Die in Chrome 89 eingeführte experimentelle FLoC-Technologie von Google, die als Ersatz für das Tracking durch Cookies entwickelt wurde, stieß auf Widerstand aus der Community. Nach der Implementierung von FLoC plant Google, die Unterstützung für Drittanbieter-Cookies in Chrome/Chromium vollständig einzustellen, die bei Besuchen von Websites außerhalb der aktuellen Domain gesetzt werden. Derzeit wird FLoC bereits in einer begrenzten Testphase bei einem kleinen Prozentsatz der Chrome 90-Nutzer erprobt, die Unterstützung für FLoC ist ebenfalls im Code von Chromium enthalten.
Gegner der Einführung von FLoC sind der Meinung, dass diese Technologie anstelle eines vollständigen Verzichts auf das Tracking von Nutzern lediglich eine Art der Zielgruppenansprache durch eine andere ersetzt und, während sie versucht, einige Probleme zu lösen, neue schafft. Zum Beispiel schafft FLoC Bedingungen, die zu Diskriminierung von Nutzern aufgrund ihrer Präferenzen und Ansichten führen können.
Die Reaktion einiger Projekte auf die Integration von FLoC in den Code von Chromium:
- Einer der Hauptentwickler des Content Management Systems WordPress, welches etwa 40 % des CMS-Marktes einnimmt, hat FLoC als Sicherheitsbedrohung eingestuft und die Möglichkeit in der Spezifikation genutzt, um die Anwendung von FLoC zu verbieten sowie die Erfassung von Nutzerinteressen für bestimmte Websites zu deaktivieren. Das Verbot von FLoC kann auf der Website durch Setzen des HTTP-Headers „Permissions-Policy: interest-cohort=()“ aktiviert werden. Ein solches Verbot von FLoC soll standardmäßig in allen WordPress-Instanzen aktiviert werden und die Änderungen werden in einem der Updates zur Behebung von Sicherheitsproblemen bereitgestellt.
Wenn der Vorschlag genehmigt wird, wird FLoC auf allen Websites, die automatisch WordPress-Updates anwenden, standardmäßig deaktiviert. Für diejenigen, die FLoC nutzen möchten, wird die Option zur Deaktivierung des Headers „Permissions-Policy: interest-cohort=()“ bereitgestellt. Ein ähnliches Verbot von FLoC soll auch im bedeutenden Release von WordPress 5.8 standardmäßig hinzugefügt werden, dieses ist jedoch für Juli geplant und könnte möglicherweise nicht rechtzeitig zur massenhaften Einführung von FLoC fertiggestellt werden, weshalb auch die Möglichkeit in Betracht gezogen wird, FLoC über ein Zwischen-Update zu deaktivieren.
In den Kommentaren waren sich nicht alle einig über die Sinnhaftigkeit der Veröffentlichung eines solchen Updates, da argumentiert wurde, dass man Sicherheitsprobleme nicht mit dem Schutz der Privatsphäre vermischen sollte. Missbrauch von Änderungen, die in automatischen Updates vorgeschlagen werden, könnte das Vertrauen in solche Updates beeinträchtigen.
- Die Entwickler der Browser Vivaldi und Brave Browser haben beschlossen, die Unterstützung von FLoC in ihren Produkten nicht umzusetzen und betont, dass ihre Nutzer das Recht auf Privatsphäre haben. Vertreter von Vivaldi wiesen außerdem darauf hin, dass man die Dinge beim Namen nennen sollte: FLoC ist keine Technologie zum Schutz der Privatsphäre, wie Google sie darstellt, sondern eine Tracking-Technologie, die die Privatsphäre verletzt.
- Die Menschenrechtsorganisation EFF (Electronic Frontier Foundation) hat die Website amifloced.org eingerichtet, die es ermöglicht zu überprüfen, ob FLoC im Browser aktiviert ist. Dies gibt den Nutzern die Möglichkeit zu erfahren, ob sie an Googles Experiment teilnehmen.
- Die Suchmaschine DuckDuckGo hat FLoC kritisiert und das Chrome-Addon DuckDuckGo Privacy Essentials zur Blockierung von FLoC hinzugefügt. Zudem wurde die Nutzung von FLoC auf der Website duckduckgo.com (DuckDuckGo Search) durch das Setzen des HTTP-Headers „Permissions-Policy: interest-cohort=()“ untersagt.
- Microsoft hat bisher FLoC nicht in den Edge-Browser integriert und verfolgt eine abwartende Haltung. Das Unternehmen versucht, eine eigene Tracking-Technologie namens PARAKEET (Private and Anonymized Requests for Ads that Keep Efficacy and Enhance Transparency) weiterzuentwickeln. Das Konzept von PARAKEET basiert auf der Nutzung eines Proxys,Server, der zwischen dem Benutzer und dem Werbenetzwerk geschaltet ist. Dem Benutzer wird eine eindeutige ID zugewiesen, doch nur der Proxy erhält Informationen über ihn und übermittelt der Werbenetzwerk lediglich eine eingeschränkte Menge an anonymisierten Daten.
