Das Vorschlagssystem in Google Chrome

Google Chrome verfügt über eine standardmäßig aktivierte Vorschlagsfunktion, die bereits beim Eintippen einer URL Vorschläge dazu unterbreitet, was den Surfer vielleicht interessieren könnte.

Eine ähnliche Funktion ist auch in das kleine Suchfenster oben rechts in Firefox eingebaut. Hier gibt es allerdings nur Vorschläge zu Suchbegriffen. Google Chrome greift zusätzlich auf sämtliche eingetippten Adressdaten zurück.

Mattias Schlenker hat mich mit einem Blog-Eintrag darauf gebracht, mir die von Google Chrome übertragenen Daten mit Wireshark etwas genauer anzusehen. So kann man, wie Matthias schreibt, belegen, dass der Browser ab dem zweiten eingetippten Buchstaben die Eingabe jeweils an Google sendet.

Im obigen Bild sieht man, dass ich in das Adressfeld von Google Chrome die Anfangsbuchstaben von Smokinggun.de eingegeben habe. Der Browser überträgt aber natürlich auch die komplette URL, wenn man weitertippt:

Google kann so problemlos zusammen mit der eindeutigen Identifikationsnummer (UAN), die in jeden Chrome-Browser eingebaut ist, ein vollständiges Surf-Profil jedes Nutzers erstellen.

Aber es geht noch weiter. Der Browser überträgt auch URLs mit Unterordnern, die man vielleicht bewusst geheim halten wollte und die bislang nirgends verlinkt wurden:

Google kennt nun auch diesen Link und kann ihn zum Beispiel spidern und in seinen Suchindex aufnehmen.

Da Chrome wirklich alles, was man in die Adressleiste eintippt, überträgt, erfährt Google aber auch FTP- und HTTP-Auth-Zugangsdaten, wenn man so ungeschickt ist, und sie in den Browser eingibt:

Das obige Bild zeigt, wie Chrome den fiktiven Eintrag ftp://user:passwort@smokinggun.de an Google überträgt.

Das Vorschlagssystem lässt sich über die Optionen abschalten (über „Standardsuche, verwalten“, Häkchen vor „Automatische Vorschläge zur Vervollständigung der in die Adressleiste eingegebenen Suchanfragen und URLs“ entfernen.

Ich würde mir allerdings genau überlegen, ob ich diesen Hype-Browser wirklich brauche …

Update: Silentio ist ein kleines Tool, das nach Angaben der Programmierer die Google-ID anonymisiert (siehe Kommentare). Wie genau, wird allerdings leider nicht erklärt.

Update 2: Es gibt noch eine Möglichkeit, das Vorschlagssystem auszuhebeln (siehe Kommentare 6 und 7), indem man in den Optionen unter „Standardsuche“ eine andere Suchmaschine einstellt. Konfiguriert man hier zum Beispiel „T-Online“, sendet der Browser gar keine Vorschlagsanfragen mehr. Bei „Yahoo! Deutschland“ stellt Chrome die Anfragen an einen Yahoo-Server unter der IP 87.248.113.144.

Weiterer Beitrag zum Thema:
Google Chrome Privacy Notice

0 Gedanken zu “Das Vorschlagssystem in Google Chrome

  1. Google kennt nun auch diesen Link und kann ihn zum Beispiel spidern und in seinen Suchindex aufnehmen.

    –>

    Dafür wurde die robots.txt erfunden, um sowas zu verhindern.
    Daran hält sich Google.

    Aber das Passwörter übermittelt werden find ich auch nicht ok.
    Aber ich benutze ihn auch nicht 🙂
    FF -> FTW

  2. Stimmt, mit einer robots.txt könnte man verhindern, dass Google den „geheimen“ Link spidert und der Öffentlichkeit zugänglich macht. Da muss man allerdings erstmal dran denken.

    Ich weiss zum Beispiel von einem Arbeitskollegen, der immer stolz von seinem „geheimen“ Verzeichnis auf seiner Homepage redet. Dass er dort eine robots.txt hat, bezweifele ich. Allerdings würde dieser Kollege auch nie Chrome einsetzen. Der schreibt noch nicht mal Mails an jemanden bei GMail … 😉

  3. Danke für den Hinweis, aber was genau macht denn dieses Silentio? Da steht nur, dass es mit “client_id” and “client_id_timestamp” rumspielt, aber nicht genau, was es damit macht.

    Die Tipps, die das Googlewatchblog beschrieben hat, also “client_id” and “client_id_timestamp” löschen und die Datei „Local State“ mit einem Schreibschutz versehen (Link), scheinen ja nicht zu funktionieren, wenn ich mir ganzen die Leserkommentare anschaue.

    In die Config-Datei selbst irgendeine neue ID reinzuschreiben, wäre aber auch ziemlich unsinnig. Die ist ja dann wahrscheinlich wieder eindeutig, außer Hunderttausende einigen sich auf eine gemeinsame ID wie „FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF“. Was man wahrscheinlich aber programmiertechnisch auch wieder leicht aushebeln könnte. Trotz dem Schreibschutz scheint die ID ja wieder aufzutauchen (Link).

    Wer Bauchschmerzen wegen der ID hat, sollte auf Chrome und die diversen Google-Dienste vielleicht lieber gleich verzichten.

  4. Schöner Ansatz, exakt diese Analysen habe ich ebenfalls vorgenommen. Allerdings fehlt mir persönlich der Hinweis, dass die Eingaben an die „eingestellte Suchmaschine“ gesendet werden, also nicht zwingend an Google. Und Google ist auch nicht automatisch die Standard-Suchmaschine, bei der Installation wird danach gefragt.
    Durch Weglassen dieses m.E. wichtigen Details klingt es natürlich etwas dramatischer…
    Desweiteren überträgt Chrome ebenfalls nicht die UAN. Das macht GoogleUpdate bei einem Updatecheck.

  5. Stimmt, das ist richtig. Diesen Punkt hatte ich nicht überprüft. Wenn man als „Standardsuche“ beispielsweise „Yahoo! Deutschland“ einstellt, sendet Chrome die Vorschlagsanfragen an einen Server bei Yahoo (87.248.113.144). Bei „T-Online“ sendet der Browser sogar gar keine Anfragen. Danke für den Hinweis.

Schreibe einen Kommentar zu Andreas Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.