Do not track: Apache mod_usertrack vs. HTTP_DNT

Autor: Raphael Eiselstein <rabe_at_uugrn.org>
Datum: Sat, 24 Dec 2011 02:23:03 +0100
Hallo zusammen,

in Mozilla Firefox und vermutlich weiteren Browsern gibt es eine "do not
track" Einstellung, die man als Benutzer setzen kann. Diese soll dem
Betreiber einer Webseite ermöglichen, diesem Wunsch nachzukommen.

Siehe http://dnt.mozilla.org/

Man kann das Flag in ein Logfile schreiben und später beim Auswerten
dann erstmal alle Zeilen wegwerfen, wo hier der Wert 1 enthalten ist.
Dazu definiert man sich in seinem LogFormat an gewünschter Stelle
folgendes:

httpd.conf:
----------------
        LogFormat "...\"%{HTTP_DNT}e\"..." meinformat
----------------

Das funktioniert, weil Apache 2.2 (hier hab ich es ausprobiert), eine
Umgebungsvariable "HTTP_DNT" erzeugt, wenn im Client-Request ein "DNT=1"
mitgeliefert wird.

Auf Applikationsebene ist das also recht einfach, zB in PHP, diese
Umgebungsvariable pro Request abzufragen und entsprechend zu reagieren.

Will man als Betreiber nun Analysezwecken eben doch Clickstrecken
aufzeichnen, will man das möglicherweise datenschutzkonform tun, indem 
man dem Wunsch des Users an dieser Stelle nachkommt. Tracking will man 
nicht in die Applikation einbauen, wenn es nicht erforderlich ist, Apache 
liefert mit mod_usertrack was passendes mit.

Die Doku zu mod_usertrack zeigt, wie man basierend auf den Cookies
eigene tracking-Logs aufzeichnen kann. Leider vermisse ich in
mod_usertrack die Möglichkeit der Datensparsamkeit im Falle von HTTP_DNT==1

Immerhin kennt die Direktive CustomLog einen optionalen Parameter, über
den man in Abhängigkeit vom Environment loggen kann oder eben nicht.

So stehts in der Doku zu mod_usertrack:
----------------
CustomLog logs/tracking.log meinformat
----------------

... und so respektiert man den Wunsch des Users:
----------------
CustomLog logs/tracking.log meinformat env=!HTTP_DNT
----------------

Offene Fragen für mich sind:
* Ist DNT ein Mozilla-Alleingang oder gibt es da eine (andere) 
  Form von Standardisierung? RfC?

* Rechtliche Rahmenbedingungen Opt-In / Opt-Out?

* Warum kann mod_usertrack scheinbar kein "do-not-track"?

* Gibt es einen Workaround in httpd.conf, dass das Tracking-Cookie bei 
  DNT gar nicht erst gesetzt wird? 

  Kann man in Apache sinngemäß sowas bauen wie 
----------
    if ! env[HTTP_DNT] {
        [... beliebige Direktive, httpd.conf ...]
    }
----------

Damit ließe sich z.B. die Direktive überspringen
----------
    CookieTracking on
----------

Ideen? Anregungen? Hab ich was übersehen?

MfG
Raphael

* http://dnt.mozilla.org/
* http://httpd.apache.org/docs/2.2/mod/mod_log_config.html#customlog
* http://httpd.apache.org/docs/2.2/mod/mod_usertrack.html


-- 
Raphael Eiselstein <rabe@uugrn.org>               http://rabe.uugrn.org/
xmpp:freibyter@gmx.de  | https://www.xing.com/profile/Raphael_Eiselstein   
GnuPG:                E7B2 1D66 3AF2 EDC7 9828  6D7A 9CDA 3E7B 10CA 9F2D
.........|.........|.........|.........|.........|.........|.........|..


-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/

Empfangen am 24.12.2011

Dieses Archiv wurde generiert von hypermail 2.2.0 : 24.12.2011 CET