Apple ändert Safaris Tracking-Blockade für Facebook Likes

Apple mildert die Intelligent Tracking Prevention (ITP) im Browser Safari für Social Media ab. Apple hatte ITP zusammen mit iOS 11 ausgerollt. Damit sollten Werbetreibende daran gehindert werden, Anwender über einen längeren Zeitraum zu tracken. ITP beschränkte Cookies von Drittherstellern auf 24 Stunden. Sofern der Nutzer nicht die Seite innerhalb von 30 Tagen wieder besucht, werden die von den Web-Seiten gesetzten Cookies gelöscht.

Mit Storage Access API bietet Apple WebKit-Entwicklern eine Möglichkeit, die Begrenzungen durch Intelligent Tracking Prevention (ITP) zu umgehen (Bild: Apple)

Dieses Feature sorgt einerseits für eine verbesserte Privatsphäre für die Nutzer von Apples Safari. Doch wie Apple WebKit-Entwickler John Wilander in einem Blogeintrag erklärt, verhindert ITP auch berechtigte Features von sozialen Netzwerken wie Facebook. Davon betroffen sind unter anderem Kommentar-Felder, Like-Buttons und Video-Inhalten, die auf der Seite eines Drittanbieters eingebettet werden.

Aufgrund der Behandlung von Cookies durch den Tracking-Schutz, sorgt ITP in Safari bislang dafür, dass ein Nutzer, der Facebook 24 Stunden lang nicht besucht hat, dass auf Drittseiten Kommentare oder Likes unterdrückt werden. Das rührt daher, dass diese Seiten ja keinen Zugriff auf die Cookies haben, die, wie in diesem Beispiel von Facebook, gesetzt wurden.

„ITP entdeckt, dass solche Einbettungen auf mehreren Seiten ’socialexample.org‘ die Möglichkeit gibt, den Nutzer über mehrere Seiten zu verfolgen. Daher unterbindet es den Zugriff auf die eingebetteten Inhalte von ’socialexample.org‘ auf die First-Party-Cookies und stellt lediglich partitionierte Cookies bereit“, erläutert Wilander. Die Folge ist, dass ein Nutzer einen Inhalt weder liken noch kommentieren kann, sofern er nicht innerhalb von 24 Stunden auf der First-Party-Seite war.

Das gleiche gilt aber auch für Drittanbieter, die Payment-Services, Video oder eingebettete Dokumente oder andere beliebige soziale Widgets bereit stellen.

Facebook hatte schnell die Entwickler nach dem Rollout von iOS 11 vor den Folgen dieses Tracking-Schutzes auf Plugins, Analytics und Logins gewarnt. Anwender, die mit Safari mit Facebook.com interagieren, können diese Funktionen ohne Einschränkung nutzen. Weiter heißt es von Facebook:

„Alle Safari-Nutzer, die nicht facebook.com täglich besuchen, werden einen zusätzlichen Bestätigungsdialog durchklicken müssen, um die Social Plugins von Facebook wie Like, Comment oder Share nutzen zu können. Diejenigen, die mit Safari facebook.com länger als 30 Tage nicht besucht haben, müssen sich dann mit ihrem Nutzernamen und Passwort erneut einloggen, um diese Features oder das Facebook-Loging nutzen zu können.“

Jetzt sorgt Apple mit dem Storage Access Application Programming Interface (API) für ITP für Abhilfe. Diese Funktion erlaubt es Einbettungen von Drittanbieter, Zugriff auf die First-Party-Cookes zu bekommen, sobald der Nutzer damit interagiert, also indem er beispielsweise einen Button anklickt.

Damit bekommt Facebook iframe Zugriff auf die gleichen Cookies wie Facebook. So kann sich ein Thrid-Party-Embed authentifiziere, wenn ein Nutzer darauf klickt. Wilander betont aber, dass diese Lösung den Third-Party-iframes keinen Zugriff auf die Seite gibt, die die Inhalte einbettet. Wilander warnt daher WebKit-Entwickler vor dem Missbrauch des Storage Access APIs. Derzeit sehen die Nutzer keinen Dialog, wenn ein iframe die API aufruft, doch das könne sich ändern, wenn dies registriert werde.

[mit Material von Liam Tung, ZDNet.com]