Specs verletzt: Apache-Patch ignoriert DNT-Feld (Do Not Track) des Internet Explorer 10

Es fliegen mal wieder die Fetzen und den Stein des Anstoßes hat Microsofts Internet Explorer 10 gebracht. Roy Fieldings hat einen Apache-Patch eingepflegt, der den DNT-Header des Internet Explorer einfach ignoriert – egal ob dieser auf 0 oder 1 gesetzt ist. Wie und warum es dazu kam bekommt man erst heraus, wenn man den ganzen Thread bezüglich des Flicken liest und die Meinungen sind mehr als gespalten. Zunächst einmal die eingefügte Änderung:

+# Deal with user agents that deliberately violate open standards
+#
+<IfModule setenvif_module>
+BrowserMatch "MSIE 10.0;" bad_DNT
+</IfModule>
+<IfModule headers_module>
+RequestHeader unset DNT env=bad_DNT
+</IfModule>

Und nun zurücklehnen und Popcorn bereitstellen.

• Der Patch wurde mit der Schlagzeile eingefügt, dass Apache nicht dulde, wenn offene Standards mit Absicht verletzt werden.
• Microsoft stellt DNT per Standard auf 1 – also bitte nicht verfolgen – und dies verstößt gegen die Spezifikation, weil der Anwender selbst aktiv werden muss, um DNT einzustellen.
• Einige behaupten, dass während der Installation von Windows 8 nach den DNT-Einstellungen gefragt werden – diverse andere Menschen können sich daran nicht erinnern, beziehungsweise sind sich sicher, dass sie nicht danach gefragt wurden. Weiter unten ist dann zu lesen, dass die Express-Einstellungen DNT auf 1 setzen und dies auch so kommuniziert wird. (un wie wir alle wissen, lesen sich Anwender natürlich immer alles genau durch)
• Der Server kann nicht entscheiden, ob diese Einstellung von einem Anwender vorgenommen wurde, oder diese voreingestellt war.
• Später hat sich dann Roy Fielding zu Microsofts Schritt geäußert und gesagt, dass Redmond großes Tamtam um die Voreinstellung mache und sich jeder vorstellen könne warum. Der Windows-Macher würde vorsätzlich die Spezifikation verletzen und seien über diese als Mitglied der Arbeitsgruppe “Tracking Protection” auch bestens informiert. DNT auf Standard zu setzen habe nichts mit Schutz der Privatsphäre zu tun. Microsoft wisse genau, dass der freiwillige Schutz dann einfach ignoriert würde. Apache sei schon immer dazuwischengegangen, wenn HTTP-Standards verletzt wurden. Deswegen habe HTTP den Browser-Krieg überstanden.
• So, ab da geht es dann richtig los. Einige werfen Apache vor, den Werbetreibenden in die Karten zu spielen, andere werfen Roy Fieldings Machtmissbrauch vor.
• Ein Anwender fragt, wie das gesetzlich in der EU aussieht. Müssen die Webseitenbetreibenden nun einen Apache-Server einsetzen, der diesen Patch nicht enthält? Schließlich könnte sich ein IE10-Anwender beschweren, der trotz aktiviertem DNT verfolgt wird.
• Ein Kommentator gibt Fielding im Prinzip Recht, mein aber, dass er mit diesem Patch zu weit geht. Er würde so den unschuldigen Anwender in den Kleinkrieg mit Microsoft involvieren.
• Interessant ist das Argument, dass nicht Windows 8 sondern Internet Explorer 10 der User Agent ist. Ein Anwender, der mit dem Installations-Vorgang nichts zu tun hatte, würden demnach tatsächlich nicht nach aktivem oder inaktivem DNT gefragt.
• Weiter unten äußert sich Roy Fielding dann noch einmal, dass überhaupt noch nicht ausgekaspert ist, das Do Not Track überhaupt genau bedeutet und was ein Server dafür haben muss. Deswegen ist DNT im Apache HTTP Server auch noch gar nicht implementiert. Im Gegensatz zu diversen Anschuldigungen mag Roy Fielding Microsoft und die Firma sei auch ein Platinum-Sponsor für Apache. Allerdings sei Microsofts Business eben Business und die DNT-Entscheidung sei allerdings schädlich für das Web. So etwas könne man keinem Business erlauben.

Der Thread ist in der Zwischenzeit ewig lang und ich verweise einfach noch einmal mit einem Link auf die Schlammschlacht … nun kann sich jeder selbst seine Meinung bilden … 🙂