WebBugs in der freien Wildbahn

Was ist ein WebBug?

WebBugs sind, vereinfacht gesagt, ein Beobachtungsinstrument. Technisch werden WebBugs oft als transparentes, 1x1 Pixel gro�es Bild realisiert. Dieses Bild liegt im Normalfall nicht am gleichen Server, wie die Website, die man sich gerade ansieht. Und bekommt au�erdem diverse Trackingdaten (Bildschirmaufl�sung, benutzte JAVA-Version, etc.) mitgesendet.

Wieso sind WebBugs gut oder schlecht?

Grunds�tzlich ist nichts schlimmes an einem WebBug dran. Eine statistische Auswertung der Bildschirmaufl�sung von Benutzern der Website k�nnte daf�r verwendet werden, Webseiten benutzergerecht zu designen.

Die von mir in der Praxis analysierten WebBugs zeigen allerdings immer auf Direktmarketing-Seiten. Die statistischen Daten werden f�r Werbezwecke verwendet. Wenn man weis, woher die Kunden kommen, kann man dort schlie�lich seine Werbeinvestitionen erh�hen.
Der gemeine WebBug

Wie gibt sich ein WebBug zu erkennen?

Die Autoren von WebBugs bem�hen sich nach allen Regeln der Kunst sie unsichtbar zu gestalten. Entsprechend schwierig ist es f�r einen Benutzer, solche zu erkennen.

Man ist WebBugs jedoch nicht hilflos ausgesetzt. Eine relativ aufwendige L�sung w�re, sich den Quelltext einer Seite anzusehen und Eintr�ge der Art zu analysieren.

Eine angenehmere Variante dieses Vorgehens ist durch AdShield m�glich. Die unregistrierte Sharewareversion ist zwar auf 10 Block-Eintr�ge beschr�nkt, kann also nur 10 unterschiedliche Server sperren. Anzeigen tut sie aber jeden WebBug.

Bei installiertem AdShield sehen WebBugs wie Marienk�fer aus. Rechts sehen Sie die entsprechende AdShield Grafik.

Wie bek�mpft man WebBugs?

Da gibt es viele M�glichkeiten. Ein sehr wirksames "Breitbandantibiotikum" ist ZoneAlarm Pro. Aktiviert man hier Privacy -> Mobile Code -> Custom -> Cookies -> Disable WebBugs, hat man sie auf allen Sites deaktiviert.

Sollten ben�tigte Seiten dadurch nicht mehr funktionieren, lassen sich dort gezielt aktivieren. In ZoneAlarm findet sich die entsprechende Option unter Privacy -> Sitelist. Dort sucht man sich die gew�nschte Site raus (oder f�gt sie mit Add... hinzu, falls sie nicht aufscheint). Dann linke Maustaste auf den Eintrag WebBugs und dort Enable. Mit Disable kann man die WebBugs wieder abdrehen.

Eine andere, vielleicht sogar interessantere M�glichkeit, bietet sich mit AdShield. Wie schon angemerkt, zeigt AdShield f�r jeden vermuteten WebBug einen Marienk�fer. Rechte Maustaste drauf, Block Site, fertig.

Wenn man mit dem Mauszeiger �ber dem WebBug bleibt, sieht man auch gleich, was �berhaupt geblockt wurde und welche Eintr�ge der WebBug weitergegeben hat.

Falscher Alarm?

F�llt sich eine Seite mit vielen Marienk�fern, sind das im Normalfall nicht alles WebBugs. Ein Beispiel f�r so eine Seite ist tiscover.at. Die meisten der 1x1 Pixel dort zeigen auf cache.tiscover.at oder cache.tiscover.com, sind also vom tiscover-Betreiber selbst als Design-Werkzeug in Verwendung.

Urspr�nglich wurden solche transparenten Pixel nicht als WebBug, sondern vor allem als Designwerkzeug f�r ansprechende Webseiten in verwendet.

Hat man die ersten paar WebBugs von tiscover auf die Exclude-Liste gesetzt (sie also AdShield gegen�ber als ungef�hrlich klassifiziert), wird man gegen Ende der Seite eine transparente Pixeldatei finden, der auf Oewabox zeigt. Den gilt es zu blocken, das ist ein WebBug.

Beispiele aus der Praxis

Es folgen knapp bis gar nicht kommentierte Beispiele aus WebBugs in der freien Wildbahn. Die Screenshots wurden mit einer Digitalkamera erstellt, da es schwierig ist mit [Druck] einen Screenshot mit Tooltips zu erstellen.
falscher Alarm auf Excite

Excite: falscher Alarm

Auch bei Excite gilt das f�r tiscover geschriebene: Hier werden 1-Pixel Grafiken verwendet, die zwar auf anderen Servern gespeichert sind, jedoch nicht dem Kundentracking dienen.
Excite WebBug 1

Excite: WebBug 1

 
Excite WebBug 2

Excite: WebBug 2

 
Lycos WebBug

Lycos: WebBug auf ivwbox.de

 
ORF WebBug

ORF: WebBug auf oewabox

 
falsche Alarme auf tiscover

Tiscover: falscher Alarm

Hier das weiter oben erw�hnte Beispiel von Tiscover. Man darf sich von den vielen falschen Alarmen nicht ablenken lassen -- ganz unten ist sehr wohl ein WebBug versteckt!
Tiscover auf Oewabox

Tiscover: WebBug auf oewabox

Hier ist er, ganz unten und gut versteckt.
Umfassendes Webbugging

Thinkgeek: Der Extremfall

Einer der m�chtigsten WebBugs, die ich kenne, ist bei Thinkgeek im Einsatz. Ich habe die Beschriftung von AdShield in Photoshop umgebrochen, 2o7.net sammelt folgende Daten vom Benutzer:

- Session ID
- [AQB] (AQ Begin ??? AQ k�nnte Ad-Query hei�en)
- ndh=1 (was auch immer das hei�en mag)
- t=10/3/2004 (irgendein startdatum -- tracking start vielleicht?)
- 2011 (ablaufjahr?)
- pageName=... (der Thinkgeek Seitenname)
- r=blockedReferrer (von welcher Seite komme ich -- das hat ZoneAlarm geblockt)
- s=1280x1024 (meine Bildschirmaufl�sung)
- c=32 (Colordepth?)
- j=1.3 (JAVA-Version)
- v=Y (irgendwas=yes)
- k=Y (irgendwas anderes=yes)
- bw=1225 (tats�chliche Seitenbreite)
- bh=907 (tats�chliche Seitenh�he)
- ct=lan (Connection Type=LAN)
- hp=N (Nein, thinkgeek ist nicht meine Homepage)
- [AQE] (AQ End)

Der dazugeh�rige Javascript-Code (omniture.js) hat 246 Zeilen Code, die noch dazu komprimiert wurden.

Mit WebBugs experimentieren

Wenn Sie mit WebBugs experimentieren m�chten, lade ich Sie zu einer Suche in Google ein. Beispielsweise f�hrte mich eine Suche nach oewabox auf Google zu tiscover.

Sie k�nnen ja auch gerne statistische Erhebungen machen und z�hlen, wieviele Kunden die einzelnen WebBug-Betreiber haben. W�rde mich auf Ihre Erkenntnisse im Kommentarbereich freuen // Ren� C. Kiesler