Bei Google Chrome mit Google anmelden

Hacker-News-Kommentare

• Dass solche Pop-ups sogar auf Pornoseiten erscheinen, empfand ich ehrlich gesagt als viel zu aufdringlich, besonders das Google-Login-Pop-up, das bei fast jedem Besuch beinahe im Vollbild erscheint, hat mich wirklich schockiert. Im Inkognito-Modus ist es noch häufiger, weil jede Sitzung neu ist. Ich verstehe nicht, warum selbst auf Reddit die User Experience durch solche Drittanbieter-Pop-ups ruiniert wird. Wenn Facebook, GitHub und andere Seiten das auch alle machen, müsste man am Ende vier Banner auf einmal schließen. Vermutlich nutzen viele Leute keine Privacy-Erweiterungen, sodass Reddit Nutzer weiter tracken und speichern kann, dass man das Ding einmal geschlossen hat. Mich würde interessieren, ob jemand weiß, ob solche Pop-ups tatsächlich Auswirkungen auf sinkende Wiederkehrraten haben.

  • Solche Pop-ups sind auf jeder Seite massiv aufdringlich. Sie erinnern mich ständig daran, dass ein Unternehmen wie Google alle persönlichen Daten sammelt, die ich preisgebe, und daraus ein persönliches Profil über fast jeden Aspekt meines Lebens erstellt.

  • Dank Google One Tap haben sich die Neuanmeldungen für meine SaaS-Web-App über Nacht verachtfacht. Die Minimalfunktionen der App lassen sich zwar ohne Account nutzen, aber mit Registrierung bekommt man Vorteile und ich habe auch einen Kanal, um mit Nutzern per E-Mail zu kommunizieren. Insofern kann das sowohl für Nutzer als auch für das Unternehmen vorteilhaft sein.

  • Persönlich bleibe ich beim Besuch von Pornoseiten nur auf ähnlichen Seiten eingeloggt. Ich will die Funktion nicht verteidigen, aber man sollte sie zumindest mit gesundem Menschenverstand kritisch betrachten. Auf dem Handy hasse ich dieses Pop-up vor allem deshalb, weil es direkt nach dem Laden der Seite (0,5–2 Sekunden) genau unter dem Finger auftaucht, sodass man leicht versehentlich darauf tippt, und die Informationen dann sofort geteilt werden, ohne jede Möglichkeit, das rückgängig zu machen. Auf dem Desktop mag ich es auch nicht, aber auf Mobilgeräten verdeckt es den Inhalt komplett, sodass man noch leichter aus Versehen tippt. Ich meine mich zu erinnern, dass man das im Google-Account oder in Google Workspace abschalten konnte. Es gibt noch viele weitere Gründe. Große Identitätsanbieter wie Apple, Firefox, Microsoft oder Meta könnten so etwas ebenfalls anbieten, aber dann hätten wir plötzlich fünf gleichzeitige Pop-ups für Sign in with Google, Apple, Facebook, Microsoft und Firefox. In dieser Hinsicht wirkt es wie eine Tragödie der Allmende. Trotzdem ist eine einfache und schnelle Registrierung bzw. Anmeldung attraktiv, daher fände ich eine datenschutzorientierte Web API nicht schlecht. Aber dieses Google-spezifische Pop-up sollte verschwinden oder verboten werden.

  • Pop-ups auf Pornoseiten und ähnlichem? Ehrlich gesagt zeigt das nur, dass Nutzer am Ende trotzdem wiederkommen, wenn der Inhalt attraktiv genug ist, selbst wenn solche Dienste voller Pop-ups, Werbung, Clickjacking und anderer Störfaktoren sind.

  • Deshalb halte ich Meta und Google im Web für problematische Akteure mit viel zu viel Macht und besitze die Aktien mit neutraler/Halten-Einstellung.

