qrios

IT ist kurios!

Apache wird Spielball der Do-Not-Track-Gegner

5 Kommentare

Der freie Web-Server Apache ist eine der Erfolgsgeschichten der Open-Source-Bewegung. Fast die Hälfte aller Web-Sites werden mit dem Apache betrieben. Er ist mächtig, relativ leicht zu warten und wurde quasi auf jedes neue Betriebssystem portiert.

Nun allerdings wird die Freude an diesem Stück Software durch einen Vorfall getrübt, den man als Sündenfall bezeichnen muss. Zehn Zeilen Code eines Patches bringen die Software plötzlich ins Zentrum des Gefechtsfeldes zwischen Userinteressen und den Interessen der Onlinewerbeindustrie.

Vor einem Monat pflegte Roy T. Fielding, seines Zeichens Projektmanager von Apache, eine kleine Änderung der globalen Konfigurationsdatei ein. Diese Änderung wurde bereits kurze Zeit später tatsächlich ausgeliefert. Niemand hat sich daran gestossen. Bis jemandem mal auffiel, was dort drin steht:

Zuerst wird folgende Anweisung gegeben: BrowserMatch “MSIE 10.0;” bad_DNT. Diese besagt in etwa “wenn der aufrufende Browser ein Internet Explorer 10.0 ist, dann setze bitte die Variable “böses DNT”. DNT ist die Abkürzung für Do Not Track.

Das allein wäre noch akzeptabel. Programme im weiteren Verlauf könnten besondere Rücksicht darauf nehmen und würden sich so weitere Abfragen sparen. Aber danach folgt noch die Anweisung: RequestHeader unset DNT env=bad_DNT. Dadurch wird der Server angewiesen, einen eventuell vorhanden http-Header namens “DNT” zu löschen. Und dies sogar unabhängig davon, welchen Wert er hat.

Mit dem Header DNT=1 soll der Browser laut zukünftiger Spezifikation dem Server, mithin dem Betreiber der Web-Site mitteilen, dass der Nutzer nicht getrackt werden will. DNT=0 bedeutet “die Daten dürfen gespeichert und weiterverarbeitet werden”.

Unter Punkt 3 wird der Nutzer bei der Windows-8-Installation darüber informiert, dass das DNT-Flag gesetzt ist. Der User kann die Einstellungen jedoch anpassen.

Der Autor des Patches argumentiert, dass Microsoft sich nicht an die Spezifikation halten würde. Denn dann müsste das Einschalten von DNT eine aktive Aktion erfordern (eine Diskussion, die schon seit Monaten brodelt). Mindestens jedoch bei der Expressinstallation würde der Wert für DNT auf 1 gesetzt ohne den Nutzer zu fragen.

Dabei sind folgende Dinge interessant:

  • Die Spezifikation ist noch nicht verabschiedet.
  • Es ist sehr umstritten, ob Microsoft sich nicht an den Entwurf hält. Eine Formulierung nach der der Wert nicht per default gesetzt werden darf war zwar in früheren Versionen zu finden, in der aktuellen ist er nicht mehr drin.
  • Apache hat sich bisher nicht als Werkzeug verstanden, Standards durchzusetzen. Vielmehr war Apache immer sehr gut darin, mit Browsern umzugehen, die sich nicht standardkonform verhielten. (Zu denen in der Vergangenheit häufig der Internet Explorer gehörte.)
  • Das globale Löschen des Headers macht es nachfolgenden Programmen unmöglich, eine eigene Behandlungsroutine für einen vermeintlich nicht standardkonformen Wert zu implementieren. Man müsste wiederum eine Abfrage nach dem Browser gestalten und dann den Header DNT wieder setzen mit dem Wert “unknown”

Vor dem Hintergrund dieser Punkte ist es nicht verwunderlich, dass eine breitere Öffentlichkeit auf den Patch aufmerksam wurde. Seit vier Tagen ergiesst sich nun ein (gemäßigter) Shitstorm über Fielding. Insbesondere seine Beziehungen zu Adobe werden dabei als Indiz genommen, dass er nicht im Interesse der Apache-Comunity handelt sondern sich und damit auch Apache zum Büttel der Werbeindustrie gemacht hat.

Fielding äusserte sich bisher zwei mal in den inzwischen über hundert Kommentaren zu dem Patch. Er verweist dabei unter anderem auf die bestehende EU-Richtlinie. Laut seiner Aussage würden diese durch DNT im generellen und durch den Patch im besonderen nicht tangiert. Das ist jedoch sehr zweifelhaft. Denn, wenn ein Betreiber eines Systems Kenntnis von dem ausdrücklichen Willen des Users hat, nicht getrackt zu werden wäre die Cookie-Frage obsolet. Und kein Betreiber kann sich heute mehr hinstellen und sagen, er hätte noch nie etwas von Do Not Track gehört.

