Matomo-Deaktivierung funktioniert nicht

moal72 · May 5, 2018, 4:35pm

Hallo zusammen,

ich nutze Matomo (Piwik) eigentlich schon länger. Wegen dem aktuellen Wirbel in Sachen Datenschutz habe ich mir die Deaktivierung nochmals angesehen und mittels Browser Addon Ghostery festgestellt dass Piwik weiter trackt, obwohl ich das Häkchen entfernt habe.
Ein Blick auf die Check-Box zeigt, dass nach dem Seitenwechsel oder auch nach einem einfachen refresh der Seite das Häkchen wieder gesetzt ist.
Ein Test an einem anderen PC brachte dasselbe Ergebnis. Bislang fühlte ich mich mit Piwik in Sachen DS auf der sicheren Seite… jetzt bin ich ziemlich verunsichert.
Ich hoffe schwer, dass es da Abhilfe gibt.

Vielen lieben Dank schon mal vorab und liebe Grüße
moal

Lukas · May 5, 2018, 5:19pm

Hallo,

Erstmal zeigt Ghostery nur an, dass Matomo in der Seite eingebunden und geladen ist (was es ja nach dem opt-out immer noch ist).

Das Häckchen sollte aber wirklich nicht wiederkommen.

Kannst du mal ausprobieren, ob dieses Opt-Out richtig funktioniert?
https://matomo.org/privacy-policy/

Ansonsten kannst du mir gerne einen Link zu deinem Opt-Out schicken und ich schaue es mir an.

moal72 · May 5, 2018, 5:24pm

Hallo, vielen Dank für deine Antwort.
Ghostery würde mich nicht mal so stören, wenn das Häkchen nicht wie von Geisterhand wieder aktiviert wäre.
Auf der verlinkten Seite funktioniert es. Warum nicht bei mir?

Der Link geht gleich per Nachricht raus.
liebe Grüße
moal

moal72 · May 5, 2018, 5:40pm

Kleiner Nachtrag… wenn ich auf der verlinkten Seite das Kästchen deaktiviere, zeigt mir Ghostery übrigens Piwik nicht mehr an. Auch nicht, wenn ich auf die Startseite https://matomo.org/ wechsle.
liebe Grüße

Lukas · May 5, 2018, 6:14pm

Hallo,

Zu Ghostery kann ich nicht viel sagen, weil ich nicht weiß, wie es funktioniert.

Aber bei mir ist auf deiner Seite auch dasselbe Problem. Ich finde aber nicht heraus woran es liegt.

Ich werde mal weiterfragen und vielleicht fällt mir noch etwas ein.

Denn das das Opt-Out funktioniert ist fundamental.

moal72 · May 5, 2018, 6:21pm

Dankeschön!
Ich weiß ja nicht, ob es damit zu tun haben kann, aber ich frage einfach mal. Mein Piwik ist eine alte Installation aus Piwikzeiten, also vor Matomo. Die ist auch schon mal “umgezogen” auf einen Server mit Sicherheitszertifikat. Heute habe ich in der Adminkonsole gesehen, dass es einige Meldungen beim Datei-Integritätscheck gibt. Unter anderem wurden Unmengen Dateien aufgelistet die ich löschen sollte. Das habe ich auch weitestgehend umgesetzt… bis auf einige Dateien verschiedener Verzeichnisse die jeweils Menu.php heißen. Lösche ich diese Dateien wie gefordert, komme ich beim refresh der Seite nicht mehr zurück in den Adminbereich. Ich erhalte dann eine Fehlermeldung nach der Anderen zu den fehlenden Dateien. Erst wenn ich diese Menu-Dateien wieder hergestellt habe, komme ich wieder in den Adminbereich.
Sollte ich vielleicht die Piwikinstallation komplett neu aufsetzen? Oder gibt es da eher keinen Zusammenhang?

liebe Grüße

Lukas · May 5, 2018, 6:27pm

Hallo,

Damit hat es nichts zu tun, da empfehle ich falls einmal Zeit ist den kompletten Matomo-Ordner mit der neuersten Version zu ersetzen und nur die config-datei beizubehalten.

Ich habe das Problem aber schon gefunden, bin aber ratlos wie man es lösen kann. Vermutlich braucht das (recht bald) eine Lösung seitens Matomos:

Das Opt-Out funktioniert indem es einfach ein cookie names piwik_ignore auf die Domain von Piwik setzt.
Ich vermute aber, dass du Chrome verwendest und in den Einstellungen

Drittanbieter-Cookies blockieren
Websites von Drittanbietern am Speichern und Lesen von Cookiedaten hindern

aktiviert hast. Dadurch darf aber deine Webseite (die auf einer anderen Domain als dein Matomo liegt) keine Cookies auf die Matomo-Domain setzten und somit kein Opt-Out cookie erstellen.

