Links anonymisieren – Vor- und Nachteile von Dereferrer-Services
Eine Grundfunktion des World Wide Webs sind Hyperlinks von einer Webseite zur anderen. Klickt ein Internetnutzer auf einen solchen Verweis, sendet dessen Browser eine HTTP-Anfrage an den Webserver, der die Zielseite ausgibt. Diese enthält im Header neben dem Hostnamen des Servers und der gewünschten Ressource in der Regel auch einen sogenannten Referrer. Dabei handelt es sich um einen optionalen Bestandteil, der die URL der verweisenden Webseite enthält und dem Server somit Informationen über die Herkunft des Besuchers übermittelt.
Die Bezeichnung Referrer leitet sich vom englischen to refer (deutsch: „verweisen“) ab. Anders als das Verb wird das Substantiv mit zwei r geschrieben. Die im HTTP-Umfeld gebräuchliche Falschschreibung Referer geht auf einen Rechtschreibfehler im ursprünglichen Request for Comments (RFC 1945) zurück. In anderen Standards wie dem DOM (Document Object Model) hingegen wird die korrekte Schreibweise verwendet (vgl. document.referrer).
Die Funktion des Referrers lässt sich an einem Beispiel verdeutlichen:
Die obenstehende Hinweisbox enthält einen weiterführenden Link zum RFC 1945. Wenn Sie diesem folgen, sendet Ihr Webbrowser innerhalb weniger Millisekunden eine GET-Anfrage an den Webserver der Internet Engineering Task Force (IETF). Der Klick auf den Hyperlink veranlasst Ihren Webbrowser, den Host mit dem Namen tools.ietf.org zu kontaktieren und von diesem die Datei /rfc/rfc1945.txt anzufordern. Als verweisende Seite (Referrer) wird die URL dieses Artikels angegeben. Der HTTP-Header, der dabei zum Einsatz kommt, beinhaltet somit (unter anderem) folgende Felder:
GET /rfc/rfc2068.txt HTTP/1.1
Host: www.ietf.org
Referer: https://www.ionos.at/digitalguide/hosting/hosting-technik/dereferrer-links-anonymisieren-leicht-gemacht/Der Betreiber des Webservers erfährt so, welche Webseiten auf das von ihm bereitgestellte Online-Angebot verlinken, kann diese Informationen im Rahmen von Analysen verarbeiten und bei Bedarf nutzerspezifische Inhalte ausspielen.
Weitere Felder des HTTP-Headers enthalten in der Regel Angaben zu dem von Ihnen verwendeten User-Agent sowie zu unterstützten Formaten, Sprachen, Zeichensätzen oder Kodierungsverfahren. Der Umfang der übermittelten Informationen richtet sich danach, welchen Webbrowser Sie verwenden und wie dieser konfiguriert ist.
Referrer-Daten in der Webanalyse
In der Regel speichern Webserver alle Informationen, die ihnen im Rahmen von Client-Anfragen übermittelt werden, in einer Protokolldatei, dem sogenannten Logfile. Dabei wird jede Anfrage als separate Zeile im Protokoll erfasst. Webseitenbetreiber nutzen diese Daten als Grundlage für Analysen, die ihnen nützliche Informationen zu den Besuchern ihres Online-Angebots liefen. Darüber hinaus kommt Analytics-Software zum Einsatz, die auf Skripten basiert und Referrer-Informationen sowie andere Metriken erfasst.
Speziell die im Referrer-Feld übermittelte Angabe ermöglicht statistische Auswertungen, die aufzeigen, von wo aus Besucherströme auf die Website gelangen. Auf diese Weise lassen sich Marketing-Maßnahmen wie Werbebanner, Affiliate-Links, bezahlte Einträge in Branchenverzeichnissen oder Gastartikel auf Fremdanbieter-Websites zuverlässig evaluieren und auf ihre Wirksamkeit hin überprüfen. Wichtige Erkenntnisse liefert die Referrer-Analyse zudem im Rahmen der Suchmaschinenoptimierung.
Bei Direkteinstiegen wird keine Referrer-Information übermittelt. Dies ist beispielsweise dann der Fall, wenn ein User die gewünschte URL manuell in die Suchleiste des Webbrowsers eintippt oder der Webseitenaufruf über ein Lesezeichen erfolgt.
Webanalyse-Tools ermöglichen es, das Referrer-Feld automatisch auszulesen und die gesammelten Daten als übersichtlichen Bericht aufzubereiten. Bei Einstiegen über die Suchmaschine lassen sich zudem die Keywords erfassen, über die Suchende via Google und Co. auf die Website gelangen.
Laut W3-Techs setzen 83 Prozent aller Webseitenbetreiber, die Traffic-Daten automatisch auswerten, auf das Tool Google Analytics. Gute Alternativen zum Marktführer haben wir Ihnen in einem Vergleichsartikel zum Thema zusammengestellt.
