Inoffizielles Vodafone-Kabel-Forum

Rückkehr der Super-Cookies

Bisher leiten Mobilfunkprovider den Datenverkehr ihrer Kunden weitgehend unangetastet ins Internet weiter. Vodafone und Deutsche Telekom wollen das ändern. Datenschützer sind alarmiert.

https://www.spiegel.de/netzwelt/netzpol ... b5f51ab942

Zusammen mit der Deutschen Telekom will Vodafone eine Art Super-Cookies einführen, mit der die Kunden über eine feste Kennung für Werbetreibende identifizierbar werden. Auf https://trustpid.com/ wird sogar albern argumentiert, dass dies dazu diene, das freie Internet zu erhalten. Ich konnte gerade keine technischen Erklärungen finden, wie TrustPid genau funktioniert.

Telekom und Vodafone haben eine Lobby-Kampagne bei der EU gestartet. Sie wollen, "dass sie den Datenverkehr ihrer Endkunden selbst monetarisieren dürfen". Natürlich geht es dabei nur um die Finanzierung des Netzausbaus. Angebote wie iCloud Privat-Relay (und vermutlich allgemein VPN-Provider) sind ihnen dabei ein Dorn im Auge.

Das System wird aktuell nur testweise für Mobilfunkkunden eingesetzt und bild.de scheint momentan noch der einzige Kunde zu sein. Ich poste das aber trotzdem in diesem Forum, da man vermutlich davon ausgehen kann, dass bei Erfolg Vodafone ihre Super-Cookies ausweiten wird.

Aus meiner Sicht ist diese Initiative unseriös und nicht mit der DSVGO vereinbar. Schon gar nicht, wenn dies nur als Opt-Out umgesetzt wird. Ich finde es auch erschreckend, wie oft mittlerweile Vodafone und Telekom einer Meinung sind, siehe z.B. Angriffe gegen die Netzneutralität (Stream On und Vodafone Pass sowie die Initiativen, dass Anbieter an den Netzwerkkosten beteiligt werden sollen).

Edit 07.05.2023: Betreff um Utiq erweitert.

Naja ,Cookies kan man löschen und auch blockieren.

Genau deswegen werden ja auch keine normalen Cookies genutzt sondern es wird ein HTTP Header in die Anfrage des Nutzers eingefügt, das kann man dann nicht mehr wirklich unterbinden wenn die HTTP Anfrage über den Provider gesendet wird.

Samchen hat geschrieben: ↑29.05.2022, 14:09 Naja ,Cookies kan man löschen und auch blockieren.

Was ca. 80% der Nutzer leider nicht machen.

Diese Cookies werden aber beim Netzbetreiber hinterlegt, die kannst du gar nicht blockieren und löschen.

NoNewbie hat geschrieben: ↑29.05.2022, 14:51 Diese Cookies werden aber beim Netzbetreiber hinterlegt, die kannst du gar nicht blockieren und löschen.

Dann gehört es sich komplett verboten bevor es überhaupt kommt, finde ich auch eher unseriös und objektiv schon gar nicht b.z.w. neutral.

Flole hat geschrieben: ↑29.05.2022, 14:48 Genau deswegen werden ja auch keine normalen Cookies genutzt sondern es wird ein HTTP Header in die Anfrage des Nutzers eingefügt, das kann man dann nicht mehr wirklich unterbinden wenn die HTTP Anfrage über den Provider gesendet wird.

Jetzt musst Du aber noch erklären, wie das mit HTTPS funktionieren soll! Ich bin gespannt...

Rate mal warum ich extra von einer HTTP-Anfrage geschrieben habe, HTTPS ist (für mich) nicht HTTP. Und wenn du schonmal dabei bist rate mal, warum ich das "wenn ... über den Provider gesendet wird" eingefügt habe

Flole hat geschrieben: ↑29.05.2022, 15:42 Rate mal

Ja, raten darf man bei Deinem Beitrag offenbar:

Flole hat geschrieben: ↑29.05.2022, 14:48 Genau deswegen werden ja auch keine normalen Cookies genutzt sondern es wird ein HTTP Header in die Anfrage des Nutzers eingefügt

Das ist nicht im Konjunktiv geschrieben, liest sich also wie eine Faktendarstellung. Ist dem also so, dass Du exakte Kenntnis über das Verfahren hast?

Denn wenn das tatsächlich so funktionieren sollte wie von Dir beschrieben, hätte das ganze eher etwas von einer Scheindiskussion: Aktuelle Webbrowser forcieren https, und damit funktioniert das Verfahren überhaupt nicht.

In dem verlinkten Spiegel-Artikel liest sich das für mich allerdings etwas anders, da klingt das nach einem "out of band" Verfahren, bei dem der Webseitenbetreiber den Ursprung der Anfrage beim Netzbetreiber anfragen kann. Das ließe sich auch viel besser monetarisieren, denn dann könnte der Netzbetreiber jede Anfrage abrechnen.

So oder so ließe sich das Verfahren auch ganz schick auf Festnetz erweitern. Vermutlich ist davon noch nicht die Rede, weil man es dort häufiger mit "Mehrnutzerszenarien" zu tun hat. Was sich allerdings im Falle eines Leihrouters in gewissem Maße auch wieder auseinanderdividieren ließe...

Flole hat geschrieben: ↑29.05.2022, 15:42 HTTPS ist (für mich) nicht HTTP

HTTPS ist einfach HTTP über eine verschlüsselte (TLS) Verbindung.

Mich würde schon interessieren, wie dieses TrustPid umgesetzt wird. Ich denke eher nicht, dass sie HTTP-Header manipulieren. Das würde erfordern, dass die Seite, die das Super-Cookie kriegen will, einen unverschlüsselten HTTP-Request starten muss. Mixed Content wird aber immer öfter blockiert. Vielleicht manipulieren sie die TCP-Pakete auf eine Weise, dass der Payload (die verschlüsselte HTTP-Anfrage) nicht beeinträchtigt wird?

Edit: Oder wie eben von robert_s geschrieben, könnten die Webseiten vielleicht eine Anfrage an Vodafone starten (in der Art "Gib mir den Identifier des Kunden, der bei dir gerade die IP x hat").