Die Lösung wird vermutlich sein, dass Matomo in Zukunft das Opt-Out Cookie auf die Domain der Webseite setzt.
Aber das macht einiges komplizierter und ich bilde mir ein, dass das Setzen des Cookies im iFrame früher funktioniert hat.

moal72 · May 5, 2018, 7:07pm

Hallo,

das ist ja blöd. Ich habe die Installation auf die andere Domian gelegt, weil ich bei meinem Provider je Paket nur ein Zertifikat frei habe. Da ich zwei Pakete habe und das Zertifikat in dem anderen Paket nicht benötige habe ich Piwik da rüber verfrachtet. Eine unsichere Verbindung für Piwik ist ja auch nicht wirklich eine Lösung des Problems. In einem Jahr steht ein Provider-Umzug an. Da wird dann wieder beides auf einem Server liegen. Deine Vermutung mit dem Browser trifft allerdings nicht zu. Ich nutze fast ausschließlich den Firefox. Auch bei meinen Test bezüglich des Problems. Und irgendwelche Maßnahmen zum Unterbinden von Cookies habe ich da eigentlich auch nicht getroffen.
Wenn diese Browsereinstellung diese Auswirkung hätte, müsste man ja aber fast darauf hinweisen. Man weiß ja nie, mit welchem Browser die Besucher kommen und wie sie ihre Einstellungen vorgenommen haben.
Klingt als würde es keine zeitnahe Lösung für mein Problem geben. Was würdest du an meiner Stelle nun tun?
liebe Grüße und besten Dank!

Lukas · May 5, 2018, 7:09pm

Hallo,

Ich habe das Problem mal weitergeleitet. Es ist aber gerade Wochenende, also kann es vermutlich bis Montag dauern.

moal72 · May 5, 2018, 8:29pm

Das ist nett. Vielen Dank für die Mühe und ein schönes Wochenende.

moal72 · May 9, 2018, 9:13am

Hallo, ich habe heute das neue Update installiert. (Matomo in das Wordpress-Verzeichnis?) Leider brachte es bei meinem Problem keine Veränderung.
liebe Grüße

limeboxIT · May 10, 2018, 9:59am

Ich habe die Erfahrung gemacht, dass das Optout scheinbar nicht funktioniert, wenn sich die Piwik/Matomo-Domain im Tracking-Code und beim Optout-Iframe unterscheiden, also z. B. einmal mit, einmal ohne www.

Es kann also sein, dass dein Tracking-Code z. B. auf www.tracking-domain.de hört, in dem Cookie vom iframe aber nur tracking-domain.de (also statt www.tracking-domain.de) steht. Dann werden weiterhin Daten erfasst.

moal72 · May 12, 2018, 10:31am

Daran liegt es hier leider nicht, aber danke. Piwik liegt auf einem anderen Server als die Seite selbst. Das Update sollte Abhilfe schaffen, tut es aber leider nicht.

berlindave · May 13, 2018, 11:06am

Ich habe dasselbe Problem hier: Datenschutzerklärung | Craft Bier Geek
Wenn ich den Haken im Matomo-iFrame (auf der Seite steht noch Piwik) entferne, ist er manchmal sofort wieder da, manchmal auch vorübergehend verschwunden. Spätestens nach zweimaligem Neuladen der Seite ist der Haken jedoch wieder da.
Meine Matomo-Installation liegt auch auf einer anderen Domain.

Lukas · May 13, 2018, 11:28am

Hallo @moal72 und @berlindave,

Das Problem ist, dass dies sich nicht wirklich einfach lösen lässt, da es eine Einstellung des Browsers ist keine Cookies von 3rd-party-domains anzunehmen.

Die Lösung, die ich oben erwähnt habe ist zwar in 3.5.0 enthalten, aber vermutlich nicht so umfangreich, wie ihr es euch wünschen würdet:

github.com/matomo-org/matomo

Add minimal first party cookie opt out support to JS tracker

matomo-org:3.x-dev ← matomo-org:piwik-ignore-tracker

opened 03:40AM - 06 May 18 UTC

diosmosis

+198 -100

Added three new methods to the tracker: * `isUserOptedOut()`: checks for `piw…ik_ignore` cookie on site being tracked (so not matomo domain). * `optUserOut()`: sets cookie on site. * `forgetUserOptOut()`: deletes the cookie on the site. If the user is opted out, `sendXmlHttpRequest()` never sends anything to the server. These new methods can be used to implement a custom opt out form on a site, which would not otherwise be easily doable since you'd have to set a cookie on the matomo domain. Note: I tried to work this into the consent feature, since it's pretty similar (opt-out vs. opt-in), but the feature of consents that remembers requests to send is not applicable to opt-out (while a user is opted-out we don't want to remember anything the user did, otherwise we would be tracking them in some way). I am not sure how well this works w/ other JS tracker features since it's been a while since I've coded there. @tsteur / @mattab can you guys take a look and see if this change will work? Putting in the 3.5.0 milestone, but feel free to move it.

