Unerwünschte Facebook-Aktivitäten eindämmen mit NoScript

Dass Facebook so viele Daten wie möglich von seinen Nutzern einsammelt und verwertet, dürfte inzwischen vielen bekannt sein. So langsam dringt den Leuten auch ins Bewusstsein, dass Facebook auch fremde Seiten im Internet als Informationsquelle nutzt.

So geht Facebook vor

Der klassische Weg ist der viel gescholtene “Gefällt mir” Button. Zahlreiche Seiten binden ihn ein. Besucht nun ein Facebook-Nutzer eine solche Seite, lädt diese die Button-Grafik inkl. eines JavaScripts vom Facebook Server herunter. Ist der Besucher parallel in Facebook eingeloggt, erkennt der Server ihn wieder und kann somit protokollieren, dass Facebook-User X auf Seite Y war. Man bedenke dabei, dass es dazu absolut nicht nötig ist, aktiv auf den “Gefällt mir” Button zu klicken!

Prinzipiell ist es gar nicht notwendig, dass der Benutzer zum Zeitpunkt des Seitenbesuchs bei Facebook eingeloggt ist. Es genügt bereits, dass er irgendwann früher auf diesem Rechner mindestens einmal eingeloggt war und das dabei angelegte Cookie noch vorhanden ist. Das reicht zur Identifizierung des Nutzers völlig aus.

Seiten haben theoretisch sogar noch mehr Möglichkeiten zu evtl. ungewollten Datenlieferungen, z.B. das Mitteilen von gerade abgespielten Songs oder gar getätigte Käufe in Online-Shops. Das von Facebook dazu bereitgestellte Open Graph API wird immer weiter ausgebaut.

Was kann man tun?

Der radikalste, aber wohl sicherste Weg ist natürlich der Verzicht auf einen Facebook-Account. Es ist klar, dass das für viele nicht in Frage kommt. Auch ich möchte Facebook weiterhin nutzen, will aber dessen Sammelaktivitäten v.a. außerhalb dessen Seite behindern. Als Firefox-Nutzer hat man mit dem Add-On NoScript ein hilfreiches Werkzeug.

Allgemein dient NoScript dazu, den Anwender gegen Angriffe durch schädliche JavaScripts auf Webseiten zu schützen. Besonders interessant ist dabei dessen Funktion ABE (Application Boundaries Enforcer). Sie ermöglicht die Definition von beliebigen benutzerdefinierten Regeln, um ungewollte Webseitenaktivitäten einzuschränken. Die Konfiguration verbirgt sich in den NoScript-Einstellungen unter Erweitert und ABE.

Im Textfeld können mit Hilfe einer definierten Syntax die Regeln eingegeben werden. Eine Regel für Facebook liefert bereits die oben verlinkte Dokumentation zu ABE. Leicht abgewandelt ist sie auf meinen Rechnern folgendermaßen im Einsatz:

# Zugriffe auf Facebook-Server von Nicht-Facebook-Seiten blockieren
Site .facebook.com .fbcdn.net .facebook.net
Accept from .facebook.com .fbcdn.net .facebook.net
Deny INCLUSION

Die Regel besagt:

  • Zugriffe auf Inhalte von Facebook Servern dürfen nur von Seiten erfolgen, die selbst auf einem Facebook Server liegen. Damit ist die Nutzung von Facebook selbst weiterhin unbeschränkt möglich.
  • Zugriffe auf jegliche Facebook Inhalte von fremden Seiten aus werden nicht gestattet bzw. ausgefiltert. Auf diese Weise können also weder die “Gefällt mir” Buttons, noch die dazugehörigen JavaScripts vom Facebook Server nachgeladen werden. Es findet keine Kommunikation dorthin statt.

Und weiter?

Selbst wenn Facebook durchaus mit Vorsicht zu genießen ist, viel spannender ist der Fall mit Google. Eine ähnliche ABE-Regel für Google zu definieren, hilft zwar gegen die ebenbürtigen “+1″ Buttons auf anderen Seiten, doch leider nicht gegen die Datenspuren auf Google-Seiten selbst. Denn leider nutzt man z.B. nicht nur Google Plus als Social Network, sondern auch die alltägliche Suchmaschine, Google Maps, evtl. auch Docs oder Google Mail. Auch hier findet mit großer Sicherheit im Hintergrund eine Verknüpfung der Benutzeraktivitäten zu einem großen Benutzerprofil statt.

Aber diesem Thema würde ich beizeiten einen eigenen Beitrag widmen.

2 Kommentare bis “Unerwünschte Facebook-Aktivitäten eindämmen mit NoScript”

  1. deltoi sagt:

    hey, das ist ja schon bisschen her. danke für die info. wollte fragen was der eintrag “inclusion” bewirkt. kenne die regel nämlich auch ohne inclusion

    • Rpinski sagt:

      Hi! INCLUSION sorgt dafür, dass die Sperre nur greift, wenn der Request durch ein Element auf der Seite passiert, z.B. wenn ein Script oder ein Bild nachgeladen wird. D.h. ein Aufruf direkt als Adresse (d.h. top-level) wird immer noch zugelassen.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *


*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>