Webfonts - Analytics durch die Hintertür

Eigentlich eine offensichtliche Sache, trotzdem hat mich erst der Artikel “Undercover - Wie Google-Werkzeuge auf fremden Websites Daten sammelt” der c’t-Ausgabe 11/14 zum Nachdenken gebracht.

Ich habe mich bemüht, Besuchern dieser Website so viel Privatsphäre wie möglich zu bieten. Zur Analyse der Website-Besuche kommt - wie im Impressum erwähnt - die Open Source-Software Piwik zum Einsatz, die zum einen in der gewählten Konfiguration die IP-Adresse der Zugriffe anonymisiert und auch ein eventuell im Browser gesetztes “Do-not-Track” respektiert.

Ein Loch im System waren allerdings bis gestern noch die verwendeten Schriftarten, diese waren direkt von den Google-Servern eingebunden. Bei jedem Zugriff auf einen Beitrag dieses Blogs wurden auch zwei Zugriffe auf

http://fonts.googleapis.com/css?family=FONTNAME

generiert. Alles in allem keine dramatische und durchaus übliche Sache, trotzdem wäre es somit einem Drittanbieter möglich gewesen, Besuche dieser Site anhand des Requests und des vom Browser in der Regel mitgelieferten Referreres zu erfassen.

Seit gestern liegen auch die verwendeten Schriftarten direkt hier auf dem Server, so daß keine Anfragen an Drittserver mehr generiert werden.