W3C-TAG-Entwurf: „Third-Party-Cookies müssen aus dem Web entfernt werden“

 (w3ctag.github.io)
4 Punkte von GN⁺ 2025-05-03 | 1 Kommentare | Auf WhatsApp teilen
  • Third-Party-Cookies gelten als Technologie, die die Privatsphäre von Einzelpersonen schwerwiegend verletzt, und sollten daher von der Webplattform entfernt werden
  • Nach den datenschutzorientierten Prinzipien des Webdesigns haben mehrere Browser bereits eine Blockierung von Third-Party-Cookies eingeführt; alle Browser sollten diesem Beispiel folgen
  • Bestehende nützliche Funktionen wie cookiebasierte Logins, Authentifizierung und Werbe-Tracking sollten durch neue zweckgebundene Technologien ersetzt werden
  • Alternative Technologien müssen einzeln sowie im Zusammenspiel innerhalb des gesamten Web-Ökosystems zwingend bewertet werden
  • Webstandards sollten datenschutzfördernd sein und zugleich neutral bleiben, ohne an bestimmte Geschäftsmodelle gebunden zu sein

Third Party Cookies Must Be Removed

  • Third-Party-Cookies verfolgen Informationen von Webnutzern über verschiedene Websites hinweg und stellen damit einen Eingriff in die Privatsphäre dar
  • Dieses Dokument ist ein Konsenspapier der W3C Technical Architecture Group (TAG), das die Notwendigkeit der Abschaffung von Third-Party-Cookies und den Bedarf an Alternativtechnologien erläutert

1. Introduction

  • Web-Privatsphäre ist ein zentrales Designprinzip, das durch verschiedene Dokumente und Werkzeuge sichergestellt werden soll
  • Einige Browser blockieren Third-Party-Cookies bereits, doch es braucht ein einheitliches Vorgehen aller Browser
  • Die Abschaffung ist nicht einfach und erfordert technische Überlegungen zur Aufrechterhaltung bestehender Funktionen

2. Why remove third party cookies?

  • Cookies wurden ursprünglich dafür entwickelt, Besucher einer Website wiederzuerkennen, wurden später aber auf viele weitere Zwecke wie Tracking, Werbung und Betrugsprävention ausgeweitet
  • Third-Party-Cookies sind eine Schlüsseltechnologie von Tracking-Netzwerken und sammeln sowie teilen Daten, ohne dass Nutzer davon wissen
  • Diese Zentralisierung kann Innovationen behindern und Verantwortlichkeit unterlaufen
  • Eingriffe in die Privatsphäre stehen zudem im Zusammenhang mit Meinungsfreiheit, dem Zustand von Gemeinschaften und dem Verlust von Nutzerkontrolle

3. Use cases previously met by third-party cookies

  • Logins, Single Sign-On, die Vergabe von Zugriffsrechten für websiteübergreifende Ressourcen und Betrugserkennung hängen derzeit von Third-Party-Cookies ab
  • Das gilt ebenso für Werbemessung und Targeting; alternative Technologien müssen diese Anforderungen erfüllen
  • Neue APIs können in Kombination erneut Tracking-Möglichkeiten schaffen, weshalb sorgfältiges Design und Kontrolle notwendig sind

4. Leaving the web better than we found it

  • Neue Technologievorschläge müssen klar belegen, dass sie die Privatsphäre nicht beeinträchtigen
  • Insbesondere bei Vorschlägen zu Profiling, Nutzererkennung und datenübergreifender Weitergabe zwischen Kontexten werden unabhängige Prüfungen empfohlen
  • Browser und Websites dürfen diese Verbesserungen nicht umgehen oder abschwächen
  • Das Web-Ökosystem sollte geschäftsmodellneutral sein und bestimmte Erlösmodelle nicht strukturell fest verankern
  • Schlussendlich ist eine vorsichtige Einführung von Alternativtechnologien nötig, damit sie nicht zu neuen Mitteln werden, bestehende Überwachungstechniken fortzuführen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-05-03
Hacker-News-Kommentare

