Wer glaubte, dass man nur den richtigen AdBlocker braucht, um seine Ruhe vor nerviger Werbung und Nutzer-Tracking zu haben, hat wahrscheinlich noch nichts von CNAME Cloaking gehört. Diese noch relativ neue Tracking-Methode nimmt immer mehr Raum ein, um den Usern Drittanbieter-Tracker und ungewollte Werbung unterzuschieben. AdBlocker, Browser-Erweiterungen und auch die Browser selbst haben dieser Technologie bisher wenig entgegenzusetzen. AdBlocker vs. Tracker geht in eine neue Runde.
Der Inhalt im Überblick
Was ist CNAME Cloaking?
Zunächst muss jedoch geklärt werden, was man unter CNAME Cloaking eigentlich zu verstehen hat.
Als Cloaking (zu Deutsch: Verhüllen) versteht man eine Technik, bei der Suchmaschinen beim Zugriff auf eine URL andere Inhalte anzeigt bekommen als die Nutzer selbst. Folglich stellt Cloaking im Regelfall einen Verstoß gegen die Richtlinien von Suchmaschinen dar.
Als CNAME (Canonical Name) bzw. CNAME-Record bezeichnet man Einträge im DNS-Zonefile für eine Domain. Normalerweise kann man damit weitere Domains mit der eigentlich, ursprünglichen Domain verknüpften. Dies ist insbesondere vorteilhaft beim IP-Wechsel der Hauptdomain, weil als CNAME eingetragene Domains nicht angepasst werden müssen.
In der Kombination versuchen die Tracking- und Werbetreibenden mit CNAME bei AdBlockern und anderen ähnlichen Diensten ihre bekannten Domains zu tarnen. Die Blocker und auch Browser-Addons verwenden nämlich sogenannte „Host Listen“, in denen bekannte Domains von Tracking- und Werbeunternehmen geführt werden. Umso umfänglicher und aktueller die „Host Liste“ ist, desto besser i. S. v. zuverlässig ist die Qualität des Blockers. CNAME Cloaking ermöglicht den Tracking- und Werbefirmen für bereits registrierte Werbe-Domains eine neue CNAME im Domain Namen System (DNS) hinzuzufügen, die dann wiederum nicht in der „Host Liste“ enthalten ist.
Mit dieser Technik können den Trackern und der Werbung unendlich häufig neue und zufällige auf DNS basierende Domains zugewiesen werden. Besonders relevant ist dies, weil reguläre Browsererweiterungen keinen Zugriff auf die DNS-Ebene haben. Hierdurch wird es ihnen unmöglich gemacht die verwendeten CNAMEs zu erkennen. Folglich kann eine Domain auf der „Host Liste“ erfasst sein, der aber dem AdBlocker trotzdem verborgen bleibt.
Auch wenn die neu kreierten CNAMEs sukzessive zur „Host Liste“ ergänzt werden, bleibt es dem Werbetreibenden unbenommen seine Domain einfach hinter weiteren neu erstellten CNAMEs zu verstecken. Dieses Katz-und-Maus-Spiel kann quasi unendlich fortgesetzt werden. Außerdem können Firmen durch diese DNS Cloaking Technik sehr leicht Fingerprinting-Eigenschaften wie IP Adressen, das verwendete Betriebssystem oder auch die Browserversion – ohne abhängig von einem Cookie zu sein – erfassen.
Was hilft gegen CNAME Cloaking?
Da die bekannten AdBlocker gegen diese Technik nicht erfolgreich eingesetzt werden können, ist es fraglich, wie wir unsere Privatsphäre zukünftig gegen CNAME Cloaking schützen können. Bisher gibt es noch keine finalen Lösungen. Trotzdem finden sich anbei zwei Vorstöße, die es sich lohnt zu erproben.
Mike Kuketz hat bereits im November 2019 eine Beta-Version von uBlock Origin vorgestellt, die vor CNAME Cloaking schützen kann. Dafür muss u.a. die jeweils aktuelle Version von uBlock Origin installiert und Firefox als Browser verwendet werden (aber keine Lösung für Chrome). Weitere notwendige Schritte finden sich detailliert in seinem Blog und sind nach dem Selbstversuch unsererseits als leicht umsetzbar einzustufen. Dennoch bleibt bei der Verwendung zu bedenken, dass sich die Anwendung in der Erprobungsphase befindet. Auch wenn wir keine Performance-Einschränkungen weder des Browsers noch des Rechners bemerken konnten, kann dies nicht ausgeschlossen werden.
Zudem proklamierte NextDNS, dass sie der erste Anbieter seien, die erfolgreich CNAME Cloaking abwehren könnten. In einem Beitrag auf medium.com stellen sie dar, dass ihr AdBlocker entsprechend DNS-basiert agiert und somit auch neue CNAMEs herausfiltern kann. Sollten die Tracking-Unternehmen dennoch die Strategien ändern und gegeben falls anstelle von CNAMEs zukünftig z. Bsp. NS Records verwenden, wäre NextDNS nach eigenen Aussagen auch darauf vorbereitet. Ein Unternehmen und dessen Ideen wir weiter im Auge behalten werden.
Die Zukunft von AdBlocker vs. Tracker
User müssen daher auch in Zukunft weiter wachsam sein. Die Werbe- und Trackingindustrie schläft nicht und wird weiter versuchen Wege zu finden, um AdBlocker „auszutricksen“. Bei den meisten Usern wird das durch CNAME Cloaking auch noch für eine Weile bestens funktionieren bis Browser-Addons oder die Browser selbst, die sich noch in den Testphasen befindenden Anwendungen, einbinden können. Es bleibt jedenfalls spannend bis zur nächsten Runde AdBlocker vs. Tracker.
Leider ist der kostenlose eBlocker (eBlocker.org) nicht als Lösung gegen CNAME-Cloaking genannt.
Bereits bei der Konzeption vor über fünf Jahren haben wir den Tracking Trick bedacht und gelöst. Durch Pattern Matching auf dem TCP/IP Strom werden diese (und viele weitere) trickreichen Tracking-Methoden in Echtzeit erkannt und geblockt.
Da eBlocker Open Source ist, kann jeder Interessierte auf github.com/eblocker die technischen Details zur Funktionsweise nachlesen und den Code validieren. Tatsächlich ist uns bis heute kein Anti-Tracking Tool bekannt, das diese Leistung bringt.
Ich darf an dieser Stelle anmerken, dass dies keine Schleichwerbung ist, denn eBlocker ist heute kostenlos, wird nur über Spenden finanziert und hat kein verstecktes Business Model. Vielleicht darf ich auch nicht unerwähnt lassen, dass ich vor über 20 Jahren mit etracker.com einen Datenschutz-konformen Tracker gegründet habe – und mich daher etwas in dem Bereich auskenne… ;-)