Die Reduzierung des User-Agents soll die Oberflächen für passives Fingerprinting verringern, indem die Informationen im User-Agent-String (UA) auf die Marke und die wichtige Version des Browsers, die Unterscheidung zwischen Desktop- und Mobilgeräten und die Plattform, auf der er ausgeführt wird, reduziert werden. Derzeit wird der UA-String bei jeder HTTP-Anfrage freigegeben und in JavaScript für alle vom Browser geladenen Ressourcen freigegeben. Sie enthält wichtige Informationen zum Browser, zur Plattform, auf der er ausgeführt wird, und zu seinen Funktionen. User-Agent-Client-Hinweise (UA-CH) können dieselben Informationen wie der vollständige UA-String liefern. Websites können jedoch nur die UA-Informationen anfordern, die sie benötigen.
Ab der Betaversion von Chrome 95 können Sie den Ursprungstest für die Reduzierung des User-Agent-Strings aktivieren, damit Websites den reduzierten UA-String jetzt erhalten. So können Probleme auf Websites erkannt und behoben werden, bevor die reduzierte UA zum Standardverhalten in Chrome wird. Die Reduzierung ist für das zweite Quartal 2022 geplant. Wenn Sie den Ursprungstest mit 95 Betanutzern testen möchten, bevor er für die stabile Version eingeführt wird, müssen Sie ihn vor dem Veröffentlichungsdatum von Chrome 95 aktivieren und testen (derzeit für den 19. Oktober 2021 geplant).
Unten finden Sie eine Übersicht über den Ursprungstest und was Sie erwartet. Wie immer freuen wir uns über Feedback oder Probleme während des Tests im GitHub-Repository zur Reduzierung der Informationen im User-Agent-String.
Was ist der User-Agent?
Der User-Agent-String (UA) wird bei jeder HTTP-Anfrage freigegeben und in JavaScript für alle vom Browser geladenen Ressourcen freigegeben. Derzeit enthält er wichtige Informationen zum Browser und zur Plattform, auf der er ausgeführt wird.
Warum wird der User-Agent reduziert?
Die Reduzierung des User-Agents ist ein Schritt zur Verringerung der Oberflächen für passives Fingerprinting im Chrome-Browser, der erstmals im Januar 2020 angekündigt wurde. Wenn die Informationen im UA-String auf die Marke und die wichtige Version des Browsers, die Unterscheidung zwischen Desktop- und Mobilgeräten und die Plattform, auf der er ausgeführt wird, reduziert werden, wird es schwieriger, einzelne Nutzer zu identifizieren.
Was bedeutet das für Webentwickler?
Betreiber von Websites sollten sich darauf vorbereiten, reduzierte UA-Strings zu erhalten, und sollten erwägen, am Ursprungstest teilzunehmen (siehe unten). Die reduzierten User-Agent-Werte werden in folgenden Bereichen angezeigt:
- Der
User-Agent-HTTP-Anfrageheader - Der
navigator.userAgent-JavaScript-Getter - Der
navigator.platform-JavaScript-Getter - Der
navigator.appVersion-JavaScript-Getter
Wenn Websites mehr Clientinformationen als die vom reduzierten User-Agent freigegebenen erhalten möchten, müssen sie zur neuen User-Agent Client Hints API migrieren. Weitere Informationen zu Migrationsstrategien finden Sie unter Zu User-Agent-Client-Hints migrieren.
Die Pläne zur Verringerung der User-Agent-Strings umfassen derzeit weder iOS noch WebView. Daher erhalten diese Plattformen weiterhin den vollständigen User-Agent-String. Der Hauptgrund dafür ist, dass diese Plattformen noch keine User-Agent-Client-Hints implementiert haben.
Wie funktioniert dieser Test?
Dieser Ursprungstest unterscheidet sich etwas von einem Standard-Ursprungstest. Bei Standard-Ursprungstests kann nur das Verhalten in der Antwort gesteuert werden, z. B. der Zugriff auf eine API im JavaScript der Antwort. In diesem Test möchten wir nicht nur den UA-String in den JavaScript-APIs ändern, sondern auch den User-Agent-Header, der mit der HTTP-Anfrage gesendet wird.
