FLoC - Federated Learning of Cohorts

Inhaltsverzeichnis
  1. Umsetzung
  2. Kontrolle
  3. Weitere Links

Google hat eine neue Variante gestartet, mit der Besucher einer Webseite besser "klassifiziert" werden sollen, wenn 3rd Party Cookies immer häufiger geblockt werden. Anstatt die individuelle Person möglichst genau zu profilieren werden nun "Gruppen" (Kohorten) gebildet, denen ein Besucher thematisch zugeordnet werden. Das soll der Werbewirtschaft weiterhin genug Informationen liefern, welcher Typ Besucher gerade auf der Webseite ist um dann die "passende Werbung" einzublenden. Die Werbebranche hofft damit wohl, dass die Anwender weniger aktiv gegen Cookies vorgeht oder Werbeblocker einsetzt. Werbung ist nun mal ein großer Wirtschaftszweig.

Ich habe auf mehreren Seiten ja schon meine Einschätzung zu Cookies, Werbewirtschaft, Banner etc. beschrieben:

Es sollte Sie daher nicht verwundern, dass ich meine Leser der MSXFAQ auch vor diesem Tracking schützen möchte. Auch FloC kann durchaus dazu führen, das z.B. alle Personen mit bestimmten Interessen, politischen Ansichten o.ä. als Kohorte zusammengefasst werden. Da wäre dann die Information über den Besuch der MSXFAQ eben auch ein, wenngleich vermutlich unkritischer Indikator für ihre Interessen

Umsetzung

Technisch gibt es dazu zwei Optionen:

  1. Ihr Browser verhindert dies
    Sie können ihren Browser anweisen, einfach FLoC nicht zu unterstützen, Anscheinend ist das auch der Default bei vielen Browsern
  2. Webseiten-Policy
    Über einen HTTP-Header kann eine Webseite den Browser anweisen, FLoC zu unterbinden

Die Erweiterung des HTTP-Headers durch eine kurze Zeile ist eine leichte Übung.

Header: Permissions-Policy: interest-cohort=()

Entsprechend habe ich in der "HTAccess"-Datei eines Apache-Webservers beim Hoster folgenden Eintrag addiert.

# Abschaltung von Google FLoC
Header set Permissions-Policy "interest-cohort=()"

Der Header landet natürlich nicht im HTML-Content.

Kontrolle

Ob die Einstellung aktiv geworden ist, kann ich einfach per PowerShell kontrollieren:

PS C:\> (Invoke-WebRequest https://www.msxfaq.de).headers

Key                       Value
---                       -----
Date                      {Fri, 28 May 2021 09:24:39 GMT}
Connection                {keep-alive}
Server                    {Apache}
X-Frame-Options           {SAMEORIGIN}
ETag                      {"6391-5c3231835bd40"}
Accept-Ranges             {bytes}
Cache-Control             {must-revalidate, private}
Vary                      {Accept-Encoding}
Content-Security-Policy   {default-src 'self' ; style-src 'self' 'unsafe-inline'; frame-src 'self' www.youtube.com; im…
Referrer-Policy           {origin-when-cross-origin}
X-XSS-Protection          {1; mode=block}
X-Content-Type-Options    {nosniff}
Strict-Transport-Security {max-age=31536000; includeSubDomains}
Permissions-Policy        {interest-cohort=()}
Content-Type              {text/html}
Content-Length            {25489}
Last-Modified             {Tue, 25 May 2021 08:13:01 GMT}
Expires                   {Fri, 28 May 2021 09:32:59 GMT}

Hier sehen Sie neben dem Eintrag "Permissions-Policy        {interest-cohort=()}" auch all die anderen Header, die ich noch setze, z.B.: "Content-Security-Policy", "Referrer-Policy", "X-XSS-Protection", "X-Content-Type-Options" und "Strict-Transport-Security"

Weitere Links