Doch: Nicht jedem Internetnutzer gefällt der Gedanke, dass der Betreiber eines Linkziels (die Webseite, auf die per Hyperlink verwiesen wird) die Herkunft seiner Besucher zurückverfolgen kann. Der Referrer liefert prinzipiell Informationen über das Nutzerverhalten von Webseitenbesuchern. Manche Internetnutzer befürchten daher, dass Referrer-Daten als Grundlage für Bewegungsprotokolle verwendet werden, und entscheiden sich dafür, das Referrer-Feld bei HTTP-Anfragen clientseitig zu deaktivieren.
Auch Webseitenbetreiber haben verschiedene Möglichkeiten, die automatische Übermittlung des Referrers zu unterbinden. Früher kamen dabei vor allem sogenannte Dereferrer-Services zum Einsatz. Heute bietet der neue HTML-Standard (Version 5) ein natives noreferrer-Attribut.
Der Einsatz von Dereferrer-Technologien ist in der Regel durch Sicherheitsbedenken motiviert: In der Vergangenheit gelang es Hackern mithilfe von Referrer-Informationen immer wieder, personenbezogene Daten aus nichtöffentlichen webbasierten Bereichen auszulesen. Dereferrer und vergleichbare Technologien kommen daher zum Einsatz, um URLs und damit mögliche GET-Parameter oder eine Session-ID im Querystring vor dem Betreiber des Linkziels zu verbergen. Ein weiterer Grund, den Referrer zu deaktivieren, ist die Spam-Prävention.
Referrer-Spam
Führer wurde der HTTP-Referrer im Rahmen von SEO-Maßnahmen (Black-Hat-SEO!) mitunter sehr erfolgreich für Spam-Maßnahmen missbraucht. Ziel war es, Referrer-Statistiken zu fälschen und damit die Relevanz der eigenen Website für Suchmaschinen zu steigern. Dazu wurden Webseiten mithilfe von Skripten automatisiert abgefragt, um die eigene URL massenhaft in den Log-Dateien ausgewählter Webseiten zu hinterlassen. Weblogs, die ihre Referrer-Statistiken veröffentlichen, boten damit auch Spam-Links eine Plattform, die sowohl Nutzern als auch Suchmaschinen zugänglich war. So mancher Porno-Website gelang es so, sich als vermeintlich bedeutende Traffic-Quelle zu etablieren.
Was ist ein Dereferrer?
Bei einem Dereferrer (auch: Link-Anonymisierer) handelt es sich um eine Webseite, die zwischen Linkquelle und Linkziel geschaltet wird und der Weiterleitung von Benutzern dient. Ziel ist es, die URL der verweisenden Webseite zu verschleiern und damit die Möglichkeit einer Rückverfolgung zu unterbinden.
Dereferrer-Services
Im Internet finden sich zahlreiche Anbieter, die Dereferrer-Funktionen zur Verfügung stellen. In der Regel erfolgt dies per Weiterleitung über eine speziell dafür eingerichtete Webseite. Diese manipuliert die HTTP-Anfrage des Clients mithilfe des Meta-Tags refresh und serverseitiger Skripte. Ein Webbrowser wird dadurch veranlasst, den ursprünglichen Referrer durch die eigene URL oder eine zufällige Zeichenfolge zu ersetzen. Ein bekannter Dereferrer im deutschsprachigen Raum ist:
- anonym.to von gulli.com
Mit allen aufgeführten Dereferrern können Sie als Webseitenbetreiber anonyme Links direkt über die Anbieterseite erzeugen. Gehen Sie dabei folgendermaßen vor:
- URL eintragen: Geben Sie die gewünschte Zieladresse in das dafür vorgesehen Onlineformular ein.
- Dereferrer-Link generieren: Erzeugen Sie den anonymen Link, indem Sie Ihre Eingabe mit einem Klick auf „Generieren“ bestätigen.
Kopieren Sie den Dereferrer-Link anschließend an gewünschter Stelle in Ihre Website.
Neben der Möglichkeit, Links über eine Webanwendung zu generieren, stellen alle aufgeführten Anbieter Skripte zur Verfügung, die – einmal in den Quellcode der Website integriert – alle ausgehenden Links über den entsprechenden Dereferrer umleiten.
