Adblocker-Konferenz: Der Kampf geht weiter
Vom Fake-Adblocker über Fingerprinting bis zu lahmen Browser-Schnittstellen – Adblocker-Entwickler müssen mittlerweile an vielen Fronten kämpfen.
(Bild: Michael Derrer Fuchs/Shutterstock.com)
Ständiges Wettrüsten mit der Werbeindustrie prägt die Entwicklung von Adblockern. Auf dem Ad Developer Summit des Kölner Herstellers Eyeo zeigte sich: Die Ausweitung des Tracking und die Beschränkungen der Browser-Hersteller und Plattformbetreiber machen den Entwicklern fast genau so viel zu schaffen.
Streit um das Manifest
Für besondere Sorge hatte in den vergangenen Jahren die Einführung des "Manifest V3" aus dem Hause Google gesorgt, das Browser-Erweiterungen generell strengere Vorgaben macht und durch die Einschränkungen etwa das Abarbeiten von Filterlisten mit mehreren Hunderttausend Regeln erschwert oder gar unmöglich macht.
Auf der Online-Konferenz verteidigte der für Chrome Extensions zuständige Produktmanager bei Google, David Li, den Kurs des Browser-Herstellers. "Genauso wie Adblocker den Nutzer vor störenden Inhalten im Web schützen, schützt Google seine Nutzer vor potenziell schädlichen Extensions", erklärte Li. Der Wechsel vom WebRequestBlocking zum DeclaritiveNetRequest soll den Schaden einschränken, den bösartige Extensions anrichten können, gleichzeitig Arbeitsspeicher und Zeit sparen. Li wies die These zurück, dass die Nutzer ihre Daten eher vor Chrome als vor den Adblockern schützen wollten. Zwar habe die letzte Version des Browser-Manifests vielfältige Funktionen gehabt, diese seien jedoch zu oft missbraucht worden.
Falsche Adblocker stehlen Daten
Dass es Probleme mit falschen Adblockern gibt, kritisierte etwa Adblocker-Urgestein Peter Lowe, der zurzeit für DNSFilter arbeitet. So würden die Extension-Verzeichnisse von vermeintlichen Adblockern geflutet, die mitunter schädliche Wirkungen haben. Diese Programme sind so zahlreich, dass die Hersteller legitimer Adblocker mitunter Probleme bekommen, ihre Extensions für die Nutzer findbar zu machen. So entfernte Google aktuell zwei Adblocker aus dem Webstore, die im Hintergrund die komplette Surf-Historie der Nutzer an einen Server schickten.
Auch auf Apples Plattform ist es trotz des offensiv beworbenen Datenschutz-Ziels des iPhone-Konzerns alles andere als einfach, Adblocker zu betreiben. So berichtete Andrey Meshkov von den Problemen, die Adguard mit dem App Store hatte. So wurde die Version von Adguard, die Werbeblockade in allen Apps ermöglichte, zunächst von Apple entfernt. Als die Vorgaben allgemeine Blocker wieder zuließ, wurde Adguards App zunächst dennoch abglehnt. Zwar sei es letztlich möglich, solche Apps anzubieten. Aufgrund der Inkonsistenz des Entscheidungsprozesses aufseiten von Apple sei es jedoch ein hochriskantes Geschäft.
Auch mit den Adblockern für Safari, die von Apple in der Regel problemlos zugelassen werden, gibt es nach Erfahrung von Meshkov große Probleme. So ist die Umsetzung der Schnittstelle wenig performant, die Zahl der Filterregeln eng begrenzt. Um dennoch Adblocker zu schreiben, sei man darauf angewiesen, die Filterregeln aufwändig zu konvertieren. Dass das Filterergebnis auf diese Weise schlechter sei als bei anderen Browsern, störe das Safari-Team offenkundig nicht. Deshalb appellierte Meshkov, dass sich Adblocker-Entwickler direkt an der Entwicklung von Safari beteiligen sollten.
Werbedaten-Blocker
Eine neue Front für Adblocker sind die Targeting-Daten, die von Werbenetzwerken erhoben werden. Für Adblocker-Entwickler ist das ein zweischneidiges Schwert: Denn die meisten kommerziellen Programme leben heute von durchgelassener Werbung, die nur mit ausreichend Nutzerdaten gute Erträge einbringt.
Sam MacBeth, Technik-Chef bei Cliqz, stellte auf der Konferenz ein Projekt vor, mit dem Nutzer die nun überall eingesetzten Cookie-Banner nicht nur ausfiltern, sondern auch nach Nutzervorgaben ausfüllen lassen können. Mit dem Projekt Autoconsent – oder mit dem parallel entwickelten Firefox Add-On Consent-O-Matic – können Nutzer ihre Privatsphäre-Optionen einmalig festlegen. Der Browser füllt die Cookie-Formulare fortan dann automatisch aus, welcher Datenverarbeitung der Nutzer zustimmen will und welcher nicht.
Katz und Maus
Allerdings sind solche Anwendungen nur beschränkte Zeit nutzbar, bis die Industrie auf sie reagiert. Lowe berichtete, wie Spezialfirmen inzwischen die Github-Commits von Blocklists prüften, um daraufhin gefilterte Domains umzuleiten und so die Adblocker auszuspielen. Dies geschehe so zuverlässig, dass man abschätzen könne, welche Arbeitszeiten die zuständigen Mitarbeiter haben.
Im Kampf mit den Cookie-Blockern setzt die Werbeindustrie mittlerweile vermehrt auf eine Technik, die eigentlich schon für überholt erklärt worden war. Das Browser-Fingerprinting erlebt in den vergangenen Monaten einen neuen Höhepunkt, wie Zubair Shafiq, Professor an der University of California, berichtete. Mit einer Analyse von JavaScript-Code und unter der Zuhilfenahme von Maschinenlernen konnte er bei vielen Websites Methoden finden, mit denen die Anonymität der Nutzer ausgehebelt werden sollte.
Dazu nutzen die Adtech-Dienstleister jede technische Schnittstelle, die die Browser bereitstellen – vom Tastatur-Layout bis zum Batterieladestand eines Handys. Eine weitere Analyse ergab: Hinter dem Fingerprinting standen zum einen Dienste, die Werbebetrug verhindern sollten, aber auch andere Adtech-Dienstleister, die versuchen, gelöschte Cookies über den Austausch von Daten über Website-Grenzen hinweg wiederherzustellen. "Wir glauben daher, dass das Fingerprinting mittlerweile eine zunehmende Rolle beim Targeting spielt, wenn Cookies nicht verfügbar sind", sagte Shafiq.
(mho)