• Die Erfahrung in Chrome basiert auf einem neuen Standard namens Federated Credential Management (kurz FedCM). Der Browser vermittelt dabei zwischen Identitätsanbieter und Web-App, sodass die nötigen Informationen ausgetauscht werden können, ohne Tracking im Internet zu ermöglichen. Ich schreibe gerade etwas zu diesem Thema. Wer mehr Interesse hat, kann sich den letzten Authentifizierungs-Konferenzvortrag ansehen (https://m.youtube.com/watch?v=FBAD4x7MWdI) (zur Einordnung: Ich habe ihn gehalten). Der Standard wird aktiv weiterentwickelt, Firefox will ihn ebenfalls einführen und Edge unterstützt ihn bereits. Man wartet noch auf Feedback von Identitätsanbietern. Mehr Infos hier (https://github.com/w3c-fedid/FedCM), außerdem gibt es jeden Dienstag ein Treffen.

  • Mozilla hat dem nicht formell zugestimmt, die offizielle Standard-Position ist aber neutral (https://mozilla.github.io/standards-positions/#fedcm). Im zugehörigen Issue-Tracker zeigt man Interesse, listet aber auch diverse Bedenken auf (https://github.com/mozilla/standards-positions/issues/618). Apple hat vor drei Jahren vage Interesse signalisiert, seitdem gibt es aber keine weiterentwickelte Position (https://github.com/WebKit/standards-positions/issues/309). Ich frage mich, ob sich diese Haltung inzwischen geändert hat.

  • Wenn das ein neuer Standard sein soll, müsste es eigentlich Unterstützung aus der gesamten Branche geben. Schaut man sich aber die Mitwirkenden auf GitHub an (https://github.com/w3c-fedid/FedCM/graphs/contributors), stammen die meisten von Google.

  • Im Grunde wäre es gut, wenn man die Weitergabe der E-Mail-Adresse blockieren könnte. Fast jedes Mal, wenn ich Google-Login nutze, schicken mir Websites oder Apps ohne mein Einverständnis Spam-Mails. Deshalb benutze ich Google-Login überhaupt nicht mehr. Der Grund ist Spam.

  • Erinnert ein bisschen an OpenID (inzwischen verschwunden), nur dass es diesmal nativ in den Browser integriert ist.

  • Es heißt dort: „Um fortzufahren, wird Google.com deinen Namen, deine E-Mail-Adresse und dein Profilbild teilen.“ Ich frage mich, wie das mit einem „modernen datenschutzfreundlichen Standard“ vereinbar sein soll. Datenschutzfreundlich wirkt das überhaupt nicht.

• Wegen dieses Pop-ups habe ich mehrfach aus Versehen geklickt und meine PII (personenbezogene Identifikationsdaten) wurde ohne meine Zustimmung an nicht vertrauenswürdige Dritte übertragen. Für mich kommt das fast einem Verbrechen gleich.

  • Zur Info: Mit den folgenden Filtern in uBlock Origin lässt sich das Problem beheben:

    ||accounts.google.com/gsi/iframe
    ##iframe[src^="http://accounts.google.com/gsi/iframe";]
    ##iframe[src^="https://accounts.google.com/gsi/iframe";]
    ##iframe[src^="//accounts.google.com/gsi/iframe"]
    ###credential_picker_container
    

    Quelle: stackoverflow, die letzte Regel habe ich hinzugefügt, damit der Inhalt blockiert wird, auch wenn das Pop-up selbst nicht sichtbar ist.

  • Man muss sich wegen eines Fehlklicks nicht allzu viele Sorgen machen. Google verfolgt den Besuch ohnehin schon beim Laden der Webseite. Google One Tap läuft, wie in diesem Guide beschrieben, per script-Tag von Google-Servern.

  • Ich blockiere dieses Pop-up seit Jahren mit uBlock.

  • Ich hoffe wirklich, dass PMs diesen Thread lesen. Ich denke, hier wurde der Trade-off falsch bewertet.

  • Wenn man seinen Google-Account löscht, tritt das Problem gar nicht erst auf.

