains werden beim Laden der Seite so dargestellt und können mit einem Klick geladen und gestartet werden: 

Googles reCAPTCHA und hCaptcha von Cloudflare

Einige Webseiten verwenden Googles reCAPTCHA oder hCaptcha als Schutz gegen Robots. Die Captchas werden als iFrame geladen und man kann die gewünschte Webseite nicht laden oder sich nicht anmelden, wenn iFrames blockiert werden. Für dieses Problem gibt es zwei Lösungen:

  1. iFrames für Captchas können generell freigegeben werden. Dafür trägt man auf dem Reiter "Meine Regeln" folgende Ausnahmen ein, die das Laden von Captchas generell erlauben:

    * https://www.google.com/recaptcha/ script noop
    * https://www.google.com/recaptcha/api2/ sub_frame noop
    * https://www.gstatic.com/recaptcha/api2/ script noop
    * https://hcaptcha.com * noop
    * https://recaptcha.net script noop
    * https://recaptcha.net sub_frame noop

    Diese Variante ist in der uBlock Konfiguration vom PrHdB-Team aktiviert, weil sie problemlos funktioniert. Sie hat aber den Nachteil, dass die Captchas immer geladen werden (auch wenn man sie nicht lösen müsste) und von Google auch zum Tracking verwendet werden.

  2. Alternativ können die Captchas allgemein blockiert aber mit Click-2-Load-Filterregeln sichtbar gemacht werden. Dafür fügt man auf dem Reiter "Meine Filter" folgende Zeilen ein:

    ||www.google.com/recaptcha/api*/anchor?$3p,frame,important,redirect=click2load.html
    ||www.recaptcha.net/recaptcha/api*/anchor?$3p,frame,important,redirect=click2load.html
    ||newassets.hcaptcha.com/captcha/$3p,frame,important,redirect=click2load.html

    (Diese Filterregeln unter "Meine Filter" überschreiben die Einstellungen bei "Meine Regeln".)

    Alle Captchas werden erstmal blockiert und sehen dann so aus:

    Mit einem Klick muss man es aktivieren und sieht dann, welches reCAPTCHA genutzt wird:

    • Das "kleine" reCAPTCHA sieht so aus und mit dem Klick ist schon alles erledigt:

    • Wenn man bei einem reCAPTCHA oder hCaptcha ein Häckchen setzen muss, um zu beweisen, dass man kein Robot ist, muss man iFrames in uBlock für diese Webseite freigeben:

      Das kann man mit einem Klick auf das dunkelgrau markierte Feld erledigen (s.o.):

      Danach muss man die Webseite neu laden und kann dann mit einem Klick bestätigen, dass man kein Robot ist. In der Regel muss man noch ein kleines Bilderrätsel lösen, da Google keine Trackingdaten für die Verifikation nutzen kann.

Lizenz: Public Domain