Download-Token: Mozilla gibt eine offizielle Stellungnahme zum Thema ab

Update Sven Bauduin
167 Kommentare
Download-Token: Mozilla gibt eine offizielle Stellungnahme zum Thema ab

Mozilla erhebt mit Hilfe eines sogenannten Download-Tokens („DLTOKEN“) neuerdings Telemetriedaten beim Download seines Open-Source-Browsers Firefox, was bei den Anwendern durchaus auf Kritik stößt. Grund des Anstoßes ist die Umsetzung, die mittels „Opt-out“ und einer eindeutigen Kennung realisiert worden ist.

Eindeutiger Hashwert als Kennung für Downloads

Wie die Website tarnkappe.info berichtet, versucht Mozilla über den Download-Token die Korrelation zwischen dem Download und der Verwendung seines Browsers zu analysieren und kann dabei durch einen eindeutigen Hashwert als Kennung benutzerspezifische Telemetriedaten erheben.

Wie der Bugreport 1677497 auf der Bug-Tracking-Plattform Bugzilla bestätigt, wurde der intern als „DLTOKEN“ bezeichnete Download-Token bereits vor rund einem Jahr an die bekannten Telemetriedaten des Browsers gekoppelt und kommt immer dann zum Einsatz, wenn Firefox von der offiziellen Website heruntergeladen wird.

Vom Download-Token ausgeschlossen sind:

Wird der Firefox allerdings über die integrierte Update-Funktion aktualisiert, wird ebenfalls ein Download-Token mit eindeutigem Hashwert als Kennung generiert. Um dies zu umgehen, muss die Erhebung der Telemetriedaten in den Einstellungen des Browsers vollständig deaktiviert werden.

Download-Token („DLTOKEN“) im Code von Firefox
Download-Token („DLTOKEN“) im Code von Firefox (Bild: firefox-source-docs.mozilla.org)

Der Code für den Download-Token findet sich in der offiziellen Dokumentation der Telemetriedaten von Mozilla Firefox auf der offiziellen Website. Über Bugzilla äußerte sich Mozilla auch bereits zur Verwendung des Download-Tokens.

Diese Daten ermöglichen es uns, Telemetrie-IDs mit Download-Tokens und Google Analytics-IDs zu korrelieren.

So können wir nachvollziehen, welche Installationen aus welchen Downloads resultieren, um Antworten auf Fragen wie ‚Warum sehen wir so viele Installationen pro Tag, aber nicht so viele Downloads pro Tag?‘ zu finden.

Mozilla via Bugzilla

Websites wie tarnkappe.info und ghacks.net sowie der auch von ComputerBase bekannte Linux-Redakteur und -Entwickler Ferdinand Thommes von linuxnews.de bemängeln die fehlende Transparenz seitens Mozilla sowie die Umsetzung als Opt-out. Mozilla hat die Nutzer des Firefox außerdem zu keinem Zeitpunkt über die Einführung des „DLTOKEN“ informiert.

Wer den Mozilla Firefox gänzlich ohne Download-Token nutzen möchte, muss diesen zuerst aus der Repository oder von einer externen Website herunterladen und nach der Installation umgehend die Telemetriedaten vollständig deaktivieren.

Einzig über about:telemetry lässt sich überhaupt einsehen, welche Daten vom Browser an Mozilla übermittelt werden.

Die Redaktion dankt dem Community-Mitglied „Geringverdiener“ für den Hinweis zu dieser Meldung.

Update

Mozilla gibt Stellungnahme zum DLTOKEN ab

Im Rahmen der Berichterstattung über den Download-Token („DLTOKEN“) hat Mozilla gegenüber der Website linuxnews.de eine offizielle Stellungnahme abgegeben, die Ferdinand Thommes am heutigen Tag veröffentlicht hat.

Jeden Tag laden Menschen den Firefox-Browser von mozilla.org herunter. Manchmal laden sie ihn aber auch über eine Website eines Drittanbieters herunter. Wenn das der Fall ist, wollen wir verstehen, von welchen Seiten neue Nutzer kommen und ob sie dabei bleiben, um Firefox zu installieren. Wenn wir diesen Weg des Nutzers verstehen, können wir einen besseren Installationsprozess entwickeln und die Erfahrung neuer Nutzer verbessern.

Um dieses bessere Verständnis zu erlangen, haben wir ein Download-Token erstellt, d. h. eine Kennung, die mit dem einmaligen Download-Ereignis verknüpft wird. So können wir erfassen, dass der Download stattgefunden hat, was uns wiederum hilft zu verstehen, wie viele Installationen über Drittanbieter-Websites erfolgen und um welche Websites es sich dabei handelt. Wir legen unsere “Kampagnen- und Empfehlungsdaten” in den Firefox-Datenschutzhinweisen offen, wo wir sagen: “Firefox sendet standardmäßig Mozilla-HTTP-Daten, die im Firefox-Installationsprogramm enthalten sein können. Dies ermöglicht es uns, die Website-Domain oder die Werbekampagne (falls vorhanden) zu ermitteln, die Sie auf unsere Download-Seite verwiesen hat. Lesen Sie die Dokumentation oder nutzen Sie den Opt-out vor der Installation. Dieser “Dokumentations”-Link enthält eine Offenlegung des Download-Tokens und eine Beschreibung desselben.

Wir speichern das Download-Token nicht zusammen mit persönlichen Daten, und wir speichern das Download-Token in einer Datenbank, die von anderen Telemetriedaten getrennt ist und strengen Zugriffsregeln unterliegt.

Wenn ein Nutzer daran interessiert ist, seine Verbindung mit dem Download-Token zu entfernen, kann er die Firefox-Telemetrie nach der Installation des Browsers deaktivieren. Wir löschen alle historischen Telemetriedaten, die wir für das Firefox-Profil des Nutzers gesammelt haben, einschließlich aller Datensätze, die das Download-Token enthalten. Dies macht es uns unmöglich, den Website-Besuch mit diesem Profil in Verbindung zu bringen, selbst für Aktivitäten, die stattgefunden haben, bevor der Opt-out gewählt wurde. Alternativ können Nutzer, die verhindern wollen, dass eine Zuordnung des Download-Tokens überhaupt stattfindet, Firefox von unserer FTP-Seite unter https://ftp.mozilla.org/pub/firefox/ herunterladen.

Mozilla gegenüber linuxnews.de

Wie der Linux-Redakteur und -Entwickler abschließend anmerkt, bleibt zumindest eine Frage weiterhin offen: Warum kommuniziert Mozilla die Einführung einer so sensiblen Funktion nicht transparent bereits im Vorfeld, sondern führt den „DLTOKEN“ still und heimlich durch die Hintertüre ein?

Auch ist nach wie vor unklar, wie Anwender das „Opt-out“ noch vor der Installation unter Windows und macOS hinbekommen sollen. Linux-Anwender, die den Firefox aus der offiziellen Repository oder den Quellen ihrer Linux-Distribution installieren, sind von der Maßnahme indes nicht betroffen.

Alternativ können Nutzer von Windows und macOS, die verhindern wollen, dass eine Zuordnung des Download-Tokens überhaupt stattfindet, den Mozilla Firefox auch über die FTP-Seite unter https://ftp.mozilla.org/pub/firefox/ herunterladen.