Markus Baersch

Software · Beratung · Lösungen

Suche im Blog

Sign In

Saturday, 12 September 2015

Rettet die Webanalyse: Meta-Referrer bei SSL-Umstellung einplanen

Besucher kommen, bleiben und gehen wieder. Auch heute passiert das erste und letzte noch oft über Links von A nach B. Daher ist es für jeden Webmaster nach wie vor interessant zu wissen, welche Seiten (und Domains) Traffic auf die eigene Website bringen.

Na und? Was ändert sich durch SSL?

Wenn Site A auf HTTPS umstellt - wozu es reichlich gute Gründe auch jenseits der Hoffnung auf bessere Rankings gibt -, dann kommt die Information der Quelle im Fall eines Links von A nach B nicht mehr unbedingt in der Webanalyse von B an. Vielmehr steigt dort im gleichen Maße, wie Verweistraffic sinkt, die Anzahl der Besucher an, die nun über "direct" kommen. Die Information geht also auf dem Weg verloren.

Help Me, Meta Referrer!

Um dem entgegenzuwirken, ist Site A gefragt. Hier kann aktiv entschieden werden, ob und welche Informationen weitergegeben werden sollen. Dazu dient eine entsprechende Angabe im Header der Seite. Die verschiedenen Optionen und der Aufbau werden z. B. hier in der Spezifikation bei w3.org beschrieben. Prinzipiell reicht es, in die Metadaten folgende Zeile aufzunehmen.

<meta name="referrer" content="unsafe-url">

Hierbei wird mehr oder weniger genau das an die den Traffic empfangende Website übermittelt, was auch vor der SSL Umstellung übergeben wurde. Es mag (wenig valide) Gründe dafür geben, diese Variante mit der vollständigen URL nicht umsetzen zu wollen (einfach nur Angst für dem "unsafe" im Namen zählt nicht!). Für diese Ausnahmen sollte aber auf jeden Fall ein

<meta name="referrer" content="origin">

akzeptabel sein - eine Variante, bei der es zumindest noch Schema und Host (also z. B. http://www.markus-baersch.de bei einem Verweis von einer URL wie http://www.markus-baersch.de/impressum.html) bis in die Webanalyse der verlinkten Site schaffen und so die Quelle wieder identifizierbar machen.

Unterstützung im Browsermarkt: Ja, schon...

Natürlich machen nicht alle Browser mit bei der Unterstützung dieser Anweisung. Es ist sicher keine Überraschung, dass ausgerechtet der IE (inkl. Edge) die meiste rote Farbe zur Visualisierung der Unterstützung nach Browser bei caniuse.com beisteuert:

Referrer Policy Unterstützung
Quelle: caniuse.com

Mit heute knapp 65% aller Browser weltweit und fast 75% der in DE verwendeten Browser bedeutet eine Implementierung des Tags aber sicher mehr, als nur die Unterstützung ein Exotenfeatures.

Bringt es also was?

Ja, unbedingt! Die mitunter enormen Auswirkungen auf die Zahlen in der Trafficzuordnung zeigt man am besten an einer anschaulichen Grafik. Leider habe ich aber keine zur Hand ;). Zum Glück gibt es aber ein schönes Beispiel aus der realen Google Analytics - Welt hierzu im Moz-Blog.

Warum "unsafe-url"?

"Warum nicht?" frage ich zurück. In den meisten Fällen hat man sich vorher auch keine Gedanken darüber gemacht. Ganz im Gegenteil wird oft eher vollkommen ungeniert gegen die Nutzungsbedingungen von Webanalysesystemen inkl. Google Analytics verstoßen, indem persönliche Informationen wie Mailadressen, Namen etc. mit der URL an die eigene Webanalyse gesendet werden. Wer jetzt plötzlich Bedenken entwickelt, sollte erst prüfen, wie es im eigenen System aussieht. Vielleicht mag es Szenarien geben, in denen ein Besucher einen für ihn auf irgendeine Weise wertvollen ausgehenden Link erst durch Ausfüllen eines (warum dann GET?) Formulars mit seinen Angaben "freischaltet"... aber selbst dann hilft eine interne Linkbrücke viel besser gegen Einblicke in das eigene System oder die Weitergabe persönlicher Daten als eine Beschneidung des Referrers durch https.

Erst meckern alle über das (not-provided)-Desaster und verschlimmern das Problem dann auch noch selbst? Wenngleich das - selbst bei großen Sites - im Vergleich zu Google "in viel kleinerem Stil" erfolgen mag, erscheint mir dieses Verhalten bestenfalls gedankenlos (oder wissend: scheinheilig).

Außer einer Anwendung, in der über in der Referrer-URL enthaltenen Pfade auf der verlinkten Website Rückschlüsse über den internen Aufbau, das Nutzerverhalten oder (wenngleich dann meist anonym; z. B. durch Mandantenkennungen o. Ä.) die Nutzungshäufigkeit für einzelne User erlaubt, kann ich keinen Grund sehen, warum man der Webanalyse seiner "Trafficnehmer" nicht wieder alles zurückgibt, was man ihr durch die SSL-Einführung zuvor genommen hat. In einer URL (nicht als Parameter) direkt enthaltene kritische Angaben wie Username und Passwort werden - genau wie Fragmente - ohnehin vor der Weitergabe ausgefiltert - egal ob bei einer HTTP - Verbindung oder via Metatag reaktivierter Übergabe bei HTTPS-Verweisquellen. Und o. g. Grenzfälle werden sich mit origin statt kompletter Beschneidung ganz sicher kein Bein brechen.

Die Einführung von SSL wird; auch getrieben durch die Hoffnungen auf bessere Rankings, die Google in vielen Webmastern weckt, weiter fortschreiten. Auch bei Sites, bei denen es eigentlich keinen wirklichen Grund dazu gibt. Die Browserhersteller (inzwischen ja nicht mehr nur Chrome) treiben den Ball ebenfalls weiter in diese Richtung. Wenn es aber nicht irgendwie gelingt, die Implementierung von Meta Referrer Tags in Checklisten für eine erfolgreiche SSL-Einführung zu bekommen, wird die Webanalyse darunter recht bald deutlich mehr leiden, als es jetzt schon der Fall ist. Das wäre ebenso schade wie unnötig, finde ich. Realistisch betrachtet wird eine bewusst gesteuerte Reaktivierung der Referrer-Information aber wohl leider der Ausnahmefall bleiben. Schade eigentlich.


#