  • Dieser Text wirkt sehr seltsam, und es ist fraglich, ob er Teil des W3C-Arbeitsprozesses ist

    • Kapitel 2: weist darauf hin, dass Third-Party-Cookies problematisch geworden sind
    • Kapitel 3: stellt fest, dass es legitime Anwendungsfälle für Third-Party-Cookies gibt, und warnt davor, dass neue Technologien in Kombination zur Nutzerverfolgung verwendet werden könnten
    • Kapitel 4: argumentiert, dass neue Webplattform-Technologien das Problem der Third-Party-Cookies verschärfen könnten und deshalb schnell gehandelt werden müsse
    • Da der kulturelle Kontext des W3C nicht gut bekannt ist, wird vermutet, dass dieses Dokument ein Entwurf ist, der später noch überarbeitet wird

  • „Ersatztechnologien“ werden bereits entwickelt, und diese werden zu den Third-Party-Cookies hinzukommen

    • Laut Googles Forschung senkt das Entfernen von Third-Party-Cookies die Einnahmen, während „datenschutzfreundliches“ Tracking die Einnahmen erhöht
    • Deshalb wird man beide Methoden verwenden

  • Ein legitimer Anwendungsfall für Third-Party-Cookies ist das Aufrechterhalten von Sitzungen auf einer einzelnen logisch zusammenhängenden Website, die sich über mehrere Domains erstreckt

    • Es wird gefragt, ob es noch andere Fälle gibt
    • Persönlich wäre es wünschenswert, dass auch First-Party-Cookies in Third-Party-Kontexten nicht verwendet werden
    • Bevorzugt würde man Cookies vollständig abschaffen und den Status stattdessen mit Client-Zertifikaten nachverfolgen

  • Wenn Third-Party-Cookies abgeschafft werden, werden Tracker Website-Betreiber bitten, Skripte einzubinden, um Cookies zu „First-Party“-Cookies zu machen

    • Es braucht Schutzmaßnahmen, die nicht nur die Tracking-Methode, sondern das Tracking selbst verhindern

  • Das Cookie-Problem ist nur Fassade; wenn JavaScript aktiviert ist, ist Tracking auch ohne Cookies möglich

    • In die Webstandards sollte viel mehr Aufwand fließen, damit Nutzer selbst bei aktiviertem JavaScript nicht verfolgt werden können
    • Browser wie Brave und Firefox tun diesbezüglich nichts
    • Es wird gefragt, ob man für echte Privatsphäre einen Browser mit deaktiviertem JavaScript verwenden muss

  • Google wird diese Spezifikation nicht umsetzen

    • Derzeit ist dies rechtlich nicht zulässig, und Werbetreibende behaupten, ohne Third-Party-Cookies nicht konkurrieren zu können
    • Google baut die Privacy Sandbox weiter aus und zieht den Plan zur Blockierung zurück

  • Zu den Anwendungsfällen, die Lösungen für bestimmte Zwecke benötigen, gehören föderierte Identität, domänenübergreifende Autorisierung für Ressourcenzugriffe und Betrugsprävention

    • Es wird behauptet, dass es für Betrugsprävention keine Möglichkeit gibt, Privatsphäre zu garantieren
    • Man müsse entweder Betrug als Geschäftskosten akzeptieren oder die Privatsphäre aufgeben

  • Solange Google Chrome kontrolliert, ist diese Diskussion leer

    • Selbst wenn Regulierungsbehörden Google dazu zwingen würden, Chrome zu verkaufen, wird nicht erwartet, dass ein neuer Eigentümer bessere Ergebnisse liefern würde

  • Third-Party-Cookies wurden schon immer blockiert; das einzige Problem ist, dass eingebettete Videos auf manchen Webseiten nicht abgespielt werden

  • Wenn man Third-Party-Cookies ohne Ersatz entfernt, wird aggressives Fingerprinting allgegenwärtig werden