| Letztes Update:

Nutzer veralbern mit CNAME Cloaking

Über Sinn oder Unsinn des client-seitigen Content-Blockings (z.B. Werbung) kann man viel diskutieren. Ich blocke immer. Aber nicht, weil ich den Publikationen die Werbeeinnahmen nicht gönne. Sondern weil es die Medienbrache bis heute nicht geschafft hat, Werbemaßnahmen zu entwickeln, die mir Sicherheit und Privatsphäre garantieren. Solange es das nicht gibt, blocke ich weiter.
Aaaaber: Hier geht's jetzt nicht um Werbung, sondern um das mutwillige, perfide Aushebeln von Maßnahmen, die u.a. die Privatsphäre der User schützen sollen.

Wenn ihr euch wenigstens rudimentär mit der Funktionsweise von Ad- bzw. Content-Blockern beschäftigt habt, dann wisst ihr vielleicht: Die nutzen so genannte Blacklists, um Domains oder URLs webzublocken, die Werbung, Tracking-Scripts oder anderen unerwünschten Content ausliefern.

Das läuft in einem einfachen, problemlosen Fall so:

  1. Ihr ruft eine Website auf, etwa hellodolly.org - mein Lieblings-Puppenmagazin.
  2. Diese Website lädt möglicherweise auch Ressourcen (z.B. Werbebanner) von einer Dritt-Domain nach, z.B. doubleklickmist.net
  3. Euer Werbeblocker erschnüffelt diese externe Domain doubleklickmist.net und verhindert, dass die Ressourcen von dort geladen werden
  4. Ihr seht also die schöne Website hellodolly.org, aber keine Werbung von doubleklickmist.net

Soweit so simpel. Aber was ist schon immer simpel?

Es gibt verschiedene Methoden, dieses userseitige Blockieren von Content zu erkennen, zu bestrafen oder komplett zu umgehen. Eine davon involviert CNAME-Records im Kontext der Domainsteuerung. Wie Domains grundsätzlich verwaltet und gesteuert werden, könnt ihr hier nachlesen, das muss ich nicht im Detail erklären.

Ein CNAME-Record ist Bestandteil eines Sets von Anweisungen, mit denen man die Funktionsweise von Domains steuern kann. CNAME ist die Kurzform von "canonical name". Was tut der CNAME-Record? Im Prinzip deklarieren, dass shit-ad.doubleklickmist.net auch unter superduper.hellodolly.org erreichbar ist (CNAME funktioniert - vereinfacht gesagt - nur mit Subdomains). Und da hellydolly.org als Second Level Domain (SLD) ja unverdächtig ist (handelt sich ja schließlich um mein Lieblings-Puppenmagazin!), wird ein Adblocker und auch ein User zunächst mal annehmen, dass superduper.hellodolly.org vertrauenswürdig ist und nix Böses will. Aber tatsächlich versteckt sich dahinter der Mist von shit-ad.doubleklickmist.net.

Stichproben

Die erste deutsche Publikation, die mir aus dem Stegreif so einfiel, der ich Nutzer-Verarsche in Form von CNAME-Cloaking zutraue, ist... na wer? Genau, Volkes Stimme von Springer.

Die haben seinerzeit als eine der ersten, wenn nicht gar als DIE erste große Website in der deutschen Presselandschaft Cookie- bzw. Adblock-Blocker-Walls eingesetzt, um Nutzer dazu zu zwingen, Tracking und Werbung zuzulassen. Oder sich halt zu schleichen. Dem Laden traue ich grundsätzlich alle miesen Methoden zu.

Und, was soll ich sagen? Ich wurde nicht enttäuscht.

Schauen wir halt mal rum, was so an Ressourcen von kryptisch benannten Bild-Subdomains kommt, die sind als erste verdächtig. Wer bild.de lädt, dem werden u.a. Inhalte von cmp2.bild.de geliefert.

Ein dig auf cmp2.bild.de ergibt:
cmp2.bild.de. 439 IN CNAME cdn-75.privacy-mgmt.com.

Schau, schau. Wieso verstecken die denn Content von privacy-mgmt.com unter einer Bild-Subdomain?

Hinter privacy-mgmt.com verbirgt sich ein Anbieter, der u.a. Cookie-Walls im Portfolio hat. Blockt man die Bude weg, z.B. via Adblocker, wäre das ja doof für Bild, denn dann könnten User rumsurfen, ohne jemals dem Tracking zugestimmt zu haben.

Die zweite Publikation, die mir so in diesem Medienbanditen-Kontext einfiel, war das selbsternannte Sturmgeschütz der Demokratie. Auch hier wurde ich nicht enttäuscht:
sams.spiegel.de. 21539 IN CNAME spiegel.de.ssl.sc.omtrdc.net.

Wohin gehört die SLD omtrdc.net? Zu Omniture bzw. Adobe. Und was ist deren Business? Web Analytics und Usertracking. Warum genau würde man das Tool verstecken wollen? Ausgerechnet dieses?

(Mehr oder weniger) Valide Gründe für CNAME Cloaking

Es lassen sich technische Gründe zusammenphantasieren, z.B. Multidomain-SSL-Zertifikate oder anwendungsspezifische Cross-Domain-Probleme. Ich hatte in der Vergangenheit z.B. das Pech, als Entwickler an einer sehr kruden Online-Plattform für die Vermietung von Wohnmobilen arbeiten zu müssen. Aufgrund des Setups, das mehrere Bestandteile (Web-Frontend, Buchungssoftware, Bezahlplattform) unterschiedlicher Anbieter und von unterschiedlichen Servern/Domains unter einen Hut bringen sollte, mussten wir tricksen, um es für den Enduser und seinen Browser so aussehen zu lassen, als wäre alles aus einem Guss - um Warnmeldungen und Misstrauen zu vermeiden. Da wurde unter anderem mit Reverse-Proxies und mit CNAME gearbeitet. Alles sehr kaputt und fehleranfällig und nicht vertrauenerweckend.

Am Ende des Tages passiert in allen o.g. Fällen jedenfalls genau das, was kritisiert wird: Man verschleiert die Herkunft von Ressourcen, und es soll mir keiner erzählen, dass sich das nicht anderweitig und mit der gebotenen Transparenz lösen ließe.

Ich hatte ja erwartet, dass Volkes Stimme den Contest für das verwerflichste Cloaking gewinnt, aber nein - tatsächlich ists das Sturmgeschütz. Die verstecken sogar Usertracking, das ist so ungefähr die mieseste Nummer. Vielleicht hab ich auch noch weitere Schätze übersehen, war ja nur eine Stichprobe.

Weiterführender Artikel, was gegen das CNAME-Cloaking unternommen wird.

P.S. Das Puppenmagazin hellodolly.org gibt's nicht wirklich (falls jemand verzweifelt versucht hat...) o_O

EDIT: Anekdote Womo-Plattform hinzugefügt.