Ganz ohne Cookie: Autofill-Funktion des Browsers ermöglicht eindeutige Nutzer-Identifizierung
Werbenetzwerke leben davon, den Nutzer möglichst genau zu kennen und so viel wie möglich über jeden einzelnen Surfer zu erfahren. Da aber nur die wenigsten Nutzer bereitwillig ein Profil ausfüllen, müssen diese Daten über einen langen Zeitraum und von mehreren Partnern zusammengetragen werden. Zwei Werbenetzwerke nutzen dafür eine Technik, bei der ausgerechnet eine Komfort-Funktion der großen Browser dabei hilft, den Nutzer eindeutig zu identifizieren.
Werbung funktioniert am besten, wenn sie an den Inhalt der Webseite bzw. an die Interessen des Nutzers angepasst ist – das ist kein großes Geheimnis. Unter anderem bestehen auch die Geschäftsmodelle von Google und Facebook daraus, möglichst viel über den Nutzer zu erfahren und so nur interessante Werbung anzuzeigen, die in vielen Klicks und einem hohen Umsatz der Werbekunden resultiert. Und das funktioniert bekanntlich mit gigantischem Erfolg – setzt aber eben das Vertrauen der Nutzer voraus, bereitwillig viele Daten herauszugeben.
Die Standard-Methode zum Tracking eines Nutzers ist das Browser-Cookie, die allerdings mittlerweile von viele Nutzern geblockt oder am Ende des Tages wieder automatisch gelöscht werden. Es ist also keine vollständig sichere Methode mehr, also mussten sich die Werbenetzwerke wieder etwas neues einfallen lassen – und das haben sie getan. In obiger Grafik ist schon sehr vereinfacht zu sehen, wie das genau funktioniert – nämlich einfach über die Autofill-Funktion des Browsers.
Alle großen Browser füllen Formularfelder mittlerweile automatisch für den Nutzer aus, und sollen ihm so viel Zeit und lästige Tipparbeit ersparen. Genau diese Formulareingaben lassen sich aber wiederum auch per simplen JavaScript auslesen und so auch für andere Zwecke anwenden – und genau das tun bereits die ersten Werbenetzwerke. Es wird einfach ein nicht sichtbares Formularfeld in die Webseite eingebunden, das dem Browser ein Login-Feld vorgaukelt und als Komfort-Funktion automatisch mit der E-Mail-Adresse oder Benutzername und Passwort gefüllt wird.
Dieser Nutzername ist für jeden Nutzer eindeutig, so dass er sich eindeutig zuordnen lässt. Da viele Webseiten die E-Mail-Adresse als Nutzername verwenden, sind die Daten gleich webseitenübergreifend eindeutig und das Profil des Nutzers kann sehr schnell aufgebaut werden.
Jetzt kann der Nutzer Cookies löschen, IPs wechseln oder sogar VPNs nutzen wie er will – sobald der Browser das unsichtbare Formularfeld wieder ausfüllt, ist der Nutzer eindeutig identifiziert und das Profil kann weiter aufgebaut werden. Das funktioniert auch Webseiten-übergreifend und ohne dass der Nutzer etwas dagegen tun könnte. Die einzige Möglichkeit ist es, das automatische Befüllen von Formularfeldern zu deaktivieren oder die Daten gar nicht erst im Browser zu speichern.
Dabei müssen nicht einmal Login-Daten oder Passwörter zum Einsatz kommen, denn auch andere Felder vom Vornamen über das Geburtsdatum bis zur Adresse können vom Browser ausgefüllt werden und sind vor allem in der Kombination dann wieder eindeutig. Gefährlich ist natürlich auch, dass sich auf diese Weise auch Passwörter auslesen lassen, denn der Browser füllt das Feld bereitwillig aus. Und der Webmaster bekommt das, wenn er das Kleingedruckte seines Werbenetzwerks nicht gelesen hat, noch nicht einmal mit.
An dieser Stelle sind die Browser-Hersteller gefragt, die nur Formularfelder ausfüllen sollten, die auch tatsächlich sichtbar sind und zum Hauptteil der Webseite gehören. Vielleicht wäre auch eine Lösung denkbar, bei der die Formularfelder erst dann tatsächlich ausgefüllt werden, wenn der Nutzer das Formular absendet und es vorher nur eine optische Lösung ist. So lange es bei Einzelfällen bleibt wird sich wohl nichts tun, aber eine solche Masche findet sicher schnell viele Nachahmer. Von einer sehr ähnlichen Methode haben wir vor knapp einem Jahr schon einmal berichtet.
Siehe auch
» Datenklau leicht gemacht: Google Chrome füllt auch unsichtbare Formularfelder automatisch aus
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Das Bild wird leider nicht angezeigt.
Das ist ja alles wieder sehr traurig, vielleicht kannst du dazu schreiben, ob man in den großen Browsern einstellen kann, ob Formularfelder sofort ausgefüllt werden sollen oder erst beim rein klicken.
Deaktivier mal den Adblocker 😉
(das wars zumindest bei mir)
Hm, ich wusste nicht dass unsere Bilder von Adblockern blockiert werden (verwende natürlich selbst keinen).
Das geht leider nicht, es lässt sich nur komplett deaktivieren. Wäre aber ein weiterer Lösungsweg.
@Jens: Werden sie normal auch nicht, habs grade bei andren Artikeln nochmal getestet. Bei diesem hier aber schon.