Privacy Badger: neues Browser-Plugin gegen Webseiten-Tracking

Privacy-BadgerDie Hacker der Electronic Frontier Foundation haben ein neues Browser-Plugin veröffentlicht: Privacy Badger. Und so funktioniert es:

Privacy Badger is a browser-add on tool that analyzes sites to detect and disallow content that tracks you in an objectionable, non-consensual manner. When you visit websites, your copy of Privacy Badger keeps note of the „third party“ domains that embed images, scripts and advertising in the pages you visit.

If a third party server appears to be tracking you without permission, by using uniquely identifying cookies to collect a record of the pages you visit across multiple sites, Privacy Badger will automatically disallow content from that third party tracker. In some cases a third-party domain provides some important aspect of a page’s functionality, such as embedded maps, images, or fonts. In those cases Privacy Badger will allow connections to the third party but will screen out its tracking cookies.

Aus der Ankündigung:

This is an alpha release; we’ve been using it internally and don’t think it’s too buggy. But we’re looking for intrepid users to try it out and let us know before we encourage millions of people to install it. If you find bugs, you can file them on github against either the Firefox or Chrome repos as appropriate.

Während das noch restriktivere Firefox-Plugin RequestPolicy standardmäßig alle Inhalte von externen Domains deaktiviert, will Privacy Badger das damit verbundene händische Freigeben automatisieren. Neben NoScript und HTTPS Everywhere sollte Privacy Badger zum Standard werden.

Eine erste Vorstellung lieferte der Entwickler Peter Eckersley auf der OHM2013.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

25 Ergänzungen

  1. Die 1.0 Beta Version von RequestPolicy hat schon eine dau kompatible whitelist on board. Sprich es werden nur tracking und ad Domains standardmäßig gesperrt. Alle anderen sind erlaubt.

    1. Was mich persönlich an RequestPolicy stört ist: sobald man einen Service wie z.B. Google Maps benutzen will/muss, muss man diese (Sub-)Domain komplett freigeben.

      Im Gegensatz dazu heißt es oben im Artikel:
      „In some cases a third-party domain provides some important aspect of a page’s functionality, such as embedded maps, images, or fonts. In those cases Privacy Badger will allow connections to the third party but will screen out its tracking cookies. “

      Das wäre um einiges effektiver als das vorgehen von RequestPolicy, mal schauen wie sich das in der Praxis schlägt.

      1. Das blöde sind eher die Webseiten, welche meinen einem Vorschreiben zu müssen welchen Karten-Anbieter man zuverwenden hat. Am besten wäre, wenn nur Koordinaten übergeben werden und der Browser eine Schnittstelle(API) hat, wo der Nutzer (s)einen Anbieter/lokale Karten auswählen kann. Nur wenn die Schnittstelle vom Browser nicht zur Verfügung steht bzw. als Rückfallmöglichkeit könnte dann noch ein Anbieter vom Webseitenbetreiber zusätzlich angegeben werden.

  2. Und wo ist jetzt der (funktionale) Unterschied zu Ghostery? (Von Open Source and Ghost Rank abgesehen.)

    1. Das würde mich auch interessieren, ich nutze Ghostery, NoScript, BetterPrivacy, RedirectCleaner, TrackMeNot, RefSpoof und eine Cookie-Whitelist.

    2. Irgendwie kapier ich auch nicht so recht, was das Addon jetzt anders oder besser macht. Vor allem (wie ja schon erwähnt worden ist) in Ergänzung von NoScript, aber auch so’nem Addon wie DoNotTrakMe und der generellen Möglichkeit, im Firefox Private-Browsing zu betreiben. Erscheint mir sowieso etwas Schlangeöl zu sein. Vor allem hinsichtlich der Möglichkeiten, die doch grundsätzlich eher für gewisse Dienste bestehen. Sind da Cookies nicht schlechterdings das kleinste Problem?

  3. Kann es Nebenwirkungen geben das neben anderen Blockern zu nutzen? Noscript ist ja ein Must-have, aber wie stehts mit Disconnect?