Dazu definieren wir einen temporären Clienthinweis namens Sec-CH-UA-Reduced. Wenn dieser in einer Anfrage vorhanden ist, gibt das an, dass der User-Agent-Header-Wert den reduzierten UA-String enthält. Der Sec-CH-UA-Reduced-Clienthinweis wird nur zusammen mit dem reduzierten UA-String gesendet, wenn das Test-Token des Ursprungs gültig ist. Der Sec-CH-UA-Reduced-Clienthinweis funktioniert nicht mehr, sobald das Testzeitraum des Ursprungs abgelaufen ist. Beachten Sie, dass die erste Navigationsanfrage weiterhin den nicht reduzierten User-Agent-String erhält, es sei denn, Sie legen Critical-CH
header fest.
Bei Anfragen an untergeordnete Ressourcen an dieselbe Quelle wird automatisch derselbe User-Agent-String gesendet wie bei der Anfrage auf oberster Ebene. Bei Subressourcenanfragen an Drittanbieter-Quellen wird derselbe User-Agent-String wie bei der Anfrage auf oberster Ebene gesendet, einschließlich des reduzierten UA-Strings, wenn das Testtoken der Quelle gültig ist, sofern dies gemäß der Berechtigungsrichtlinie zulässig ist.
Wie kann ich am Ursprungstest für die User-Agent-Reduzierung teilnehmen?
Wenn Sie sich für den Ursprungstest registrieren und ein Token für Ihre Domains erhalten möchten, rufen Sie die Seite Test für die Verringerung des User-Agent auf.
Aktualisieren Sie Ihre HTTP-Antwortheader:
- Füge deiner HTTP-Antwortheader-Zeile
Origin-Trial: <ORIGIN TRIAL TOKEN>hinzu. Dabei enthält <ORIGIN TRIAL TOKEN> das Token, das du bei der Registrierung für den Ursprungstest erhalten hast. - Fügen Sie Ihrem HTTP-Antwortheader
Accept-CH: Sec-CH-UA-Reducedhinzu. - Wenn Sie
Accept-CHfestlegen, wird der reduzierte User-Agent-String nur bei nachfolgenden Anfragen an den Ursprung gesendet. Wenn Sie die erste Navigationsanfrage mit dem reduzierten User-Agent-String noch einmal senden möchten, fügen Sie Ihrem HTTP-Antwortheader zusätzlich zu den HeadernAccept-CHundOrigin-Trialden HeaderCritical-CH: Sec-CH-UA-Reducedhinzu. - Hinweis: Wenn die Antwortheader ein gültiges
Origin-Trial-Token undAccept-CH: Sec-CH-UA-Reducedenthalten, wird für alle Anfragen für untergeordnete Ressourcen (z. B. für Bilder oder Stylesheets) und untergeordnete Navigationen (z. B. Iframes) der reduzierte UA-String gesendet, auch wenn die Ursprünge dieser Anfragen nicht am Ursprungstest registriert sind.
- Füge deiner HTTP-Antwortheader-Zeile
Laden Sie Ihre Website in Chrome M95 (oder höher) und erhalten Sie den reduzierten UA-String.
Senden Sie Probleme oder Feedback an das GitHub-Repository für die UA-Reduzierung.
Unter https://uar-ot.glitch.me/ finden Sie eine einfache Demonstration des Ursprungstests (zusammen mit dem Quellcode).
So nimmst du als Drittanbieter am Ursprungstest teil
Ab Chrome 96 können eingebettete Inhalte von Drittanbietern (z. B. ein iFrame auf einer anderen Website) am Ursprungstest teilnehmen, ohne dass die Website der obersten Ebene registriert werden muss.
So registrierst du dich als Drittanbieter-Embedder:
- Rufen Sie den Test zur Reduzierung von User-Agents auf und klicken Sie auf Registrieren.
