www.fabiankeil.de/blog-surrogat/2006/01/19/ping-attribut-realitaetsabgleich.html

Realitätsabgleich zum Ping-Attribut

Diese neue Gelegenheit, mich über einen Teil der Firefox-Benutzer lustig zu machen, konnte ich nicht ungenutzt verstreichen lassen. Das Ping-Attribut hat zu viele Pappnasen entlarvt, sie zu ignorieren wäre grob unhöflich.

Die technische Seite des Ping-Attributs

Auszug aus dem Web Applications 1.0 Working Draft:

The ping attribute, if present, gives the URIs of the resources that are interested in being notified if the user follows the hyperlink. The value must be a space separated list of one or more URIs.

Das Ping-Attribut ist also eine weitere Versuchung für Server-Betreiber, den Nutzern hinterher zu spionieren und das Klickverhalten auch zu externen Websites auszuwerten.

Das Ping-Attribut ist in keinem Standard enthalten, das wird jedoch niemanden von der Nutzung abhalten. Wenn die eigene Moral flexibel genug für User-Tracking ist, sind auch Standards keine relevante Richtschnur mehr.

Das Ping-Signal wird ganz altmodisch über HTTP vermittelt, die Implementierung für den Serverbetreiber ist trivial. Um die Nutzung des letzten Links zu protokollieren müsste ich nur wenig ergänzen:

<a title="W3C-Imitat whatwg.org" href="http://whatwg.org/specs/web-apps/current-work/#ping" ping="whatwg.org-spionage-ahoi.html"><cite>Web Applications 1.0 Working Draft</cite></a>

Beim Klick auf den Link würde ein Browser mit Ping-Unterstützung zusätzlich zum eigentlichen Ziel auch noch auf meinem Server nach dem Dokument /blog-surrogat/2006/01/19/whatwg.org-spionage-ahoi.html fragen und für einen aus Nutzersicht unnötigen Fuß-Abdruck im Server-Protokoll sorgen.

Das Ping-Attribut und die kollektive Betroffenheit

Bei der Browser-Unterstützung sieht es momentan eher mau aus: nur Firefox 1.6a – die Entwickler-Version – wertet das Ping-Attribut aus. Die restlichen Browser verhalten sich korrekt, für sie ist es einfach nur ein weiterer Fehler im Seitenquelltext.

Auf die neue Firefox-Fehlfunktion wurde vor zwei Tagen von ihrem Entwickler Darin Fisher aufmerksam gemacht, in den Kommentaren war die Betroffenheit groß. Viele Schnarchnasen kündigten die Abkehr von Firefox an oder wollen sogar wieder den Internet Explorer empfehlen.

Wenn das die Lemming-Quote reduzieren sollte, habe ich natürlich nichts dagegen, in Hinblick auf die Technik ist es dennoch albern und man tut dem Beratenen sicher keinen Gefallen.

Firefox-Nutzer und der technische Sachverstand

Am meisten stören sich die Pseudo-IE-Wechsler daran, dass das Ping-Attribut standardmäßig aktiviert ist und der Nutzer nicht ordentlich darauf hingewiesen wird. Das ist gleich doppelt lächerlich.

Bei Firefox 1.6a handelt es sich um eine nicht für den Endnutzer gedachte Alpha-Version. Dass neue Funktionen nicht in einem Rutsch – sondern Stück für Stück – implementiert werden, ist absolut üblich. Wer die Test-Version nur zur Ego-Aufwertung nutzt und sich nicht über Neuerungen informiert ist selber Schuld.

Viel wichtiger ist jedoch, dass die Mozilla-Foundation in der Firefox-Grundkonfiguration noch nie auf die Privatsphäre des Nutzers Rücksicht nahm. JavaScript ist standardmäßig aktiviert, Cookies gelten bis in alle Ewigkeit.

JavaScript kann auch nicht brauchbar limitiert werden, wer seine Privatsphäre wertschätzt muss es komplett deaktivieren.

Wer JavaScript aktiviert lässt, sollte seine Bedenken bezüglich des Ping-Attributs für sich behalten. Das Ping-Attribut birgt für JavaScript-Nutzer keine neuen Gefahren. Auch in Darin Fishers Ankündigung wird darauf noch mal hingewiesen, ohne dass er allerdings die richtigen Schlüsse zieht:

Websites even employ "onmousedown" event handlers that change the href attribute at the very last second beforea click occurs. This makes it so that hovering over the link displays the location that you want to go to, but it still ends up taking you someplace else.

Ein deutliches Zeichen für eine Browser-Fehlkonfiguration, mehr nicht.

Es gibt natürlich noch die etwas weniger verlogenen Versuche, alle von der Ursprungs-Website weg führenden Links über eine Server-Umleitung zu führen und diese von Anfang an im href-Attribut anzugeben.

Doch wer nicht mit geschlossenen Augen surft, sollte das bemerken und kann sich meist mit Privoxy dagegen wehren. Nebenbei kann man gleich die grafische Erscheinung aufwerten:

FILTER: Untrackable_Hulk Entfernt Trackmüll und verewigt sich im Quelltext
s@<a href=\".*/exit.php.* title=\"(.*)\"@\
<strong style="color:red;">Untrackable Hulk war hier:</strong> <a href=$1@Uig

Sollte das endgültige Ziel im Quelltext nicht zu finden und der Spionage-Versuch damit für Privoxy nicht zu verhindern sein, kann man sich immernoch nach einer Alternative umsehen. Zu den meisten Themen gibt es mehr als eine Website.

Keine Panik

Die Ping-Unterstützung kann man der Firefox-Alpha über about:config wieder abgewöhnen, zur Sicherheit kann auch noch mit Privoxy nachgeholfen werden.

Redirect- und Ping-Spionage-Versuche können als Eingriff in die Privatsphäre genutzt werden, dazu muss der Benutzer aber mitspielen.

Wer eine korrekte Browser-Konfiguration hinter einer Proxy-Kette aus Privoxy und Tor nutzt, ist gegenüber dem Server-Betreiber so lange anonym, wie er seinen Namen nicht in einem Formular preisgibt oder einen über Mail erhaltenen Spionage-Link aufruft.