FLoC? Nein danke! Website per nginx von der Berechnung der Cohort-ID ausschließen

In diesem Beitrag soll es heute um den neusten Streich von Google und der Werbe-Industrie gehen: FLoC (Federated Learning of Cohorts)

Dazu soll zunächst einmal kurz erläutert werden, was sich hinter FLoC verbirgt und welche Probleme damit ursprünglich gelöst werden sollten.

Im Anschluss geht es darum, wie der Nutzer erkennen kann, ob FLoC bereits aktiv ist und was man machen kann, um dieses System nicht zu nutzen.

Am Ende erfolgt ein Hinweis für Website-Betreiber. Diese haben hier nämlich auch eine Möglichkeit, um FLoC zumindest entgegenzuwirken.

Hinweis: FLoC ist momentan noch kein Standard und wird aktuell (Stand: April 2021) mit einem kleinen Nutzerkreis verprobt. Ob (und wann) hier ein flächendeckendes Rollout dieser Technik beginnt, kann momentan nicht abgeschätzt werden. Besonders in der EU ist hier auf Grund der DSGVO mit Widerstand zu rechnen, so dass Google FLoC momentan wohl nicht für Nutzer aus der EU (insbesondere Deutschland) aktiviert (siehe hier).
Die Planungen von Google und die rechtlichen Grundlagen können sich hier jederzeit ändern.

Third-Party-Cookies sollen bald Geschichte sein

Werbung im Internet bediente sich bisher meistens der Technik von Third-Party-Cookies: Diese Cookies werden von Advertisern genutzt, um Nutzer Website-übergreifend wiederzuerkennen. Dabei wird das Cookie des Werbetreibenden z.B. beim Besuch auf der Website A gesetzt. Wenn der Benutzer nun danach Website B besucht, die Werbung des gleichen Anbieters anzeigt, kann der Benutzer vom Werbetreibenden wiedererkannt werden. Dies soll angeblich den Vorteil haben, jedem Benutzer (mehr oder weniger) personalisierte Werbung anzeigen zu können.

Die Nutzer werden also durch Third-Party-Cookies der Werbetreibenden getrackt. Spätestens seit Inkrafttreten der DSGVO wird diese Vorgehensweise immer mehr kritisiert und reguliert. Dies ist im übrigen der Grund dafür, dass man auf fast jeder Website erst mal das obligatorische „Cookie-Banner“ wegklicken muss.

Immer mehr Anbieter von Browsern haben in den letzten Jahren Optionen eingebaut, um Third-Party-Cookies automatisch zu blockieren. Google ist nun ebenfalls auf den Zug aufgesprungen und will in Chrome die Unterstützung von Third-Party-Cookies entfernen. Durch die übermäßige Marktmacht von Google auf dem Browser-Markt ist dies natürlich ein Paukenschlag.

Der (nicht bessere) Ansatz von Google: Federated Learning of Cohorts

Die Werbe-Industrie kann also wohl sehr bald nicht mehr auf Cookies zum User-Tracking setzen. Daher muss etwas neues her. Google ist hier mit FLoC (Federated Learning of Cohorts) in Vorlage gegangen. Im Grunde genommen passiert damit folgendes:

Internet-User werden dabei in „Kohorten“ (Cohorts) eingeteilt. Diese Gruppen werden nach Interessen und Verhaltensweisen im Web gebildet. Der Browser (in diesem Fall Chrome) sammelt die Browsing-History des Benutzers. Aus dieser berechnet der Browser eine sog. Cohort-ID. Auf diese Weise werden beispielsweise alle User, die sich für Technik und Kochen interessieren, in eine Gruppe zusammengefasst.

Das Bedenkliche daran ist nun, dass diese Cohort-ID von jedem abgefragt werden kann. Hier reicht ein kleines Stück Javascript in einer Website, um die Cohort-ID des aktuellen Benutzers zu ermitteln. Google betrachtet FLoC datenschutzfreundliche Alternative zu Third-Party-Cookies und hebt hervor, dass mittels der Cohort-ID kein einzelner User identifiziert werden kann, da die Kohorten aus sehr vielen Usern gebildet werden und dadurch die Anonymität gewahrt bleibt. Dennoch handelt es sich bei der Cohort-ID um personenbezogene Daten. Spätestens, wenn diese ID mit Login-Daten verknüpft wird (z.B. wenn man sich mit Google/Facebook/etc. bei Diensten anmeldet), dann ist es aus mit der Anonymität. Weil die Ermittlung und Weitergabe der Cohort-ID für den User vollkommen intransparent ist, kann dieser nie genau wissen, welche Daten durch welche Dienste verarbeitet werden.

Warum FLoC keine gute Idee ist, hat die Electronic Frontier Foundation in einem Artikel gut zusammen gefasst.
Ein paar interessante technische Detail gibt es im Artikel von Adalytics.

Opt-Out? Nicht möglich

In der jetzigen Phase wurde FLoC für einige Chrome-Benutzer bereits aktiviert. Dies geschah anscheinend heimlich, still und leise, da die Benutzer weder gefragt, noch darüber in Kenntnis gesetzt wurden. Ob man betroffen ist kann man auch auf der Website Am I FLoCed? ermitteln. Wie gesagt, deutsche Nutzer sollten hier noch gar nicht betroffen sein.

