Ein Referer liefert die Information, von welcher Seite der Surfer zu der aufgerufenen Webseite gekommen ist, oder bei der Einblendung von Werbung durch Dritte die Information, welche Seite er gerade betrachtet. Es ist ein sehr gut geeignetes Merkmal für das Tracking mit Werbung, HTML-Wanzen und Like-Button - die Schleimspur im Web.
Die Studie Privacy leakage vs. Protection measures (PDF) zeigt, dass außerdem viele Webseiten private Informationen via Referer an Trackingdienste übertragen. Das Beispiel zeigt den Aufruf eines Werbebanners nach dem Login auf der Webseite http://sports.com GET http://ad.doubleclick.net/adj/....
Referer: http://submit.sports.com/...?email=name@email.com
Cookie: id=123456789..... Mit einer eindeutigen UserID (im Beispiel ein Tracking-Cookie) kann das Surfverhalten über viele Webseiten verfolgt werden. Durch zusätzliche Informationen im Referer (im Beispiel eine E-Mail Adresse) werden die gesammelten Datensätze personalisiert.
Im Rahmen der Studie wurde 120 populäre Webseiten untersucht. 56% der Webseiten sendeten nach dem Login private Informationen wie E-Mail, Name oder Wohnort an Trackingdienste.
Einige Webseiten zum Thema Privacy empfehlen, das Senden des Referers mit folgender Option komplett zu deaktivieren: network.http.sendRefererHeader = 0 Wir empfehlen diese Einstellung nicht! Im Vergleich zu unserer Empfehlung verbessert es den Schutz gegen Tracking nicht. Innerhalb einer Domain kann der Webmaster einen Surfer immer verfolgen, mit oder ohne Referer. Die Einstellung führt zu einem individuellen Fingerprint, da der Request-Header ganz ohne Referer sich von den 99% der anderen Surfer unterscheidet. Außerdem hat man öfters seltsame Probleme, weil Spam-Schutz Module in Diskussionsforen und Blogs oft den Referer als Feature zur Erkennung von Spam-Bots auswerten.
Alternativ kann man die Add-ons Smart Referer oder Referrer Control installieren. Mit dieses Add-ons können Ausnahmen vom Standardverhalten definiert und spezifische Einstellungen für einzelne Websites konfiguriert werden. Nach der Installation der Add-ons kann man in den Einstellungen das Verhalten anpassen.
Screenshot der empfohlenen Einstellungen für das Add-on "Referrer Control":
Bei dem Add-on "Smart Referer" setzen Sie folgende Parameter:
extensions.smart-referer.mode = direct
extensions.smart-referer.strict = false Technisch hochentwickelte Datensammler können den Schutz teilweise aushebeln. Google+ und einige Werbenetzwerke übertragen den Referer zusätzlich in URL-Parametern.
Die Studie Privacy leakage vs. Protection measures (PDF) zeigt, dass außerdem viele Webseiten private Informationen via Referer an Trackingdienste übertragen. Das Beispiel zeigt den Aufruf eines Werbebanners nach dem Login auf der Webseite http://sports.com GET http://ad.doubleclick.net/adj/....
Referer: http://submit.sports.com/...?email=name@email.com
Cookie: id=123456789..... Mit einer eindeutigen UserID (im Beispiel ein Tracking-Cookie) kann das Surfverhalten über viele Webseiten verfolgt werden. Durch zusätzliche Informationen im Referer (im Beispiel eine E-Mail Adresse) werden die gesammelten Datensätze personalisiert.
Im Rahmen der Studie wurde 120 populäre Webseiten untersucht. 56% der Webseiten sendeten nach dem Login private Informationen wie E-Mail, Name oder Wohnort an Trackingdienste.
Referer modifizieren für Firefox
Firefox bietet die Möglichkeit, das Senden des Referers and Drittseiten zu blockieren. Dafür setzt man unter "about:config" folgende Option: network.http.referer.XOriginPolicy = 2 Mit dieser Einstellung werden Subdomains als Drittseiten behandelt und es wird auch an Subdomains kein Referer gesendet. Das bringt möglicherweise vereinzelt Probleme bei einigen Websites mit sich. Anderseits schützt es gegen Trackingdienste, die sich mit DNS-Aliases als Subdomains auf populären Webseiten einschleichen wollen (z.B. WebTrekk bei Heise.de und Zeit.de).Einige Webseiten zum Thema Privacy empfehlen, das Senden des Referers mit folgender Option komplett zu deaktivieren: network.http.sendRefererHeader = 0 Wir empfehlen diese Einstellung nicht! Im Vergleich zu unserer Empfehlung verbessert es den Schutz gegen Tracking nicht. Innerhalb einer Domain kann der Webmaster einen Surfer immer verfolgen, mit oder ohne Referer. Die Einstellung führt zu einem individuellen Fingerprint, da der Request-Header ganz ohne Referer sich von den 99% der anderen Surfer unterscheidet. Außerdem hat man öfters seltsame Probleme, weil Spam-Schutz Module in Diskussionsforen und Blogs oft den Referer als Feature zur Erkennung von Spam-Bots auswerten.
Alternativ kann man die Add-ons Smart Referer oder Referrer Control installieren. Mit dieses Add-ons können Ausnahmen vom Standardverhalten definiert und spezifische Einstellungen für einzelne Websites konfiguriert werden. Nach der Installation der Add-ons kann man in den Einstellungen das Verhalten anpassen.
Screenshot der empfohlenen Einstellungen für das Add-on "Referrer Control":
extensions.smart-referer.strict = false Technisch hochentwickelte Datensammler können den Schutz teilweise aushebeln. Google+ und einige Werbenetzwerke übertragen den Referer zusätzlich in URL-Parametern.
Lizenz: Public Domain