• Das scheint sich auf die FedCM API zu beziehen (https://developer.mozilla.org/en-US/docs/Web/API/FedCM_API). Unterstützung durch andere Anbieter als Google ist möglich, praktisch umgesetzt ist das aber noch nicht. Googles One Tap library nutzt die neue API, und in nicht unterstützten Browsern fällt sie auf das bisherige Pop-up zurück. In Chrome steht dann „sign in with google.com“, während bei One Tap normalerweise „sign in with Google“ erscheint. Auch Mozilla arbeitet daran, aber das System ist komplex, daher dürfte es dauern. Wenn es populär wird, kommt es vermutlich auch in Safari.

  • Ich nehme an FedCM-Meetings teil. Der zuständige Firefox-Entwickler ist dort regelmäßig dabei. Ich habe ein paar Beiträge vom Safari-Team gesehen nach dem Motto „Klingt nach einer guten Idee, wir schauen es uns an“, aber seitdem habe ich keine konkreten Schritte mehr gesehen. Edge unterstützt es bereits, und für andere Chromium-basierte Browser dürfte die Einführung vergleichsweise einfach sein.

  • Ich frage mich, wie die Ausweichlösung technisch funktioniert. Drittanbieter-Cookies sind doch bereits blockiert bzw. auf dem Weg nach draußen, also wie bekommt das gsi-Script noch Informationen über die Google-Sitzung?

• Was mich wirklich irritiert, ist, dass dieses Pop-up nicht Teil der DOM-Struktur ist, sondern vom Browser direkt über die Seite gezeichnet wird. Wäre es stattdessen irgendwo in der Browser-Toolbar untergebracht, würde es mich nicht stören, aber Seiteninhalte zu verdecken ist klarer Stoff für ein Kartellverfahren. Wegen dieses Pop-ups habe ich Chrome vor sechs Monaten verlassen und bin zu Brave gewechselt. Selbst wenn ich es sowohl unter chrome://settings/content/federatedIdentityApi als auch in meinen Google-Kontoeinstellungen deaktiviere, taucht es am Ende trotzdem weiter auf.

  • Zum Vorwurf eines Kartellverstoßes: Laut anderen Kommentaren hier handelt es sich tatsächlich um einen offenen Standard, der nicht nur für Google gedacht ist, sondern mehreren Identitätsanbietern offensteht (relevante Erklärung).

• ||accounts.google.com/gsi/*$xhr,script,3p
  Mit diesem UBO-Filter lässt sich alles blockieren. Alternativ kann man die Liste „annoyances“ aktivieren, dann werden auch lästige Dinge wie Cookie-Banner ausgeblendet. NoScript ist ebenfalls empfehlenswert.

  • NoScript ist mit uBlock Origin eigentlich redundant. Für einen genaueren Vergleich siehe hier.

• Entgegen der Mehrheitsmeinung gibt es auch Leute wie mich, die das mögen. Registrierungsprozesse sind oft extrem nervig und schlecht gemacht, daher fand ich es angenehm, sie zu umgehen.

• Vielen ist offenbar nicht bewusst, dass dieses Banner in Safari oder Firefox gar nicht erscheint. Vielleicht finden deshalb so viele Websites es in Ordnung. Gerichte und Kartellbehörden sollten solche Fälle im Blick behalten. Es ist ein Paradebeispiel dafür, wie Google über Chrome nicht nur den eigenen Browser begünstigt, sondern auch die eigene SSO- und Datensammelplattform.

• Soweit ich weiß, galt es eigentlich als Tabu, Overlays über dem Inhaltsbereich einer Website einzublenden, weil sonst jeder mit HTML/CSS täuschend echte Fake-Dialoge bauen und missbrauchen könnte.

• Ich hasse das Prompt „Sign in with Google“. Ich habe Sorge, versehentlich oder unachtsam darauf zu klicken und damit meine E-Mail-Adresse und Identität mit irgendeiner beliebigen Website zu teilen, der ich nicht vertraue. Die Idee, dass der Browser das Identitätsmanagement übernimmt, ist eigentlich ziemlich gut, aber die aktuelle Umsetzung, bei der auch Dinge wie die E-Mail-Freigabe dranhängen, erhöht das Risiko von Benutzerfehlern und ist damit nicht wirklich nutzerfreundlich.