qrios

IT ist kurios!

Apache Do-Not-Track-Bug fixen

2 Kommentare

Seit der Version 2.4.3 behandelt der Apache den Internet Explorer 10 gesondert: in der globalen Konfiguration ist nun festgelegt, dass bei diesem Browser der Header für Do Not Track gelöscht wird. Dies geschieht sogar unabhängig von der mit DNT bezeichneten Requestinformation belegten Wert. Für alle nachfolgenden Prozesse oder virtuellen Konfigurationen gibt es dadurch keine Möglichkeit mehr, zu ermitteln welche Einstellung der Nutzer des IE 10 gesetzt hatte.

Für jeden Systemadministrator ergibt sich daher nun nach einem Update die Frage “Wie gehe ich damit um?”.

Letztlich kann man als Betreiber einer Seite danach nicht mehr ausschliessen, dass mindestens ein Nutzer im vollen Besitz seiner geistigen Kräfte seinem Explorer gesagt hat: “Bitte informiere den/alle Server darüber, dass ich nicht getrackt werden möchte.”

Belässt man es als Administrator dann jedoch dabei, geht man ohne Frage ein rechtliches Risiko ein. Immerhin hat die Serverkonfiguration die Kommunikation modifiziert und damit die Intention des Nutzers mindestens fahrlässig ignoriert, wenn nicht sogar vorsätzlich sabotiert.

Falls man keinen Zugriff auf die globale Konfiguration des Web-Servers hat – wie beispielsweise bei den meisten Billighostern – muss man entweder in der Virtual-Host-Konfiguration oder in der .htaccess folgende Zeilen eintragen.


<IfModule headers_module>
RequestHeader set DNT 1 env=bad_DNT
</IfModule>

Damit wird der DNT-Header für alle Requests gesetzt bei denen durch die globale Konfiguration die Environment-Variabel “bad_DNT” gesetzt wurde. Dieses Vorgehen empfiehlt sich nicht nur, wenn man keinen Zugriff auf die globale Konfiguration hat sondern z.B. auch automatische Updates für den Apache einspielen lässt. Dann diese Überschreiben eigene Änderungen jedes mal.

Übrigens: Man sollte natürlich den Wunsch der User auch Rechnung tragen. Der Apache wird durch das Anfügen von “ env=!HTTP_DNT” an die CustomLog-Zeile dazu angehalten, alle Requests nicht in das Logfile zu schreiben. Das ist nicht nur eine nette Geste.


Written by qrios

September 19th, 2012 at 12:45 pm

Posted in analytics,code

2 Responses to 'Apache Do-Not-Track-Bug fixen'

Subscribe to comments with RSS or TrackBack to 'Apache Do-Not-Track-Bug fixen'.

  1. Was macht denn das env=!HTTP_DNT hinter dem Customlog? Ich dachte der Header würde DNT heissen. Interpretiert der Apache den Header als Variable?

    r00noan

    19 Sep 12 at 4:41 pm

  2. Apache setzt seit 2.x alle Header auch als Environment-Variable. Daher wird der Header DNT als HTTP_DNT verfügbar.

    Allerdings würde ich vermuten, dass der Patch den der Fielding eingestellt hat diese Variable unberührt lässt. Laut den Quellen sind zum Zeitpunkt der Conf-Verarbeitung die env-Variablen schon gesetzt. Insofern ist der Patch sowieso vollkommen bekloppt.

    Thomas Lange

    20 Sep 12 at 11:46 am

Leave a Reply