- Mozilla und Opera planen derzeit nicht, die FLoC-Implementierung in ihre Produkte aufzunehmen. Apple hat bisher keine endgültige Entscheidung zur Umsetzung von FLoC in Safari getroffen.
- Im Adblocker uBlock ist standardmäßig eine Deaktivierung von FLoC-Anfragen implementiert. Eine ähnliche FLoC-Blockierung wurde in die Erweiterungen Adguard und Adblock Plus integriert.
Das FLoC-API (Federated Learning of Cohorts) dient dazu, die Interessen eines Nutzers zu bestimmen, ohne eine individuelle Identifizierung vorzunehmen oder auf die Besuchshistorie bestimmter Websites zurückzugreifen. FLoC ermöglicht die Bildung von Gruppen mit ähnlichen Interessen, ohne einzelne Nutzer zu identifizieren. Die Interessen der Nutzer werden durch „Kohorten“ definiert, kurze Labels, die verschiedene Interessensgruppen beschreiben. Die Kohorten werden im Browser berechnet, indem Machine-Learning-Algorithmen auf Besuchsdaten und Inhalte angewendet werden, die im Browser angezeigt werden. Die Details bleiben auf der Seite des Nutzers, während nur allgemeine Informationen über die Kohorten, die die Interessen widerspiegeln und relevante Werbung ohne Nachverfolgung einzelner Nutzer ermöglichen, nach außen gegeben werden.
Die wesentlichen Risiken im Zusammenhang mit der Einführung von FLoC:
- Diskriminierung basierend auf den Nutzerpräferenzen. Beispielsweise können Stellenangebote und Kreditvergaben je nach ethnischer Zugehörigkeit, Religion, Geschlecht und Alter variieren. Nutzer, die finanzielle Probleme haben, können Kredite zu überhöhten Zinsen angeboten bekommen, während demografische Daten und politische Präferenzen genutzt werden können, um die Überzeugungskraft von Desinformation zu erhöhen. Bei der Verwendung von FLoC wird das Verhalten des Nutzers von Website zu Website verfolgt, und Daten über frühere Aktivitäten können verwendet werden, um den Nutzer beim Besuch von Websites zu manipulieren.
- Es kann nicht ausgeschlossen werden, dass die Besuchshistorie mithilfe von Kohortendaten rückentwickelt wird. Die Analyse des Algorithmus zur Zuteilung von Kohorten ermöglicht Rückschlüsse darauf, welche Websites der Nutzer wahrscheinlich besucht hat. Außerdem können auf Basis der Kohorten Schlussfolgerungen über Alter, sozialen Status, sexuelle Orientierung, politische Präferenzen, finanzielle Schwierigkeiten oder erlittene Tragödien gezogen werden.
- Das Auftreten eines zusätzlichen Faktors für die geheime Identifizierung des Browsers eines Benutzers ("Browser-Fingerprinting"). Obwohl die FLoC-Kohorten Tausende von Menschen abdecken, können sie zusammen mit anderen indirekten Daten, wie Auflösung des Bildschirms, unterstützten MIME-Typen, spezifischen Parametern in den Headern (HTTP/2 und HTTPS), installierten Plugins und Schriftarten, der Verfügbarkeit bestimmter Web-APIs, spezifischen Render-Eigenschaften von Grafikkarten durch WebGL und Canvas, Manipulationen mit CSS sowie Eigenschaften der Interaktion mit Maus und Tastatur verwendet werden, um die Genauigkeit der Browser-Identifizierung zu erhöhen.
- Die Bereitstellung zusätzlicher personenbezogener Daten an Tracker, die Benutzer bereits identifizieren. Wenn ein Benutzer identifiziert ist und sich in sein Konto eingeloggt hat, kann der Dienst die angegebenen Präferenzdaten in der Kohorte eindeutig einem bestimmten Benutzer zuordnen und bei Änderungen der Kohorten die Veränderungen der Präferenzen nachverfolgen.
Zusätzlich ist zu erwähnen, dass parallel dazu Vertreter der Werbebranche auch andere alternative Identifikationsmethoden entwickeln, die zur Verfolgung von Nutzern verwendet werden können, falls die Verwendung von Third-Party-Cookies in Chrome blockiert wird. Beispielsweise hat das Unternehmen The Trade Desk die Technologie UID2 (Unified Identifier) vorgeschlagen, die einen Identifikationsmechanismus implementiert, der in Kooperation mit Website-Betreibern funktioniert. Der UID2-Identifikator wird auf Grundlage der Informationen generiert, die der Nutzer bei der Registrierung auf der Website angibt, wie E-Mail, Telefonnummer oder Kontodaten in sozialen Netzwerken. Auf Basis der Verschlüsselung des UID2-Inhalts wird durch den Infrastruktur-Koordinator ein Token erstellt, das der Website-Betreiber an Werbenetzwerke weitergeben kann. Autorisierte Werbenetzwerke können die Schlüssel zur Entschlüsselung des Tokens erhalten und den ursprünglichen UID2 abrufen, der verwendet werden kann, um ein allgemeines Nutzerprofil zu erstellen, das Informationen aus verschiedenen Quellen aggregiert.
Quelle: opennet.ru
