JavaScript-import, Firefox und Verseuchung durch den Google Tag Manager

Im Moment stehe ich beim Firefox auf meiner Workstation vor einem Rätsel. Denn dieser scheint durch den Google Tag Manager (kurz gtag oder GTM) „verseucht“ zu sein. Das ist mir aufgefallen als ich wegen einer Hilfeanfrage durch einen Kumpel eine kleine Beispielwebseite mit dem Nachladen von JavaScripts bzw. JavaScript-Modulen mittels der import-Anweisung geschrieben und getestet habe.

Dieser Google Tag Manager ist ein Spionage-Tool (kann man nicht anders sagen) von Google, das sich seit den letzten Urteilen hinsichtlich der DSGVO kaum noch konform nutzen lässt (spätestens seit der Annullierung des Privacy-Shield-Abkommens durch den Europäischen Gerichtshof im Juli 2020). Die aktuelle Abmahnwelle wegen viel harmloserer Google Fonts zeigt, dass solche Verstöße dann auch gnadenlos von unseriösen Geiern ausgenutzt werden.

Im Grunde geht es beim GTM darum, dass man damit die Besucher einer Webseite Tracken kann. Dies erfolgt unter Verwendung von Cookies, Conversion-Pixel oder Tracking-Codes von Programmen wie Google Analytics oder Bing Ads. Aber man muss keine Quellcodes explizit in Webseiten einbinden oder gar selbst programmieren, sondern das geht über eine Verwaltungsoberfläche. Damit können auch komplette Laien (also im Wesentlichen Marketing-Leute) dieses Tracking anstoßen.

Natürlich nutze ich so etwas auf meinen Webseiten nicht und auch bei meinem Google-Konto ist kein entsprechendes Feature aktiviert. Aber als ich gerade eine einfache Webseite (besagtes Experiment mit der import-Anweisung) mit den Entwicklertools von Firefox zur Laufzeit untersucht habe, ist dort Skripting-Code zum Einbinden von diesem GTM aufgetaucht, den ich im Quelltext nicht notiert habe. Zwar scheinen die referenzierten Skripte nicht nachgeladen zu werden und es wird wohl auch nicht zu Google telefoniert (soweit ich das im Sniffer gesehen habe), aber irgendwoher muss das Zeug ja kommen.

Prinzipiell ist das Auftauchen von zusätzlichen Quellcode-Passagen im tatsächlich vom Browser ausgeführten Quellcode jetzt nicht verwunderlich, denn ein Browser kann natürlich Codes automatisch selbst in Webseiten einfügen und die gesamte Struktur der Webseite verändern. Das ist ja auch das Wesen von Frameworks wie jQuery. Der geschriebene Quellcode und der vom Browser tatsächlich ausgeführte Code haben nur noch rudimentär etwas gemeinsam. Die Verwendung von dem Google Tag Manager beruht auf der gleichen Idee und die Tracking-Features werden nicht im Quellcode der Seite, sondern in einem speziellen Container hinterlegt.

Nun ist das besagte Rätsel, dass mir absolut nicht klar ist, warum Firefox auf meiner Workstation bei meinen eigenen Skripten diese Skriptreferenzen zum Google Tag Manager im Hintergrund einfügt. Also so etwas:


<script type=“text/javascript“ async=““ src=“https://www.google-analytics.com/analytics.js“></script><script type=“text/javascript“ async=““ src=“https://www.googletagmanager.com/gtag/js?id=…&amp;l=dataLayer&amp;cx=c“></script><script async=““ src=“https://www.googletagmanager.com/gtm.js?id=…“></script><script id=“…“ type=“text/javascript“>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({‚gtm.start‘:
new Date().getTime(),event:’gtm.js‘});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!=’dataLayer‘?’&l=’+l:“;j.async=true;j.src=
‚https://www.googletagmanager.com/gtm.js?id=’+i+dl;f.parentNode.insertBefore(j,f);
})(window,document,’script‘,’dataLayer‘,’…‘);</script>


<div class=“jsr5671059327_sc_0″>

</div><script id=“jsr5671059327_html_0″ type=“text/javascript“>

</script><script type=“text/javascript“ src=“https://www.googletagmanager.com/gtag/js?id=…“></script><script type=“text/javascript“>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag(‚js‘, new Date());

gtag(‚config‘, ‚…‘);
</script>

Wo kommt das her? Denn ich habe weder den Browser entsprechend konfiguriert, eine passende Anweisung im Quellcode zum Einfügen, noch irgendwo wissentlich dem GTM aktiviert etc.

Ich habe mit diversen Tools nach Identifizierungsflags auf meinem Rechner gesucht, aber die entscheidenden Schlüsselworte bzw. Kennungen einfach nicht finden können. Weder im Firefox noch anderen Stellen und in diversen Dateien auf dem gesamten Rechner. Die Sache ist ganz dubios, denn auf anderen Rechnern passiert diese ungewollte Einfügung von GTM-Code im Hintergrund in den dortigen Firefox nicht und auch andere Browser auf der Workstation zeigen diese Ergänzungen bei der Analyse der Webseite nicht. Eine Deinstallatin bzw. das Löschen aller Profile von Firefox auf der Workstation war wirkungslos. Ich stehe echt vor einem Rätsel, denn auch im Internet finde ich keine passenden Berichte.

Die Sache ist jetzt nicht kritisch, denn wie gesagt – nach Hause wird wohl nicht telefoniert und es geht ja nicht um Webseiten von mir, die andere Leute laden. Aber ich kann es nicht leiden, wenn da was auf meinem Rechner passiert, was mir komplett unklar und nicht gewollt ist.