- Setzen Sie beim Erstellen des Tokens ein Häkchen in das Kästchen
Third-party matching. - Wenn du den reduzierten User-Agent-Header vom eingebetteten Drittanbieter erhalten möchtest, aktualisiere die HTTP-Antwortheader.
- Damit der reduzierte User-Agent-String in JavaScript-APIs empfangen werden kann, muss das Testtoken über JavaScript eingefügt werden.
Wichtige Punkte zum Ausführen des Ursprungstests für eingebettete Inhalte von Drittanbietern:
+ Critical-CH kann für eingebettete Inhalte von Drittanbietern nicht angegeben werden. Bei der ersten Navigation wird also nicht der reduzierte UA-String gesendet, bei den Subressourcen-Anfragen des eingebetteten Drittanbieter-Codes jedoch schon.
+ Wenn der Ursprungstest für den Ursprung eines eingebetteten Drittanbieters bestätigt wird, wird bei nachfolgenden Anfragen an denselben Ursprung in einer Navigation auf oberster Ebene der reduzierte UA-String gesendet. Aus diesem Grund empfehlen wir, die Teilnahme am Ursprungstest sowohl für Anfragen auf oberster Ebene als auch für eingebettete Anfragen zu erhöhen.
+ Wenn der User-Agent Drittanbieter-Cookies deaktiviert hat, funktioniert der Test für den Ursprung nicht für den User-Agent-Header in eingebetteten Anfragen von Drittanbietern. Die JavaScript APIs erhalten jedoch weiterhin den reduzierten UA-String.
How do I validate that the origin trial is working?
Prüfen Sie die Anfrageheader, um sicherzustellen, dass der Test der Quelle funktioniert:
- Der User-Agent-Header enthält die reduzierte Version. Hier finden Sie eine Liste mit Beispielen für reduzierte UA-Strings.
Das ist leicht zu erkennen, da der String der Chrome-Nebenversion
0.0.0enthält. - Der Header
Sec-CH-UA-Reducedist auf?1gesetzt.
Die Header der ersten Antwort, die das Test-Token für den Ursprung enthalten, sollten so aussehen:
Nachfolgende Anfrageheader mit dem reduzierten UA-String sollten so aussehen:
Wie kann ich die Teilnahme am Ursprungstest zur Reduzierung des User-Agents beenden?
Sie können die Teilnahme jederzeit beenden und den vollständigen User-Agent-String erhalten. So beenden Sie die Teilnahme:
- Senden Sie in Ihrer HTTP-Antwort einen
Accept-CH-Header, der nichtSec-CH-UA-Reducedenthält. Hinweis:Accept-CHmit einem leeren Wert ist eine gültige Möglichkeit, dies zu erreichen, wenn Ihre Website keine anderen Clienthinweise anfordert. - Entfernen Sie den
Origin-Trial-Header für den Test zur User-Agent-Reduzierung aus Ihrer HTTP-Antwort. - Entfernen Sie
Sec-CH-UA-Reducedgegebenenfalls aus demCritical-CH-Header in Ihrer HTTP-Antwort.
Wie lange dauert der Testzeitraum für den Ursprung?
Der Ursprungstest zur Reduzierung der Informationen im User-Agent-String dauert mindestens sechs Monate, was etwa sechs Chrome-Meilensteinen entspricht. Der Ursprungstest wird in M95 eingeführt und endet in M101. Danach wird das Feedback aus dem Ursprungstest in Chrome ausgewertet, bevor der reduzierte User-Agent-String gemäß dem Einführungsplan schrittweise gesendet wird. Wenn für eine Website mehr Zeit benötigt wird, kann ein weiterer Testzeitraum für die Einstellung des UA-Strings aktiviert werden. So können Sie noch mindestens sechs Monate lang auf den vollständigen UA-String zugreifen. Weitere Informationen zum Testzeitraum für die Einstellung werden wir veröffentlichen, sobald er verfügbar ist.
Wie kann ich Feedback zum Test zur User-Agent-Reduzierung geben?
Senden Sie Probleme oder Feedback an das GitHub-Repository für die UA-Reduzierung.