  4. Klingt ein bißchen wie DoNotTrackMe.

    Gibt es da einen fundamentalen Unterschied, den ich momentan nicht sofort erkenne?

  5. Seit es mal als Addon des Monats vorgestellt wurde, benutze ich Self-Destructing Cookies. Auch Open-Source. Es löscht Cookies, LocalStorage und Konsorten, wenn alle zugehörigen Tabs geschlossen sind.

    1. Das sollte Mozilla Firefox von haus aus unterstützten. Momentan geht es dort nur beim schließen des ganzen Browsers und nicht per Tab.

  6. Ich kenn mich technisch jetzt nicht ganz so aus.. Aber welches Addon soll / kann man mit Privacy Badger ersetzen (mal angenommen es funktioniert so wie es soll)? Disconnect oder RequestPolicy oder ein ganz anderes?

    Ich bekomme zum Beispiel die Meldung von Badger: Your cookie preferences are changed from the defaults. This may reduce the effectiveness of Privacy Badger. Learn more.
    Ich habe Cookies standardmäßig deaktiviert. Funktioniert der Badger dann überhaupt?

  7. Ich steige da bei den ganzen Addons garnicht mehr durch. Vermutlich wird da von vielen mittlerweile auch so einiges installiert, was doppelt gemoppelt ist oder sich gegenseitig sogar im Wege steht.

    Ich fände es mal sehr löblich, einen Guide hier von Profis zusammengestellt zu finden. So richtig gutes Zeug fand ich da bisher nicht. Dabei wäre es interessant, aus berufener Quelle Hinweise deutlich gelistet zu finden, welche Einstellungen man bei Browsern vornehmen sollte, welche Addons sich als nützlich erweisen und auch ergänzen, wie man sich auch sonst vor NSA und Konsorten schützen kann.

    (Eh ein Witz, dass wir uns allesamt mittlerweile nur noch vor den eigenen Staats-Dienern zu schützen haben. Aufrüttelnd, wenn man sich das mal klarmacht… Der Westen hat so ziemlich jede staatliche Legitimation verspielt. In der IT, im Sozial-Wesen, in der Kriegstreiberei… ich finde derzeit kaum Ausnahmen… Wirklich erschreckend.)

  8. Das Problem ist, es gibt nicht *die Lösung* und es kann auch nicht *den Blocker* geben.

    Viele Seiten funktionieren nicht ohne Cookies oder ohne JS. Das Problem sind aber nicht JS oder cookies, sondern was damit gemacht wird.

    Bei Cookies ist das Problem, dass sie einerseits eine bessere Verfolgung der Nutzung zulassen und wenn JS zugelassen wird, dass andere Domains (also Anbieter) auf diese zugreifen können, wenn diese Anbieter auf diesen Seiten eingenden werden. Das sind dann Tracker, die z.b. Ghostery vor allem blockt.

    Das ist aber alle heutzutage sehr komplex miteinander verwoben, Ghostery, AddBlock (oder besser Adblock Edge) oder andere Track- und Cookieblocker funktionieren recht gut und lassen sich auch oft gut konfigurieren. Bei NoScript haben aber viele Probleme, weil das JS heute oft aus mehreren Quellen kommt und es nicht klar ist, ob es für die Funktionalität der Seite notwendig ist oder nicht.

    Vor „NSA und Konsorten“ kann man sich damit nicht schützen. Dazu müssten alle Dienste, die man nutzt unabhängig sein und die Verschlüsslungsmethoden im Browser sicher sein. Das sind aber beides kaum kontrollierbare Faktoren.
    Wer (Staats-)Geheimnisse über das Internet verbreiten möchte, muss erheblichen mehr Aufwand betreiben, als ein paar Blocker zu installieren.

