JavaScript-import, Firefox und Verseuchung durch den Google Tag Manager

Im Moment stehe ich beim Firefox auf meiner Workstation vor einem Rätsel. Denn dieser scheint durch den Google Tag Manager (kurz gtag oder GTM) „verseucht“ zu sein. Das ist mir aufgefallen als ich wegen einer Hilfeanfrage durch einen Kumpel eine kleine Beispielwebseite mit dem Nachladen von JavaScripts bzw. JavaScript-Modulen mittels der import-Anweisung geschrieben und getestet habe.

Dieser Google Tag Manager ist ein Spionage-Tool (kann man nicht anders sagen) von Google, das sich seit den letzten Urteilen hinsichtlich der DSGVO kaum noch konform nutzen lässt (spätestens seit der Annullierung des Privacy-Shield-Abkommens durch den Europäischen Gerichtshof im Juli 2020). Die aktuelle Abmahnwelle wegen viel harmloserer Google Fonts zeigt, dass solche Verstöße dann auch gnadenlos von unseriösen Geiern ausgenutzt werden.

Im Grunde geht es beim GTM darum, dass man damit die Besucher einer Webseite Tracken kann. Dies erfolgt unter Verwendung von Cookies, Conversion-Pixel oder Tracking-Codes von Programmen wie Google Analytics oder Bing Ads. Aber man muss keine Quellcodes explizit in Webseiten einbinden oder gar selbst programmieren, sondern das geht über eine Verwaltungsoberfläche. Damit können auch komplette Laien (also im Wesentlichen Marketing-Leute) dieses Tracking anstoßen.

Natürlich nutze ich so etwas auf meinen Webseiten nicht und auch bei meinem Google-Konto ist kein entsprechendes Feature aktiviert. Aber als ich gerade eine einfache Webseite (besagtes Experiment mit der import-Anweisung) mit den Entwicklertools von Firefox zur Laufzeit untersucht habe, ist dort Skripting-Code zum Einbinden von diesem GTM aufgetaucht, den ich im Quelltext nicht notiert habe. Zwar scheinen die referenzierten Skripte nicht nachgeladen zu werden und es wird wohl auch nicht zu Google telefoniert (soweit ich das im Sniffer gesehen habe), aber irgendwoher muss das Zeug ja kommen.

Prinzipiell ist das Auftauchen von zusätzlichen Quellcode-Passagen im tatsächlich vom Browser ausgeführten Quellcode jetzt nicht verwunderlich, denn ein Browser kann natürlich Codes automatisch selbst in Webseiten einfügen und die gesamte Struktur der Webseite verändern. Das ist ja auch das Wesen von Frameworks wie jQuery. Der geschriebene Quellcode und der vom Browser tatsächlich ausgeführte Code haben nur noch rudimentär etwas gemeinsam. Die Verwendung von dem Google Tag Manager beruht auf der gleichen Idee und die Tracking-Features werden nicht im Quellcode der Seite, sondern in einem speziellen Container hinterlegt.

Nun ist das besagte Rätsel, dass mir absolut nicht klar ist, warum Firefox auf meiner Workstation bei meinen eigenen Skripten diese Skriptreferenzen zum Google Tag Manager im Hintergrund einfügt. Also so etwas:


<script type=“text/javascript“ async=““ src=“https://www.google-analytics.com/analytics.js“></script><script type=“text/javascript“ async=““ src=“https://www.googletagmanager.com/gtag/js?id=…&amp;l=dataLayer&amp;cx=c“></script><script async=““ src=“https://www.googletagmanager.com/gtm.js?id=…“></script><script id=“…“ type=“text/javascript“>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({‚gtm.start‘:
new Date().getTime(),event:’gtm.js‘});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!=’dataLayer‘?’&l=’+l:“;j.async=true;j.src=
‚https://www.googletagmanager.com/gtm.js?id=’+i+dl;f.parentNode.insertBefore(j,f);
})(window,document,’script‘,’dataLayer‘,’…‘);</script>


<div class=“jsr5671059327_sc_0″>

</div><script id=“jsr5671059327_html_0″ type=“text/javascript“>

</script><script type=“text/javascript“ src=“https://www.googletagmanager.com/gtag/js?id=…“></script><script type=“text/javascript“>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag(‚js‘, new Date());

gtag(‚config‘, ‚…‘);
</script>

Wo kommt das her? Denn ich habe weder den Browser entsprechend konfiguriert, eine passende Anweisung im Quellcode zum Einfügen, noch irgendwo wissentlich dem GTM aktiviert etc.

Ich habe mit diversen Tools nach Identifizierungsflags auf meinem Rechner gesucht, aber die entscheidenden Schlüsselworte bzw. Kennungen einfach nicht finden können. Weder im Firefox noch anderen Stellen und in diversen Dateien auf dem gesamten Rechner. Die Sache ist ganz dubios, denn auf anderen Rechnern passiert diese ungewollte Einfügung von GTM-Code im Hintergrund in den dortigen Firefox nicht und auch andere Browser auf der Workstation zeigen diese Ergänzungen bei der Analyse der Webseite nicht. Eine Deinstallatin bzw. das Löschen aller Profile von Firefox auf der Workstation war wirkungslos. Ich stehe echt vor einem Rätsel, denn auch im Internet finde ich keine passenden Berichte.

