History Stealing für die Anzeigenkunden
Im Quelltext einiger beliebter Webseiten haben US-Forscher Skripte gefunden, die das Surfverhalten des Besuchers auszulesen versuchen. Interesse an den Daten haben vor allem die Anzeigenvermarkter.
Dass Webseiten in der Browserchronik ihrer Besucher herumschnüffeln können, ist schon seit einigen Jahren bekannt. Mitte dieses Jahres konnten zwei Entwickler die Methoden verfeinern und gleichzeitig die Geschwindigkeit erhöhen. History Stealing nutzt aus, dass Browser angeklickte Links markieren: Sie werden farblich anders dargestellt als solche, denen man noch nicht gefolgt ist. Zwar kann man per JavaScript die besuchten Seiten nicht auslesen. Jedoch lässt sich eine Liste von Sites darauf hin untersuchen, ob der Anwender sie bereits besucht hatte. Mit dem im Mai vorgestellten optimierten JavaScript soll es möglich sein, bis zu 30 000 URLs pro Sekunde abzufragen.
Diese Methoden werden nach einem Bericht von Forbes nun aktiv genutzt. Prominentes Beispiel ist Youporn – die Seite prüft, welchen anderen Pornoseiten ihre Besucher bereits besucht. Insgesamt hat eine Forschungsgruppe der University of California in San Diego noch weitere 46 Sites aus den Interessenbereichen News, Finanznachrichten, Sport und Spiele gefunden, die diese Methode nutzen. Der Forschungsbericht der Universität (PDF) beschreibt nicht nur die Methoden, sondern listet auch die Sites auf.
Laut Forbes gibt es einen gravierenden Unterschied zwischen Youporn und dem Fotodienst PixMac auf der einen und den übrigen untersuchten Diensten auf der anderen Seite. Diese beiden Betreiber haben die Skripte selbst in ihre Seiten eingebaut, bei anderen Sites sind die Werbedienstleister die Verursacher.
Bei diesen dürfte auch das Interesse am Surfverhalten der Nutzer am größten sein: Wenn ein Surfer auf eine Seite stößt, muss er sich deshalb noch nicht unbedingt für deren Thema interessieren; er kann etwa durch eine Suchmaschinenabfrage dort gelandet sein. Enthält seine Browserchronik aber bereits Seiten aus dem gleichen Interessengebiet, lohnt es sich für die Werbetreibenden, ihm passende Anzeigen zu präsentieren.
Einige der Site-Betreiber waren nach dem Bericht sogar überrascht, dass solcher Code in ihren Webseiten enthalten sei. Der Vermarkter Interclick bestätigte Forbes auf Nachfrage einen Test mit dem gefundenen Skript. Es habe sich um einen beschränkten Versuch zur Prüfung der Datenqualität gehandelt. Solche Tests sind durchaus üblich, allerdings nicht so versteckt. Einen Überblick gibt der c't-Artikel Fährtenleser (Methoden zur Analyse des Traffic von Websites, c't 8/2009, Seite 80, kostenpflichtiger Download im heise online-Kiosk). Youporn hat laut Forbes die Beschnüffelung seiner Surfer in der Zwischenzeit eingestellt. (ll)