    1. Das Problem bei Cookies ist, das diese und die Anmeldung bei verschiedenen Dienste-Anbietern auf der OSI-Schicht 7 (=Anwendungsschicht) sitzen, weil „das Internet“ diese nicht korrekt verwendet.
      Das wäre wie, wenn man sich am Telefon nicht vorher identifiziert (in dem Fall durch die Nummer) sondern dies erst durch den Gesprächsinhalt („Ich bin die Rechnungsabteilung, Sie müssen jetzt dringend Geld an folgendes Konto überweisen!“) selber tut.

      https://de.wikipedia.org/wiki/OSI-Schichtenmodell#Die_sieben_Schichten

      1. Keine Ahnung was du mir damit sagen willst und welchen zusammenhang mit meiner Aussage besteht.

  9. Ich sehe gerade, dass Privacy Badger sich nur um Cookies kümmert. Das kann man eigentlich schon gut im Browser einstellen. Ich persönlich lasse mir jeden Cookie Wunsch anzeigen und entscheide je nach Domain ob ich sie zulassen will oder nicht. Das ist am Anfang lästig, da diese Auswahl aber gespeichert wird, werden die Nachfragen immer seltener.

    Ghostery halte ich für sinnvoller und weitreichender, es blockt nicht nur Cookies, sondern auch Inhalte.

      1. Bei mir reicht bereits weitestgehend die Verwendung von Adblock Edge in Verbindung mit NoScript. DiskConnect zeigt dann schon nur noch unwesentliche Aktivitäten an. Vorausgesetzt, man nutzt bei Adblock erweiterte Filter-Listen, die man sich über/in das Addon laden kann. Jene, die ich geladen habe, sind:

        EasyList Germany
        EasyPrivacy
        Malware Domains
        Fanboy’s Social Blocking List
        Fanboy+Easylist-Merged Complete List

      2. Nun, die Kritik an Ghostery bezieht sich ja aber nicht auf das Blocking direkt, sondern auf das „Ghost Rank“, bei dem eben die geblockten Seiten wieder an den Ghostery-Hersteller übermittelt werden. Diese Funktion kann man einfach in den Optionen deaktivieren (bzw. muss sie nach der Installation erstmal selbst aktivieren), so dass es aus meiner Sicht okay ist. Allerdings sind Alternativen ja immer etwas Gutes, vor allem weil solche Kooperationen finde ich immer recht kritisch gesehen werden müssen.

        Ich werde glaube mal einen Blick auf Privacy Badger werfen und hoffe, dass sich dieses automatische Blockieren / Erlauben auch ändern lässt. Nur, weil ich z.B. auf Seite XY Google Maps nutzen muss (weil die Seite sonst nicht funktioniert) heisst das ja nicht, dass ich das auf jeder Seite laden lassen will, die das einbindet.

  10. Meine letzte Aussage stimmt nicht, ich habe gestern den Text nicht richtig gelesen.“Privacy Badger will automatically disallow content from that third party tracker.“ – es arbeitet also wie Ghostery. Ich werd’s mir mal anschauen.

  11. Schade, ich sehe nicht, dass zumindest die aktuelle Alpha-Version ein Ersatz für die etablierten Addons (Ghostery, RequestPolicy, Adblock etc) sind. Zumindest blockt Ghostery auch Tracker, die Privacy Badger scheinbar als okay einstuft (oder nicht als „Tracker“). Das Problem ist da aus meiner Sicht, dass man sich auf „Do Not Track“ verlässt (und auch gleich munter entsprechende sinnlose Header mitsendet). Ich kann nur vermuten, dass man Server von Firmen, welche DNT unterstützen als „okay“ einstuft, aber falls das so ist, ist das Addon für mich uninteressant. Denn nur, weil eine Firma mir irgendwas verspricht (durch „Selbstverpflichtung“) heisst das noch lange nicht, dass ich ihr auch meine Daten anvertrauen will.
    Auch fehlen zumindest in der aktuellen Alpha jegliche Möglichkeit der Konfiguration. Man kann nur das Addon für die aktuelle Seite deaktivieren, mehr nicht.

    Mein Fazit: Die aktuelle Version ist okay für alle, die bisher keine Addons zum Tracker-blocking nutzen. Aber die können auch Ghostery und Adblock Edge installieren, das scheint zumindest aktuell besser geeignet zu sein.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.