[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Do not track: Apache mod_usertrack vs. HTTP_DNT

Subject: Do not track: Apache mod_usertrack vs. HTTP_DNT
From: Raphael Eiselstein <rabe@xxxxxxxxx>
Date: Sat, 24 Dec 2011 02:23:03 +0100
To: uugrn@xxxxxxxxxxxxxxx
Hallo zusammen,

in Mozilla Firefox und vermutlich weiteren Browsern gibt es eine "do not
track" Einstellung, die man als Benutzer setzen kann. Diese soll dem
Betreiber einer Webseite ermoeglichen, diesem Wunsch nachzukommen.

Siehe http://dnt.mozilla.org/

Man kann das Flag in ein Logfile schreiben und spaeter beim Auswerten
dann erstmal alle Zeilen wegwerfen, wo hier der Wert 1 enthalten ist.
Dazu definiert man sich in seinem LogFormat an gewuenschter Stelle
folgendes:

httpd.conf:
----------------
        LogFormat "...\"%{HTTP_DNT}e\"..." meinformat
----------------

Das funktioniert, weil Apache 2.2 (hier hab ich es ausprobiert), eine
Umgebungsvariable "HTTP_DNT" erzeugt, wenn im Client-Request ein "DNT=1"
mitgeliefert wird.

Auf Applikationsebene ist das also recht einfach, zB in PHP, diese
Umgebungsvariable pro Request abzufragen und entsprechend zu reagieren.

Will man als Betreiber nun Analysezwecken eben doch Clickstrecken
aufzeichnen, will man das moeglicherweise datenschutzkonform tun, indem 
man dem Wunsch des Users an dieser Stelle nachkommt. Tracking will man 
nicht in die Applikation einbauen, wenn es nicht erforderlich ist, Apache 
liefert mit mod_usertrack was passendes mit.

Die Doku zu mod_usertrack zeigt, wie man basierend auf den Cookies
eigene tracking-Logs aufzeichnen kann. Leider vermisse ich in
mod_usertrack die Moeglichkeit der Datensparsamkeit im Falle von HTTP_DNT==1

Immerhin kennt die Direktive CustomLog einen optionalen Parameter, ueber
den man in Abhaengigkeit vom Environment loggen kann oder eben nicht.

So stehts in der Doku zu mod_usertrack:
----------------
CustomLog logs/tracking.log meinformat
----------------

... und so respektiert man den Wunsch des Users:
----------------
CustomLog logs/tracking.log meinformat env=!HTTP_DNT
----------------

Offene Fragen fuer mich sind:
* Ist DNT ein Mozilla-Alleingang oder gibt es da eine (andere) 
  Form von Standardisierung? RfC?

* Rechtliche Rahmenbedingungen Opt-In / Opt-Out?

* Warum kann mod_usertrack scheinbar kein "do-not-track"?

* Gibt es einen Workaround in httpd.conf, dass das Tracking-Cookie bei 
  DNT gar nicht erst gesetzt wird? 

  Kann man in Apache sinngemaess sowas bauen wie 
----------
    if ! env[HTTP_DNT] {
        [... beliebige Direktive, httpd.conf ...]
    }
----------

Damit liesse sich z.B. die Direktive ueberspringen
----------
    CookieTracking on
----------

Ideen? Anregungen? Hab ich was uebersehen?

MfG
Raphael

* http://dnt.mozilla.org/
* http://httpd.apache.org/docs/2.2/mod/mod_log_config.html#customlog
* http://httpd.apache.org/docs/2.2/mod/mod_usertrack.html


-- 
Raphael Eiselstein <rabe@xxxxxxxxx>               http://rabe.uugrn.org/
xmpp:freibyter@xxxxxx  | https://www.xing.com/profile/Raphael_Eiselstein   
GnuPG:                E7B2 1D66 3AF2 EDC7 9828  6D7A 9CDA 3E7B 10CA 9F2D
.........|.........|.........|.........|.........|.........|.........|..



-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/