Nicht damit gerechnet, aber doch was mit direktem Jobbezug, was ein paar der Leute interessieren könnte, die angesichts des FF22-Rollouts *ohne* default-off-3rd Party Cookies aufgeatmet hatten. Dazwischenrein einige Bildimpressionen vom dritten Tag OHM2013, meist unrelatiert.
Peter Eckersley von der Electronic Frontier Foundation stellte das Problem aus der Sicht der EFF dar und die Maßnahmen, die sie aktuell vorantreiben. Einen wirklichen Stand der Dinge bzw. ein „da müssen wir hin“ bzw. „So und so gehts weiter“ gabs nicht (erwartbar), die Sichtweise der EFF war indessen spannend und ein, zwei Punkte gaben mir zumindest Stoff zum Nachdenken bzw. die Situation neu einzuordnen.
Einerseits: Tracking ist aktuell praktisch unvermeidbar, und auch der EFF ist klar, dass Fingerprinting das kommende große Ding ist. Ansonsten eben Cookies, Supercookies, LSO und so weiter. Man sollte den Leuten die Möglichkeit geben, sich dagegen zu entscheiden, dass ihr Leseverhalten gespeichert wird, denn darum geht es: während man früher in einen Buchladen oder an den Zeitungskiosk ging und bar seine Lektüre zahlte/kaufte, wird heute unser komplettes digitales Leseverhalten getrackt und zur Basis für zielgerichtete Werbung genommen.
Das eine Mittel mit durchschlagendem Erfolg gibt es nicht. Daher muss man ein paar Ansätze kombinieren, um wenigstens Verbesserungen zu erzielen.
1. Rechtliche Situation. Man muss die Trackinggeschichte dahingehend optional machen, dass Leute sich dagegen entscheiden können und – und das ist das Wichtigste – bei Nichtbeachtung gegebenenfalls rechtlich gegen den Verstoß vorgehen können.
2. Technische Situation. Man muss den Leuten die (einfach benutzbare!) Möglichkeit geben, dieses Tracking technisch zu unterbinden oder zumindest einzuschränken.
1. stößt wieder an die üblichen Netzgrenzen: man hat Unternehmen, Trackingfirmen, Dritanbieter etc. aus aller Herren Länder, die noch darüber hinaus über verschiedene Widgets auf Webseiten Tracking, Auswertung und Targeting voneinander trennen. Rechtliche Verpflichtungen werden unterlaufen oder von den Usern weggeklickt. Die EU-Cookierichtlinie wurde angesprochen, die beobachte ich ja auch bei ein paar ausgesuchten Unternehmen seit ein paar Monaten in ein paar Ländern: mein Eindruck ist der, dass es kein Schwein kümmert und niemand auch nur den Teufel tut, das ansatzweise rechtssicher umzusetzen, weils sonst tatsächlich das Tracking stören könnte. Peter wiederum beobachtete insbesondere das übliche „Scroll, Click, Agree“, das nun eben auch bei den nervigen „Wir verwenden Cookies, sei bitte einverstanden“-Layern userseitig stattfindet.
Ich halte die Cookierichtlinie für gescheitert und seh keine realistische Möglichkeit, das besser umzusetzen. FUBAR.
2. Hier wurds spannend, denn die EFF entwickelt ihr eigenes Adblock-Browserplugin auf Basis von, hihi, Adblock Plus. Die Debatte um die ABP-Machenschaften ist ihnen bekannt, es ist eine rein pragmatische Entscheidung für eine quelloffene Plattform und die Erstellung von Black- und Whielists wird bei ihnen natürlich nach anderen Kriterien ablaufen als bei ABP.
Nun aber: welche Kriterien? Und während eine Latte der Tracker recht leicht auszusortieren ist – die meisten kommen naturgemäß mit den Ads selber, sprich, blockt man die Ads, blockt man auch die und macht sicher nicht falsch – ist das nicht immer so einfach. Javascriptbibliotheken werden gelegentlich extern gehostet und eingebunden, auch hier können Cookies zum Einsatz kommen, und wenn sie nicht gesetzt/gelesen werden, funktionieren legitime Webseiten nicht mehr. Probnlem – es sind aber eben auch 3rdParty-Cookies. Klar, kann man ne Whitelist bauen mit bekannten Seiten. Die wird aber lang, denn dasselbe gilt auch beispielsweise für CDNs.
Bei den CDNs wirds spannend, weil die sind mir bislang nicht aufgefallen als Quelle von 3rd-Party-Cookies, aber an sich leuchtet das ein, dass die so ebenfals ihr Caching, bevorzugte Auslieferungsstandorte usw. speichern. UNd hier wirds auch ganz fies, denn da komm ich wieder auf so böse Gedanken, wie dass dann eben der Cookietracker der Zukunft einfach noch ein CDN anbietet, reseller wird oder eine entsprechende Partnerschaft eingeht. Keine Ahnung, ob sich Akamai für sowas hergibt, aber es wird genügend Anbieter aus der zweiten Liga geben, die da gerne noch einen Euro nebenher verdienen.
Zu guter Letzt war zu dem Zeitpunkt auch meine Vermutung, dass das die Gründe sind, warum das No 3rd-Party-Cookies-Rollout nicht mit F22 kam, denn das hörte sich alles nicht ganz trivial an, wenn man es sauber und ohne false positives machen will. Wobei ich nicht verstehe, warums Safari hinbekommen hat.
Denk ich hier komplett in die falsche Richtung, hab ich was übersehen, sind da ein paar Puzzlestücke, die ich aufgesammelt, aber an die völlig falsche Ecke gelegt hab? Über Kommentare, Korrekturen und Hinweise freu ich mich und lerne gerne dazu.
Nachtrag, weil an sich noch bemerkenswert: Die EFF macht sich nach wie vor viele Gedanken drüber, ob ausgerechnet Werbung das Standard-Finanzierungsmodell des wichtigsten Mediums überhaupt sein soll. Echte Alternativen scheinen trotz Crowdfunding, Micropayments etc. aber nicht zu sehen, und ich halte die Werbung trotz allem für eine der bestgeeigneten Finanzierungsansätze in den meisten Anwendungsfällen, auch wenn ich den Optimismus nicht teilen will, dass man die irgendwie „minimalinvasiv“ kriegt. Ich denke aber, es wird sich eh nach Art und Zweck der jeweils zu betreibenden Dienste richten, wie sie sich finanzieren.