Ärger bei Apache wegen DoNotTrack

10.09.2012

Der Entwickler Roy Fielding hat einen Patch für den Apache-Server eingepflegt, der dazu führt, dass Privacy-Einstellungen nicht respektiert werden, wenn Anwender mit dem Internet Explorer 10 eine Site besuchen. Dies stößt vielen Usern sauer auf.

Roy Fielding hat den Zorn von großen Teilen der Community auf sich gezogen, indem er einen Patch eingecheckt hat, der zur Folge hat, dass der Apache-Webserver die DoNotTrack-Einstellungen von Usern missachtet, wenn diese den Internet Explorer 10 verwenden. Sein Argument dafür lautet, dass Microsoft den DoNotTrack-Standard verletzt, indem es den Browser mit der Voreinstellung belegt, dass Benutzer nicht getrackt werden sollen. Der Standard, an dem Fielding selbst mitwirkt. sehe aber keine Default-Einstellung vor. Dies sei zwar prinzipiell möglich, müsse aber eben standardisiert sein, worauf Microsoft, das ebenfalls dem Gremium angehört, aber nicht hingewirkt habe. Apache wiederum kümmere sich um die Einhaltung von Webstandards, die der aktuelle Patch sicherstelle.

In den Kommentaren zum Patch äußerten viele die Ansicht, Fielding missbrauche seine Position innerhalb des Apache-Projekts, um einen Feldzug gegen Microsoft zu führen. Diese Ansicht weist Fieldung zurück und behauptet, er stehe Microsoft im Gegenteil eher wohlwollend gegenüber, aber bei der groben Verletzung von Standards müsse Apache aktiv werden. Diese Verletzung sehen andere Kommentatoren wiederum nicht als gegeben, denn Microsoft weist bei der Installation des Betriebssystems darauf hin, dass die DoNotTrack-Einstellungen per Default aktiviert sein. Auf Wunsch können Anwender dies auch gleich ändern, wie ein Diskussionsteilnehmer mit einem Screenshot zu belegen versucht. Kritik gilt nicht nur der Vorgehensweise Fieldings, sondern auch der Umsetzung, bei der der Apache-Webserver den User-Agent-String des Browsers prüft, um den Internet Explorer zu identifizieren.

Prinzipiell können Administratoren DoNotTrack auch für den IE10 wieder aktivieren, denn der Patch bezieht sich nur auf eine Konfigurationsdatei. Die Kritiker führen dagegen allerdings ins Feld, dass die mutmaßliche Protokollverletzung von Microsoft nun durch eine zweite schlechte Default-Einstellung im Apache-Server korrigiert werde, die selbst nicht standardkonform ist. Roy Fielding selbst rät zur Gelassenheit, denn der Standard sei noch nicht endgültig und im Apache-Server deshalb noch nicht einmal implementiert.

Der Stein des Anstoßes sowie eine Vielzahl von Kommentaren sind auf der Github-Seite des Patches zu finden.

Web

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Microsoft verärgert, weil Google Sicherheitslücken aufdeckt

Es gibt Zweifel an den lauteren Absichten Googles, weil eine Windows-Sicherheitslücke öffentlich gemacht wurde, zwei Tage bevor Microsoft sie patchen wollte.

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023