Dereferrer: Vor- und Nachteile im Überblick
Sofern Sie ausgehende Links über einen Dereferrer anonymisieren, verstecken Sie die URL der verweisenden Webseite zwar vor dem Betreiber des Linkziels, der Anbieter des Dereferrer-Services hingegen erhält im vollen Umfang Zugriff auf alle übertragenen Daten. Ähnlich wie beim Einsatz eines Proxy-Servers tut sich dadurch eine bedeutende Sicherheitslücke auf. Skeptiker gehen hier sogar so weit, zu behaupten, dass Datenspionage eine wesentliche Motivation hinter kostenlosen Anonymisierungsdiensten im Web sein könnte. Gerade Geheimdienste dürften ein großes Interesse daran haben, zu erfahren, was Nutzer solcher Services geheim halten möchten. Doch selbst wenn Sie sich für einen dem Anschein nach seriösen Dereferrer-Service entschieden haben, lässt sich nicht ausschließen, dass dieser im Laufe der Zeit gehackt wird. In diesem Fall würden Informationen, die Sie eigentlich geheim halten wollten, unbemerkt an Dritte durchsickern. Anbieter von Webanwendungen setzen daher in der Regel auf selbstbetriebene Dereferrer, um sensible Informationen wie Session-IDs oder GET-Parameter vor dem Zugriff Dritter zu schützen. Webmail-Anbieter beispielsweise ersetzen Links in E-Mails in der Regel durch Umleitungen über einen internen Dereferrer-Dienst. Dies beugt sogenanntem Session-Hijacking vor. Andernfalls könnten böswillige Webseitenbetreiber per Referrer übermittelte Session-IDs nutzen, um die Webmailing-Sitzung eines nichtsahnenden Besuchers zu übernehmen. Beachten Sie: Mitunter wird die Referrer-Information eingesetzt, um Besuchern bestimmte Website-Funktionen verfügbar zu machen. Beispielsweise können bestimmte Inhalte einer Website an eine länderspezifische URL gebunden sein. Verweisen Sie mit einem anonymen Link auf eine solche Seite, bekommen ihre Webseitenbesucher möglicherwiese nicht das zu sehen, was Sie zeigen wollten.
| Vorteile | Nachteile |
|---|---|
| Referrer-URL bleibt geheim (Schutz vor Session Hijacking) | Der Dereferrer-Anbieter hat Zugriff auf den gesamten Datenverkehr |
| Webseiten, die Referrer-Informationen für ihr Angebot nutzen, funktionieren möglicherweise nicht mehr wie gewünscht |
Alternativen zu Dereferrer-Services
Sie möchten Links anonymisieren, aber die Nachteile und Sicherheitsrisiken im Zusammenhang mit Dereferrer-Services nicht in Kauf nehmen? Kein Problem. Im Folgenden zeigen wir Ihnen, wie Sie die Referrer-Funktion Ihres Webbrowsers ganz ohne Add-on deaktivieren und Hyperlinks mithilfe des HTML5-Attributs rel="noreferrer" als anonyme Verweise auszeichnen.
Referrer im Browser deaktivieren
Dereferrer richten sich in erster Linie an Webseitenbetreiber, die verhindern möchten, dass ausgehende Hyperlinks zur eigenen Website zurückverfolgt werden. Internetnutzer, die ihre Privatsphäre schützen möchten, können Dereferrer-Services per Browser-Add-on implementieren. In diesem Fall leitet der Webbrowser jeden Link, der angeklickt wird, über eine Dereferrer-Website um. Welcher Anbieter dabei zum Einsatz kommt, lässt sich in der Regel anpassen. Entsprechende Erweiterungen stehen für Mozilla Firefox und Google Chrome zur Verfügung. Notwendig sind diese jedoch nicht. Beide Webbrowser bieten die Option, die Referrer-Funktion dauerhaft abzuschalten.
Mozilla Firefox
Eine Deaktivierung der Referrer-Funktion ist bei Mozilla Firefox nur in den versteckten Browsereinstellungen möglich. Gehen Sie folgendermaßen vor, um diese anzupassen:
- Versteckte Einstellungen öffnen: Rufen Sie Firefox auf und geben Sie about:config in die Adressleiste ein.
Sie erhalten den Warnhinweis, dass Änderungen an den erweiterten Browsereinstellungen die Sicherheit, Stabilität und Performance Ihres Webbrowsers beeinflussen können.
Klicken Sie auf „Ich bin mir der Gefahr bewusst!“.
- Parameter suchen: Navigieren Sie mithilfe der Suchleiste zum Parameter network.http.sendRefererHeader. Dieser ist dafür zuständig, die Referrer-Informationen bereitzustellen.
- Parameter anpassen: Klicken Sie doppelt auf den Eintrag network.http.sendRefererHeader. Setzen Sie den Wert des Parameters von 2 auf 0 und bestätigen Sie Ihre Eingabe mit „OK“.
Firefox sendet HTTP-Anfragen von nun an ohne Referrer.
