2496373

Schlecht für Werber: Safari erhält stärkeren Tracking-Schutz

25.03.2020 | 15:32 Uhr | Stephan Wiesend

In der aktuellen Version von Safari 13.1 hat Apple die Intelligent Tracking Prevention weiter verbessert, so verfallen viele Cookies jetzt schon nach sieben Tagen.

Die gerade neuen iOS und macOS-Versionen iOS 13.4 und macOS beinhalten neben vielen Verbesserungen auch eine neue Version von Safari 13.1. Optisch hat sich hier wenig geändert, allerdings hat Apple hier Sicherheitsfehler gelöst und die integrierte Intelligent Tracking Prevention stark ausgebaut. Die Funktion Intelligent Tracking Prevention wird oft mit einem Werbeblocker verwechselt, sie soll aber ausschließlich vor dem Ausspähen des Nutzers durch Werbeanbieter schützen und wird über die Einstellungen aktiviert. Die Neuerungen sind sehr tief greifend und könnten nicht nur Werbefirmen, sondern auch manchen seriösen Webdiensten Probleme bereiten. Der Safari-Entwickler John Wilander hat auf Webkit.org die Neuerungen etwas ausführlicher vorgestellt .

Die wichtigste Neuerung: Erstmals bietet Safari ein sogenanntes Full Third-Party Cookie Blocking, was Chrome erst 2022 einführen wird. Eine tief greifende Aufwertung des Schutzes der Privatsphäre, da somit als Standard erstmals wirklich alle seitenübergreifend arbeitenden Cookies geblockt werden. Seitenbetreiber, die etwa mehrere Domains nutzen, können als Alternative nun nur noch das von Apple vorgeschlagene sogenannte Storage Access API nutzen.

Ebenfalls neu ist, dass auch der Status der Tracking-Vermeidung, bzw. Statefulness nicht mehr erkennbar ist. Google hatte im Januar eine Analyse erstellt, dass diese Tracking-Gegenmaßnahme ja gerade als Mittel zur Identifizierung verwendet werden kann. Dies ist nun nicht mehr möglich.

Das Third Party Cookie Blocking hat laut Wilander aber noch weitere Vorteile: Techniken wie Login Fingerprinting und Cross Site Request Forgeries würden nun verhindert. Bei erster Technik konnten Tracker feststellen, bei welchen Seiten man eingeloggt ist – eine weitere Methode um Nutzer zu identifizieren. Cross Site Request Forgeries sind eine sehr alte Sicherheitslücke, bei der ein Angreifer einem Opfer eine HTTP-Anfrage „unterschiebt“ um diesen dann unerkannt Aktionen durchführen lassen – etwa um neue Nutzer anzulegen. Ebenfalls neu: Bisher schon werden Cookies von Safari nach sieben Tagen automatisch gelöscht, das gilt jetzt für alle per Skript erstellte Daten, das Storage Access API wird somit wichtiger. Das hat allerdings auch schon einige Anbieter von Webdiensten aufgeschreckt , deren Angebote nun nicht mehr wie gewohnt funktionieren werden.

Macwelt Marktplatz

2496373