Wenn Google FLoC nun weltweit ausrollen sollte, dann sieht der Konzern aber auch kein Opt-Out vor. D.h. Die Chrome-Nutzer können sich nicht mal gegen FLoC wehren (Third-Party-Cookies konnte man ja zumindest durch Setzen der entsprechenden Option blocken).

Hier gibt es von anderen Browser-Herstellern auch bereits einiges an Widerstand. Bei den auf Chrome basierenden Browsern Brave und Vivaldi wurde die FLoC-Unterstützung bereits entfernt, siehe Brave-Blog bzw. Vivaldi-Blog. DuckDuckGo hat in seinem Chrome-Addon ebenfalls FLoC bereits deaktiviert. Ob Google solche Browser-Addons entfernen wird, ist aber fraglich.

Chrome-Benutzer, die FLoC nicht nutzen wollen, bleibt daher mittelfristig nur de Umstieg auf einen anderen Browser übrig.

FLoC für Website-Betreiber

Wollte ein Website-Betreiber früher Werbung anzeigen, musste dieser aktiv etwas tun, damit z.B. Third-Party-Cookies gesetzt wurden (z.B. Einbindung von Javascript-Snippets). Mit FLoC ändert sich dies nun. Webseiten von Betreibern, die nichts unternehmen, werden zukünftig automatisch von FLoC erfasst und kategorisiert!

Website-Betreiber können nun aber über die Definition eines Headers angeben, dass die eigene Website nicht in die Berechnung der Cohort-ID mit einfließen soll. Mit nginx öffnen wir dazu einfach den virtuellen Host der Webseite:

nano /etc/nginx/conf.d/meinedomain.de.conf

Hier kann dann der Header gesetzt werden (add_header Permissions-Policy „interest-cohort=()“;):

server {
	listen 443 ssl http2;
	listen [::]:443 ssl http2;
	server_name meinedomain.de;

    # Certificates used
    ssl_certificate /etc/letsencrypt/meinedomain.de/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/meinedomain.de/key.pem;
    ssl_trusted_certificate /etc/letsencrypt/meinedomain.de/ca.pem;

    # Disable FLoC calculation
    add_header Permissions-Policy "interest-cohort=()";

    # Include headers and SSL specific stuff.
    # You could also place the Permissions-Policy in the general header configuration 'headers.conf'.
    include /etc/nginx/snippets/headers.conf;
    include /etc/nginx/snippets/ssl.conf;

    root /var/www/meinedomain.de;	
    
    # ...
}

Nach einem Neuladen von nginx wird der Header auch schon ausgeliefert:

service nginx reload

Dadurch gibt eine Webseite bekannt, dass ein Besuch nicht in die Berechnung der Cohort-ID einfließen soll.

Überprüfen kann man den Header übrigens mit der Seite Security Headers. Hier muss bei der Header Permissions-Policy mit dem entsprechenden Wert ausgeliefert werden.

Man muss sich aber dessen bewusst sein, dass das Setzen des entsprechenden Headers nicht dafür sorgt, dass FLoC für die Besucher der Website deaktiviert wird, die Webseite wird lediglich nicht zur Berechnung der Cohort-ID herangezogen. Dies mag zwar nur ein Tropfen auf einem heißen Stein sein, aber je mehr Websites diesen Header setzen, desto deutlicher wird ein Zeichen gegen FLoC gesetzt.

Unter Apache kann ebenfalls ein solcher Header gesetzt werden, dies passiert im Normalfall über die .htaccess. Hier sollte dazu folgendes eingefügt werden:

<IfModule mod_headers.c>
Header always set Permissions-Policy "interest-cohort=()"
</IfModule>

Fazit

Momentan ist FLoC (besonders in Europa) noch keine Thema. Sobald Google FLoC jedoch in Chrome weltweit scharf schaltet, dann ist dies meiner Meinung nach Datenschutz-technisch fast noch bedenklicher als die unbeliebten Third-Party-Cookies.

Hier müssen Browser-Benutzer selbstständig aktiv werden, um diese Art des Trackings zu unterbinden. Website-Betreiber können aber schon heute über den entsprechenden Header einstellen, dass die eigene Webseite nicht zur Berechnung der Cohort-ID herangezogen wird.

Aus diesem Grund wird dieser Header schon seit einiger Zeit auf allen meinen Webseiten und Diensten gesetzt.

Wie schaut es bei euch aus? Wäre FLoC für euch eine Alternative für Third-Party-Cookies oder seht ihr die Sache eher bedenklich? Hinterlasst mir dazu doch einfach einen Kommentar.

Links

• Federated Learning of Chohorts (Wikipedia, Englisch)
• Google’s FLoC Is a Terrible Idea (EFF, Englisch)
• Who is sharing data with Google’s FLoC ad algorithm? (Adalytics, Englisch)
• Am I FLoCed? (Englisch)
• Why Brave Disables FLoC (Englisch)
• No, Google! Vivaldi users will not get FLoC’ed.
• Use the DuckDuckGo Extension to Block FLoC, Google’s New Tracking Method in Chrome
• Security Headers

Ähnliche Artikel:

Metasuchmaschine searx auf eigenem Server installieren (mit Docker und nginx) Eigener Firefox Sync Server mit nginx ownCloud 9 auf Ubuntu Server 16.04 LTS mit nginx, MariaDB, PHP 7 und Let’s Encrypt RSA und ECDSA-Zertifikate mit nginx (Hybrid-Lösung)