Drittanbieter-Cookies werden auf Ihrem Computer von anderen Domains gesetzt als der Domain, auf der Sie sich gerade befinden. Wenn ich mich zum Beispiel auf css-tricks.com einlogge, erhalte ich ein Cookie von css-tricks.com, das meine Authentifizierung verwaltet. css-tricks.com kann aber auch ein Bild von einer anderen Website laden. Eine gängige Taktik in der Online-Werbung ist das Einbinden eines "Tracking-Pixels" (gut benannt, nicht wahr?), das verwendet wird, um Werbeeindrücke zu verfolgen. Diese Anfrage an eine andere Website für das Bild (z. B. ad.doubleclick.com) kann auch ein Cookie setzen.
Eric Lawrence erklärt das Problem
Das Cookie des Tracking-Pixels wird als Drittanbieter-Cookie bezeichnet, weil es von einer Domain gesetzt wurde, die nicht mit der Seite selbst zusammenhängt.
Wenn Sie später B.textslashplain.com besuchen, das ebenfalls einen Tracking-Pixel von ad.doubleclick.net enthält, wird das Cookie des Tracking-Pixels, das bei Ihrem Besuch auf A.example.com gesetzt wurde, an ad.doubleclick.net gesendet, und nun weiß dieser Tracker, dass Sie beide Seiten besucht haben. Wenn Sie immer mehr Seiten besuchen, die einen Tracking-Pixel vom selben Anbieter enthalten, kann dieser Anbieter ein sehr vollständiges Profil der von Ihnen besuchten Seiten erstellen und diese Informationen verwenden, um Ihnen gezielte Werbung anzuzeigen, die Daten an ein Datenaggregationsunternehmen zu verkaufen usw.
Aber die Zeiten ändern sich. Eric erklärt weiter die Browserlandschaft
- Brave: Blockiert standardmäßig
- Safari: „Intelligent Tracking Prevention“ ist komplizierter, blockiert aber standardmäßig Drittanbieter-Cookies (21. Februar 2019).
- Firefox: Blockiert bekannte Tracker standardmäßig (3. September 2019)
- Edge: Sie können Tracking Prevention aktivieren und eine Stufe auswählen. Die Stufe „Ausgewogen“ in der Mitte erlaubt immer noch Dinge wie Drittanbieter-Authentifizierung (27. Juni 2019).
- Chrome: Standardmäßiges Blockieren ist bevorstehend (4. Februar 2020). Leicht unterschiedlich, da die Cookies standardmäßig nur als First-Party gesetzt werden. Edge und Firefox planen, diese Änderung zu übernehmen.
Die Standardeinstellungen sind das Wichtigste, denn alle Browser bieten irgendeine Möglichkeit, Drittanbieter-Cookies zu blockieren. Aber natürlich tut das niemand tatsächlich. Jeremy
Es ist schwer zu glauben, dass wir überhaupt Drittanbieter-Cookies und Skripte zugelassen haben. Zwischen ihnen sind sie für die schlimmsten Übel des World Wide Web verantwortlich.
2019 ist das Jahr, in dem wir offensichtlich den Wendepunkt erreicht haben.
Beachten Sie, dass Firefox standardmäßig nur Drittanbieter-Cookies von Domains blockiert, die bekannte Tracker sind. Das Blockieren aller Drittanbieter-Cookies bricht wahrscheinlich zu viele Dinge, und ich glaube nicht, dass irgendein Browser das derzeit oder jemals tun wird.
SameSite=Lax standardmäßig ist keine Verbesserung der Privatsphäre, es ist eine Verbesserung der Sicherheit
Wenn ich das richtig verstehe, wird Chrome 80+ standardmäßig
SameSite=Laxsetzen. Drittanbieter-Tracker wie ad.doubleclick.com können jedochSameSite=Nonefür ihre Cookies setzen und weiterhin all das Tracking betreiben, das sie zuvor tun konnten. Diese Änderung schützt also nicht die Privatsphäre des Nutzers vor Werbetrackern, sondern ist eine Sicherheitsverbesserung, um Websites und Nutzer vor CSRF-Angriffen zu schützen.Das Tracking-Blocking, das Brave, Safari, Firefox und Edge (?) durchführen, ist anders, da die Drittanbieter-Tracker kein Mitspracherecht haben, sie können sich nicht abmelden.
Eric Law erklärt die Auswirkungen der SameSite=Lax-Änderung auf die Privatsphäre hier
Nach welchem Mechanismus wissen Drittanbieter-Pixel, welche Websites Sie besuchen?
Dieses Konzept finde ich etwas verwirrend
Woher weiß der Tracker, welche Seiten Sie besucht haben? Nur weil Sie bei beiden Besuchen dasselbe Drittanbieter-Cookie verwenden, erklärt das nicht allein, wie der Tracker weiß, welche Seiten Sie besucht haben. Liest er die
Referer-Header oder etwas Ähnliches? Wie wirkt sich eine Einstellung der Referrer-Richtlinie darauf aus? Was ist mitcrossorigin="anonymous"?