Die Sache ist jetzt nicht kritisch, denn wie gesagt – nach Hause wird wohl nicht telefoniert und es geht ja nicht um Webseiten von mir, die andere Leute laden. Aber ich kann es nicht leiden, wenn da was auf meinem Rechner passiert, was mir komplett unklar und nicht gewollt ist.

Facebook, Big Data und KI resultiert in komplettem Unsinn

Gerade war ich auf Facebook und mir ist wieder die vollkommen irrelevante und komplett an meinen Interessen vorbeigehende Werbung bewusst geworden. Das war schon so falsch, dass ich fast Mitleid bekommen habe, statt mich wie sonst üblich über Werbebanner zu ärgern.

Mit Künstlicher Intelligenz (KI bzw. AI) und Big Data kenne ich mich so ein bisschen aus und habe dazu ja auch bei LinkedIn Learning (LiL) sogar schon Onlinetraining veröffentlicht. Und eigentlich sollte man meinen, dass Facebook diese Techniken zum Schalten von angepasster Werbung auch beherrscht. Immerhin tracken die ja wohl jede Microsekunde, die man da angemeldet (und oft auch darüber hinaus) und jede Mausaktion. Neben den bewusst eingegebenen Daten haben sie also fast unendlich viele detaillierte Infos, dass Werbung (auch wenn ich diese dort angezeigten Produkte dann bewusst versuche nicht !! zu kaufen) halbwegs zu den Interessen von mir passen könnte.

Aber die liegen ja wie gesagt grundsätzlich sowas von falsch – da ist jede Zeitung oder Litfaßsäule besser personalisiert.

Entweder taugen KI und Big Data keinen Schuss Pulver oder Facebook ist unfähig oder ich habe durch geeignete Verschleierung doch meine gläserne Existenz so umgebogen, dass sie komplett in die falsche Richtung schauen.

Rücken – und die Spione haben sich verraten

Irgendwie habe ich in regelmäßigen Abständen „Rücken“. Jahrelanges Kugelstoßen, Hammerwerfen, Diskuswerfen, Steinstoßen etc. fordern ihren Tribut. Trotz regelmäßigem Krafttraining – auch für die Rücken- und Bauchmuskulatur. Sei es drum. Es gibt definitiv Schlimmeres. Ich bekomme das immer wieder in Griff und kann oder will deshalb nicht jammern.

Nur – seit wir vor ein paar Tagen online eine Sportsalbe bestellt haben, bekomme ich auf Youtube etc. permanent Werbung für genau diese Sportsalbe angezeigt – in Verbindung mit dem Hinweis auf positive Erfolge bei Rücken. Vor der Aktion auch ich noch nie diese Werbung angezeigt bekommen. Das ist ganz klar personalisiert. Sowohl vom Produkt als auch der möglichen Anwendung.

Nun kann man naiv sein und vermuten, dass ich die Werbung aufgrund von einem Altersrange angezeigt bekomme. Nur bin ich in Youtube so gut wie niemals angemeldet, wenn ich Videos ansehe. Auch auf den anderen Seiten bin ich niemals angemeldet, wenn ich das nicht sein muss (etwa für Onlinebanking oder so). Auch das Argument, dass ich durch die Bestellung bei der Onlineapotheke zuordenbar bin und die Onlineapotheke Kundendaten verkauft, greift nicht wirklich. Erstens wegen eben „nicht angemeldet“ auf den Seiten mit der personalisierten Werbung und vor allen Dingen, weil die Sportsalbe nicht von mir selbst oder einem meiner Konten bestellt wurde.

Die einzig denkbare Lösung – ich hatte (nicht angemeldet !!) vor einigen Tagen in Google nach Testergebnissen von Sportsalben gesucht. Das wurde eindeutig gespeichert und ich wurde getrackt. Die wissen also in jedem Fall zumindest, dass ich von diesem Rechner nach Sportsalbe gesucht habe – auch wenn ich vermutlich als Person nicht bekannt bin und auch nicht sein muss. Und auch bei allen anderen Webseiten aus diesem Umfeld tracken die natürlich auch. Wie das technisch geht, ist mir im Grunde klar (das schule ich ja sogar). Aber so bewusst wurde es mir persönlich noch nie. Also zu 100% nachvollziehbar, dass das gemacht und unmittelbar ausgeschlachtet wird.

Also werde ich über die Tage mal meine Rechner wieder gründlich säubern, absichern, geeignet konfigurieren und dann heisst es vor allen Dingen „Bye, bye Google, welcome DuckDuckGo„. Bei allen künftigen Suchanfragen. Und Tor werde ich auch noch stärker einsetzen.

Obwohl ich wirklich kein ausgewiesener Sicherheitsexperte bin, gehe ich in meinen Schulungen, Büchern oder Videotrainings dennoch fast immer auch diese Aspekte ein und behaupte, dass ich mich recht gut auskenne. Aber wie immer hat der Frisör die schlechteste Frisur. Es braucht in der Tat wohl einen Anlass, bei dem man persönlich betroffen ist, um die notwendigen Maßnahmen dann auch wirklich umzusetzen.