Google experimentiert mit S...

Das offizielle Google-Blog hat letzte Woche unter dem Titel "Search more securely with encrypted Google web search" angekündigt, dass man ab sofort "sicher" bei Google (vorerst allerdings nur google.com) suchen kann. Google unterstützt nun Suchanfragen über SSL, also mit https:// vorne dran: Google Suche via SSL.

Für die Anwender hat das drei direkte Auswirkungen:

• die Suchanfrage wird über eine verschlüsselte Verbindung übertragen und kann von Dritten nicht nur schwer mitgelesen werden. Die verwendeten Suchbegriffe bleiben damit quasi eine Sache zwischen dem Benutzer und Google.
• es geht ein ganz kleines bisschen langsamer. Zuerst muss eine Verschlüsselung zwischen Browser und Server ausgehandelt werden und danach werden die Daten verschlüsselt und übertragen und das braucht Zeit.
• da Dienste wie die Bildersuche, Maps und andere noch kein SSL unterstützen, gibt es momentan dazu auch keine Links auf den Ergebnisseiten.

Bye bye Suchbegriffe im Referrer

Ein weitere Auswirkung, die die Privatsphäre des Benutzers schützt, ist jedoch den Anbietern und hier vor allem den SEO-Leuten ein riesengrosser Dorn im Auge:

Klickt ein Benutzer auf einen Link und ruft damit eine neue Seite auf, so überträgt der Browser beim Abruf der neuen Seite, die Adresse (URL) der Seite, von der der Benutzer kommt. Dies ist der sogenannte Referrer. Kommt nun der Benutzer über eine Google Suche, sieht dieser Referrer zB. so aus:

http://www.google.de/search?q=telefonabzocke+gewinn+sofort

Der Anbieter der Seite kann also sehen, aufgrund welcher Suchbegriffe die Benutzer auf seinen Seiten landen und anhand dieser Informationen kann er (oder die SEO-Leute) versuchen die Seite zu optimieren, so dass noch mehr Leute durch eine Suche bei Google (oder anderen Suchmaschinen) auf der Seite landen.

Ärgerlich für die SEO-Leute ist nun, dass aus Sicherheitsgründen die Browser bei einem Wechsel von einer Seite über SSL auf eine ohne SSL keine Referrer-Information mitschicken. Das bedeutet, dass bei einer Suche bei Google über SSL und einem Klick auf ein Suchergebnis, das Ergebnis nicht mehr erfährt, welche Suchbegriffe verwendet wurden.

Gut für die Privatsphäre der Nutzer, blöd für die Seitenbetreiber, die natürlich auch prompt schon dicke Krokodilstränen vergiessen.

Noch ein paar erklärende Details

SSL Verschlüsselung:

Bei einer https-Verbindung handelt es sich um eine Ende-zu-Ende Verschlüsselung. Der Browser und der in der URL genannte Server handeln zuerst eine verschlüsselte Verbindung aus. Über diese läuft anschliessend die gesamte Kommunikation, also auch das Absenden der eigentlichen (Such-)Anfrage und die Antwort. Damit wird auch der URL nicht im Klartext übermittelt.

Click Tracking

Auch wenn der Betreiber der in den Sucherergebnissen angeklickten Seite keinen Referrer mehr sieht und damit keinen Hinweis auf die Suchbegriffe hat oder gar woher der Benutzer kommt, so weiss Google das natürlich immer noch!
Google verwendet Cookies, sieht die Suchbegriffe und verwendet teilweise Javascript, das ausgeführt wird, wenn ein Link in der Ergebnisliste angeklickt wird. Google weiss also trotzdem noch soviel wie vorher.
Verschwörungstheoretiker mutmassen, dass Google das nützen könnte, um seinen eigenen Analysedienst zu fördern.

Kontrolle im Browser

Im Mozilla Firefox kann man das Senden von Referrer-Information ganz leicht unterbinden. In der URL-Zeile about:config aufrufen und dann nach network.http.sendRefererHeader suchen. Der voreingestellte Wert ist 2. Dies bedeutet, dass Referrer-Information sowohl durch einen Klick auf einen Link, als auch für alle Elemente einer Seite gesendet werden. Setzt man den Wert auf 0, wird gar keine Referrer-Information mehr gesendet, setzt man den Wert auf 1 wird nur beim Klick auf einen Link, jedoch nicht für die Elemente einer Seite der Referrer mitgeschickt.
Ist der Wert 1 oder 2 wird für SSL-Zugriffe die Variable network.http.sendSecureXSiteReferrer konsultiert. Der voreingestellte Wert true bedeutet, dass bei einem Wechsel von einer https-Webseite zu einer anderen https-Webseite der Referrer mitgeschickt wird. Setzt man den Wert auf false wird dies unterbunden.
Da nicht auszuschliessen ist, dass manche Sites in einem Anflug von fehlgeleiteter (weil sinnloser) Sicherheitsprüfung einen Referrer haben wollen, sei der Vollständigkeit halber auf das AddOn RefControl verwiesen, das eine feinere Einstellung als generelles an/aus erlaubt.