Image Credit: heise online
Kürzlich wurde ich von heise online über eine Möglichkeit informiert, mit der sich Internet-Service-Provider am Big-Data-Geschäft beteiligen können. Der US-Amerikanische Internet-Service Provider Verizon soll in den HTTP-Header einen UID-Header einbauen. Mit dieser sogenannten „PrecisonID“ möchte Verizon den Anzeigennetzen Informationen liefern, um Werbung auf Mobilgeräten möglichst zielgerichtet auszuliefern.
Supercookie: US-Provider Verizon verkauft Daten über seine Kunden | heise Security
Verizon dokumentiert in seinen FAQs zum Relevant Mobile Advertising zwar einen Opt-out für seine Kunden. Doch der führt offenbar nur dazu, dass Verizon im Rahmen von Precision Market Insights keine Daten mehr zu der jeweiligen UIDH rausgibt; eine Option das Einschleusen des Tracking-Headers ganz abzuschalten, gibt es nach unserem bisherigem Kenntnisstand nicht.
Siehe auch diesen Heise-Artikel.
Entsprechend HTTP/1.1 Standard wird die „PrecisonID“ – auch genannt „Super-Cookie“ – als Header-Field in eine HTTP-Message eingefügt: „Each header field consists of a name followed by a colon („:“) and the field value.“ (RFC2616). Der „field-name“ ist „x-uidh“. Anbei ein Message-Header mit mehreren Header-Fields eines HTTP-Request:
GET /rfcview/RFC/2616.html HTTP/1.1 Host: www.rfcsearch.org User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:41.0) Gecko/20100101 Firefox/41.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: de,en-US;q=0.7,en;q=0.3 Accept-Encoding: gzip, deflate Cookie: userid=<EineZahlenKolonne>; websession=<EineZahlenKolonne> Connection: keep-alive Cache-Control: max-age=0
Werden HTTP-Messages über eine gesicherte Verbindung gesendet, so kann der Internet-Service-Provider ohne Man-In-The-Middel Attacke das „Super-Cookie“ nicht einschleusen. Gesicherte HTTP-Verbindungen können über SSL (Secure Socket Layer) via Port 443 oder über TLS (Transport Layer Security) via Port 80 aufgebaut werden.
Du muss angemeldet sein, um einen Kommentar zu veröffentlichen.