Mögliche Werte für den Parameter network.http.sendRefererHeader im Überblick:
| Wert | Bedeutung |
|---|---|
| 0 | Referrer-URL nie senden |
| 1 | Referrer-URL nur senden, wenn Links angeklickt wurden |
| 2 | Referrer-URL bei angeklickten Links und allen eingebundenen Ressourcen (z. B. Bilder, Skripte, CSS etc.) senden (Standardeinstellung) |
Beachten Sie, dass die meisten Webbrowser nicht nur beim Webseitenaufruf Referrer-Informationen übertragen. Der Referrer wird in der Regel auch dann übermittelt, wenn in die Webseite eingebundene Ressourcen wie Bilder, Skripte oder CSS von externen Servern abgefragt werden.
Darüber hinaus bietet Firefox die Möglichkeit, die Übermittlung des Referrers nur für Drittanbieterseiten zu deaktivieren.
In diesem Fall belassen Sie den Wert des Parameters network.http.sendRefererHeader auf 2 und passen stattdessen den Parameter network.http.referer.XOriginPolicy an. Folgende Optionen stehen Ihnen zur Auswahl:
| Wert | Bedeutung |
|---|---|
| 0 | Referrer-URL immer senden (Standard) |
| 1 | Referrer-URL nur senden, wenn der Domain-Name der beteiligten Server übereinstimmt Beispiel: Bei einem Link von mail.example.com zu www.example.com wird der Referrer mitgesendet. |
| 2 | Referrer nur senden, wenn der Host-Name der beteiligten Server übereinstimmt Beispiel: Bei einem Link von mail.example.com zu www.example.com wird der Referrer nicht mitgesendet. |
Google Chrome
Googles Webbrowser bietet keine Konfigurationsoberfläche, über die sich Referrer-Funktionen einstellen lassen, stattdessen wird Chrome beim Programmstart ein Befehl übergeben, der die Referrer-Funktion deaktiviert. Gehen Sie dabei folgendermaßen vor:
- Verknüpfung erstellen: Zunächst erstellen Sie eine Verknüpfung ihrer Chrome-Installation. Geben die dazu den Programmnamen in das Suchfeld im Startmenü ein und klicken Sie mit der rechten Maustaste auf das Chrome-Icon.
Klicken Sie im Kontextmenü auf „Senden an“ und wählen Sie „Desktop (Verknüpfung erstellen)“.
- Eigenschaften anpassen: Klicken Sie mit der rechten Maustaste auf die neu erstellte Verknüpfung und wählen Sie im Kontextmenü den Menüpunkt „Eigenschaften“ aus.
Unter dem Reiter „Verknüpfung“ wird im Feld „Ziel:“ der Pfad zur Datei angezeigt. Ergänzen Sie diesen um den Zusatz --no-referrers. Sofern Sie den Standardinstallationspfad verwenden, sollte dieser nun folgendermaßen aussehen:
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --no-referrers
Speichern Sie die Einstellung mit einem Klick auf „Übernehmen“.
Öffnen Sie Chrome durch einen Doppelklick auf die Desktop-Verknüpfung. HTTP-Anfragen werden von nun an ohne Referrer gesendet.
Wird die Referrer-Funktion des Webbrowsers komplett deaktiviert, stehen bestimmte Funktionen der von Ihnen besuchten Webseiten möglicherwiese nicht mehr zur Verfügung.
Die Webbrowser Apple Safari und Microsoft Edge stellen Nutzern derzeit keine Möglichkeit zur Verfügung, die Referrer-Funktion manuell zu konfigurieren.
HTML5: noreferrer im rel-Attribut
Mit Einführung des neuen HTML-Standards am 28. Oktober 2014 stehen Webseitenbetreibern über sogenannte Link-Relationen deutlich mehr Möglichkeiten zur Verfügung, Hyperlinks zu definieren. Zu diesen zählt unter anderem das Keyword noreferrer (laut HTML5-Spezifikation in korrekter Schreibweise mit zwei "r"), das in Kombination mit dem rel-Attribut in a- und area-Elementen zum Einsatz kommen kann.
<a rel="noreferrer" href="www.example.com">Anonym zu example.com</a>Setzt ein Webseitenbetreiber in einem ausgehenden Link das rel-Attribut mit dem Keyword noreferrer, werden alle Webbrowser, die diese Funktion unterstützen, angewiesen, die HTTP-Anfrage an das Linkziel ohne Angabe des Referrers zu stellen. Das noreferrer-Keyword im rel-Attribut wird mittlerweile von den aktuellen Versionen aller gängigen Webbrowsern unterstützt.
Darüber hinaus können Webseitenbetreiber den Referrer für alle ausgehenden Links mit einer einzigen Codezeile im HTML-Kopfelement (head) abstellen:
<meta name="referrer" content="no-referrer">Beachten Sie: Diese Funktion wird – u. a. aufgrund einer Änderung in der Spezifikation – bislang noch nicht von allen Webbrowsern unterstützt.