Cname-Cloaking: Das neue Tracking, Blacklists sinnlos?

Ich fand hier einen Beitrag, der darauf hinwies und wollte daran anschließen.
Ich finde ihn aber trotz Suche nicht wieder, will es aber diskutieren, weil meine Schutzmechanismen wohl veraltet sind: uBlock und Blacklist im Router?

Ich habe mal ChatGPT gefragt, was Cname-Cloaking ist:

CNAME-Cloaking ist eine Tracking-Methode, die immer populärer wird, da sie die meisten Anti-Tracking-Maßnahmen von Webbrowsern umgeht. Dabei wird ein Tracker im Kontext der Erstpartei, also der besuchten Website, injiziert, indem eine Subdomain der Website als Alias für die Domain des Trackers genutzt wird, die auf einem Drittanbieter-Server gehostet wird. Dies geschieht durch eine DNS-Delegation, meistens mittels eines CNAME-DNS-Eintrags. Die meisten Anti-Tracking-Technologien basieren auf Filterlisten, welche durch CNAME-Cloaking unwirksam gemacht werden, weil sie die getarnten Tracker nicht erkennen können. Firefox ist derzeit der einzige große Browser, der Verteidigungsmaßnahmen gegen diese Technik anbietet, indem Erweiterungen wie uBlock Hostnamen dynamisch auflösen und entsprechende Anfragen bereinigen können. CNAME-Cloaking führt auch zu erheblichen Sicherheits- und Datenschutzproblemen, wie Sitzungsfixierungen, anhaltenden Cross-Site-Scripting-Schwachstellen und massiven Cookie-Leaks, was die Datenschutzregelungen wie die DSGVO oder CCPA verletzen könnte oai_citation:1,Erroroai_citation:2,CNAME-based tracking increasingly used to bypass browsers’ anti-tracking defenses - Help Net Security

Weiß jemand, ob ich im FF etwas einstellen/aktivieren muss, um die gelobte Funktion zu erhalten?
Oder ist das dieses Ablegen der Offline-Dateien in getrennte Verzeichnisse, auch wenn dieselbe Domain aber eine andere Sudomain „agiert“?

1 „Gefällt mir“

Diese Technik ist seit ein, zwei Jahren bekannt. Mit uBlock Origin auf Firefox bist du jedoch geschützt: https://github.com/gorhill/uBlock/wiki/uBlock-Origin-works-best-on-Firefox

3 „Gefällt mir“

Ok, danke! Weißt wie uBlock das macht?

Die Information bekommt uBlock Origin vermutlich von Firefox. Das wird auch in dem Infopanel mit einem zweiten, kleineren Domainnamen und blauer Schrift dargestellt.

1 „Gefällt mir“

Firefox stellt dafür eine API zur Verfügung.
https://github.com/uBlockOrigin/uBlock-issues/issues/780

1 „Gefällt mir“

Ja, die muss man aber nicht aktiv nutzen.
Es funktioniert offenbar einfach so.
Allerdings beunruhigt mich, dass ich nirgends in uBlock origin (Vs. 1.48) einen Hinweis finde.
Weiß jemand, ob man irgendwo in uBlock erkennen kann bzw. das vielleicht sogar ein-/ausschalten kann?

Ich find es ja bemerkenswert, wie sensibel die Überwacher auf Abweichler bzw. Selbstschützer reagieren! Ich schätze die, die sich selbst aktiv gegen Tracking schützen auf weniger als 10 % … und dennoch dieser Aufwand, vom Kunden eine Subdomain zu verlangen? :wink:

Hier ist wohl der grundlegende Heise-Bericht (2019) und dies eine zwei Jahre späterer über Cname-Cloaking, dort heißt es, ganz am Schluss u.a.

So hat die beliebte Adblock-Software uBlock Origin bereits eine Technik integriert, um solche Cookie-Umleitungen zu vermeiden. Allerdings funktioniert dies wegen API-Einschränkungen nicht auf chromium-basierten Browsern. Hier müssen die gewöhnlichen Blocklists nach bekannten Tracking-Techniken suchen.

Find ich prima, dass die Google-Browser außen vor sind! :partying_face:

Aber … mmhhh … Schnittstelle?! Hat Mozilla dadurch ständig meine aktuelle IP-Adresse? :face_with_symbols_over_mouth:

Hier bei Kuketz gab es dazu auch schon diesen Beitrag:
https://www.kuketz-blog.de/tracking-wettruesten-das-cname-cloaking/

und hier der Link auf die uBlock Version ab 1.25 aus dem Kuketz Artikel
https://github.com/gorhill/uBlock/releases/tag/1.25.0
mit den Hinweis, dass in uBlock CNAME-uncloaked network requests als blaue Einträge in dem uBlock Pop-up Panel gekennzeichnet sind.

So wie ich es verstanden habe, war ab Version 1.25 der Cname-Cloaking Schutz in den erweiterten Einstellungen zu finden und ist ab Version 1.34 nicht mehr „versteckt“ und standardmäßig auf an gestellt. Zu finden in den uBlock Einstellungen unter „Datenschutz“->„Kanonische Namen auflösen (Uncloak canoical names)“, siehe auch:
https://github.com/gorhill/uBlock/wiki/Dashboard:-Settings#uncloak-canonical-names

3 „Gefällt mir“

Nein, mit Schnittstelle ist eine Browser-Schnittstelle gemeint, über die ein Addons mit dem Browser „kommuniziert“, z.B. DNS

2 „Gefällt mir“

Nein, ist nicht sinnlos, denn zum Beispiel „Pi-hole unterstützt die dafür notwendige deep CNAME inspection seit 2020 ab Version Pi-hole 5
https://discourse.pi-hole.net/t/pi-hole-und-cname-cloaking/54123/2

1 „Gefällt mir“

Vielen Dank für eure Beiträge! :smiley:

Ja, die blauen Einträge, die gibt es massenhaft bspw bei Spiegel.de, Focus.de und FAZ.net.

Zumeist für akamai bzw. akamaiedge und cloudfront.
Aber auch für „privacy-mgmt“ - höhnisches Gelächter?

Der interessante Beitrag von 2021 auf Kuketz-Seiten hat keinen Autornamen. Absicht? Oder übersehe ich da etwas?

Verstehe ich richtig, dass FF selbst nicht schützt, sondern nur die Möglichkeit eröffnet ein schützendes uBlock einzusetzen?

ps.
Damit wir nicht bald wieder überrascht werden, weiß schon jemand, wie man uBlock origin derzeit wieder zum Nachteil der Nutzer aushebelt? Offenbar reagieren die Datenkraken ja sehr nervös und verärgert auf auch nur eine geringe Anzahl von sich selbst schützenden Personen … und sie dürften bereits jetzt am next-big-thing arbeiten?