Darüber hinaus wäre die Frage, ob ein solches Verhalten eines Web-Servers nicht selbst schon Computersabotage ist. Denn laut StGB § 303b macht sich strafbar:

Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er (3.) eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert, …

Es ist weitgehend unstrittig, dass die meisten Nutzer das Tracking in der heute verbreiteten Form ablehnen. Ausserdem gilt es als gesichert, dass die meisten Menschen – aus welchen Gründen auch immer – Standardeinstellungen eines Browsers nicht ändern. Da aktuell eine ganze Branche von sehr kostengünstig zu erhaltenden Daten lebt, gibt es daher auch ein starkes Interesse, dass zukünftig nicht lauter Nutzer mit einem Betriebssystem (Windows 8) und einem Browser (IE10+) unterwegs sind, der jedem Web-Server in der Welt mitteilt: Ich möchte nicht getrackt werden!

Ginge man von einem Windows-8-Marktteil von 50% in drei Jahren aus und einem Anteil von 50% Explorer-Nutzer, dann reden wir von 25% Browseranteil. Bei 10% Nutzern, die die Einstellungen ändern, würde eine Standardeinstellung je nach Wert bedeuten, dass entweder 2,25% oder 22,5% nicht erfasst werden dürfen. Ersteres fiele unter statistische Abweichung, letzteres würde knapp ein Viertel des Retargeting-Umsatzes ausmachen, der allein in Deutschland irgendwo zwischen 100 und 300 Mio € jährlich liegen dürfte.

Mehrere $100 Mio jährlich weltweit sind es offensichtlich schon wert, einen Dummen zu suchen, der seinen guten Ruf und den eines erfolgreichen Open-Source-Projekts aufs Spiel setzt.

Disclaimer: Ich selbst halte Do Not Track nicht für den richtigen Ansatz. Denn letztlich kann niemand wirklich kontrollieren ob sich Anbieter daran halten. Ich selbst würde eine Opt-In-Lösung für den einzig richtigen Weg halten. Dabei könnten User belohnt werden, wenn sie ihre Daten zur Verfügung stellen. 


Written by qrios

September 10th, 2012 at 11:04 am

5 Responses to 'Apache wird Spielball der Do-Not-Track-Gegner'

Subscribe to comments with RSS or TrackBack to 'Apache wird Spielball der Do-Not-Track-Gegner'.

  1. Ich halte den Schritt von Microsoft für vollständig richtig. Sie schützen tatsächlich ihre Benutzer – vor den kriminellen Machenschaften der Werbeindustrie.

    Eine Opt-In-Lösung ist für mich keine Option, denn der durchschnittliche Benutzer hat kaum Ahnung davon, welche Daten von ihm gesammelt und vermarktet werden. So lange die Browser ihre Nutzer nicht in vollem Umfang darüber analysieren, können die Benutzer diese Entscheidung nicht selbst treffen – abgesehen davon, dass die Einstellungsdialoge nicht von jedem Benutzer verwendet werden und meist völlig unübersichtlich sind. Wenn aber so wenige Nutzer diese Einstellung verwenden, braucht sie nicht eingeführt werden. So lange die Gesetzgeber nicht Klarheit schaffen bleibt damit meiner Meinung nach nur die Default-Einstellung, dass DNT aktiv ist…

    Chris

    10 Sep 12 at 2:41 pm

  2. Ich halte den Schritt von MS auch für richtig und begrüße das Vorpreschen im Sinne der Mehrheit der Nutzer. Das Problem ist jedoch, dass DNT nicht kontrollierbar ist und nicht nur einige wenige schwarze Schafe sich nicht daran halten werden. Und diese Tatsache wird durch eine solche Aktion bei Apache noch verstärkt.

    qrios

    10 Sep 12 at 3:11 pm

  3. Das ist kein Patch sondern eine spezifische Konfiguration. Es ist mir vollkommen schleierhaft, wie so etwas in die GLOBALE CONF kommen kann. Ich kann M$ wirklich überhaupt nicht leiden und ich finde auch, dass DNT totaler Müll ist. Aber der Typ hat doch den Schuss nicht mehr gehört. Einen Request-Header löschen?! In der globalen conf? Muss ich jetzt nach jedem Update erst mal nachsehen, was sie jetzt wieder alles gelöscht oder gesetzt haben?! Haben es Server-Admins und -Developer nicht schon schwer genug mit Browsern, die behaupten X zu sein obwohl sie Y sind.

    Bin wirklich sprachlos!

    MartinUS

    11 Sep 12 at 2:41 am

  4. Die Diskussion artet ja langsam aus. royfielding beschimpft inzwischen alle Kritiker als Trolle. Und etliche Leute sagen, dass sie schon immer mal den nginx-Server ansehen wollten. Ich kann auch nur den Kopf schütteln. Das hat doch da überhaupt nicht zu suchen. Wie kann man denn nur darauf kommen?

    Thomas

    11 Sep 12 at 4:05 pm

  5. [...] An dieser Frage scheiden sich nicht nur die Geister – auf der einen Seite die Ad-Betreiber und von dieser abhängige Firmen und auf der anderen Seite z.B. Microsoft, das den Datenschutz als Verkaufsargument entdeckt hat. Bei dem Versuch einen Kompromiss zu finden, werden auch Institutionen wie das W3C und selbst die Apache-Foundation beschädigt. [...]

Leave a Reply