Denn damit der Opt-Out gespeichert werden kann, muss das cookie also auf die Domain der Webseite gespeichert werden. Das darf aber glaube ich wiederum das iFrame nicht (weil es ja von einer anderen Domain kommt.

Mit 3.5.0 könnt ihr aber die folgenden Funktionen nutzen, um für die Seite ein eigenes Opt-Out zu bauen:

var tracker = Piwik.getAsyncTracker()
console.log(tracker.isUserOptedOut())
tracker.optUserOut()
console.log(tracker.isUserOptedOut())
// tracker.forgetUserOptOut()

Alternativ kann man natürlich immer anstatt des iFrames auf das Opt-Out verlinken, denn so kommt der Besucher auf die Matomo-Domain.

Oder meine Lösung zu dem Problem ist es für jede Webseite einen A-Record (oder CNAME) auf meinen Server zu setzen und dann Matomo einfach unter allen Domains laufen zu lassen. (Sodass also matomo.webseite1.example, matomo.webseite2.example undmatomo.webseite3.example alle auf dieselbe Matomo-Instance zeigen)

berlindave · May 13, 2018, 11:43am

Danke, @Lukas, für die ausführliche Erläuterung des Problems. Nun weiß ich wenigstens, woran es hakt. Besten Dank auch für die diversen Problemlösungsansätze!

moal72 · May 13, 2018, 11:50am

Das stimmt aber ja so nicht. Ich habe keinerlei Einstellungen in meinem Browser vorgenommen die Cookies von Drittanbietern ablehnen. Ganz im Gegenteil.
Wenn aber die Einstellungen jedes Besuchers, der diese Browsereinstellung vorgenommen hat, ignoriert werden, kann ich Piwik/Matomo nicht als unbedenklich in Sachen DS einstufen. Kein Abmahnanwalt wird sich dafür interessieren, ob die Browsereinstellung des Besuchers Schuld am geschiterten optout ist. Ganz im Gegenteil. Vermutlich wird sich das schnell rumsprechen und man wird gezielt nach diesen Kandidaten ausschau halten um sie abzumahnen.
Um ein eigenes OptOut zu bauen, fehlen mir leider die Kenntnisse, auch die zweite Lösung zaubert mir nur Fragezeichen auf die Stirn. Ich bin Anwender und habe keine Programmierkenntnisse.
Und ob es langfristig zulässig ist auf eine andere Seite zu verlinken ist auch noch fraglich. Siehe wieviel Klicks bis zum Impressum etc.

Liebe Grüße

berlindave · May 13, 2018, 11:57am

@moal72, hättest Du die Möglichkeit, Matomo auf einer Subdomain zu Deiner zu trackenden Website zu installieren? Bei einer meiner Installationen liegt Matomo auf piwik.meinedomain.tld, da habe ich keine Probleme. Probleme entstehen nur, wenn ich auf Matomo auf einer völlig anderen Domain zugreife.

moal72 · May 13, 2018, 12:03pm

Ich weiß, ich hatte es bis vor kurzem auf einer Subdomain. Da habe ich es runter genommen, weil ich für diese Domain kein Zertifikat habe. Ich habe aber ein zweites WH-Paket, in dem ein Gratiszertifikat frei war. Deshalb der Umzug von Piwik. Danach bemerkte ich zufällig das Problem. Ich generiere mit dem Blog 0 Einnahmen und müsste für das Zertifikat für die Subdomain monatlich 8 Euro zahlen. Das ist mir zu viel. Dann muss ich auf Statistik leider verzichten.

Liebe Grüße

Lukas · May 13, 2018, 12:07pm

Hallo,

Ich glaube, dass hier das eigentliche Problem anfangt. Man sollte niemals darin limitiert sein, wie man seine Webseiten strukturiert, nur weil man Kosten minimieren will. Subdomains kosten nichts und SSL-Zertifikate auch nicht (siehe Let’s Encrypt).

Nur leider lässt sich das Shared-Hostern, die vor einigen Jahren in der Zeit stehengeblieben sind, das schlecht mitteilen.