Cloudflare übernimmt Zaraz, um das Laden von Drittanbieter-Tools in der Cloud zu ermöglichen

Wir freuen uns sehr, heute die Übernahme von Zaraz durch Cloudflare und die Einführung von Cloudflare Zaraz (Beta) bekannt geben zu können. Es handelt sich dabei um eine Beta-Version des Zaraz-Produkts, die direkt in die Systeme und das Dashboard von Cloudflare integriert ist. Mit Cloudflare Zaraz können Sie Tools von Drittanbietern in der Cloud verwalten und laden, was erhebliche Verbesserungen bei Geschwindigkeit, Datenschutz und Sicherheit mit sich bringt. Wir haben vom ersten Tag an auf Workers, die Technologie und das Netzwerk von Cloudflare gesetzt und sind daher besonders glücklich, Zaraz nun allen Cloudflare-Kunden kostenlos anbieten zu können. Wenn Sie bereits Cloudflare-Kunde sind, müssen Sie nur auf Ihrem Dashboard auf das Zaraz-Symbol klicken. Dann können Sie sofort mit der Konfiguration Ihres Drittanbieter-Stacks beginnen. Änderungen am Quellcode sind nicht erforderlich. Wir wollen in den nächsten Monaten schrittweise weitere Funktionen freischalten, um die Beta-Version zu einem vollständigen und ausgereiften Produkt weiterzuentwickeln.

Es ist an der Zeit, sich von traditionellen Tag-Managern und Kundendatenplattformen zu verabschieden. Sie haben ihren Zweck zwar hervorragend erfüllt, aber im Zuge der Weiterentwicklung des Webs gleichzeitig einige kritische Probleme verursacht. Diese wollen wir nun lösen.

Eine Schwemme von Drittanbieter-Tools

Yo'av und ich haben Zaraz gegründet, nachdem wir uns hinsichtlich der Implementierung von Drittanbieter-Tools auf entgegengesetzten Seiten wiedergefunden hatten. Ich arbeitete mit Produkt- und Marketingmanagern zusammen, die mich oft baten, doch „nur noch ein zusätzliches Analysetool“ in die Website zu integrieren. Yo'av als Entwickler versuchte im Gegensatz dazu, wegen der mit diesen Tools einhergehenden Leistungseinbußen und Sicherheitsrisiken dagegen anzukämpfen.

Die Entwicklung von Zaraz nahmen wir in Angriff, nachdem wir mit Hunderten von frustrierten Ingenieurinnen und Ingenieuren auf der ganzen Welt gesprochen hatten. Alles begann, als wir im Winter 2020 bei Y Cominbator anfingen. Damals arbeiteten wir an einem ganz anderen Produkt, nämlich Qualitätssicherungssoftware für Webanalyse-Tools. Bei jedem Pitch präsentierten wir eine Liste der Tools, die auf der Website unseres potenziellen neuen Kunden geladen wurden. Gleichzeitig stellten wir alle bei diesen Tools auftretenden Implementierungsfehler vor. Immer wieder waren wir daraufhin mit den gleichen Fragen konfrontiert: „Wie kommt es, dass wir so viele Drittanbieter-Tools laden? Verlangsamen diese Tools unsere Seite? Hat das einen Einfluss auf die Suchmaschinenoptimierung? Wie können wir unsere Nutzer schützen, wenn eines dieser Tools gehackt wird?“ An der Qualitätssicherung zeigte niemand sonderlich großes Interesse. Entwickler erkundigten sich stattdessen nach den unaufhörlichen wachsenden Leistungseinbußen und Sicherheitsrisiken, die von Drittanbieter-Tools verursacht werden.

Wir waren uns nicht ganz sicher, wie wir diese Fragen beantworten sollten, erkannten aber bald, dass möglicherweise ein größeres Problem dahintersteckt. Deshalb entschlossen wir uns, der Sache selbst auf den Grund zu gehen. Wir entwickelten einen Bot und analysierten die 5.000 meistbesuchten Domains in den USA. Wir luden diese mit und ohne Drittanbieter-Tools und verglichen anschließend die Ergebnisse. Im Durchschnitt verlangsamte sich das Web durch die Tools um 40 %. Mitte der 2010er-Jahre, einige Jahre nachdem der Google Tag Manager (GMT) auf den Markt gekommen war, fragten uns Ingenieure oft, ob dessen Nutzung ihre Website verlangsamen würde. Damals konnte dies niemand eindeutig beantworten. Die offizielle Aussage von Google war, dass der GTM asynchron laden würde und daher das Laden von „für Nutzer sichtbaren Elementen“ nicht verlangsamen sollte. Inzwischen wissen wir, dass das so überhaupt nicht stimmt.

Obwohl Google den gesamten Markt dazu drängt, schnellere Websites zu bauen, ist es oft der eigene Stack des Unternehmens, der genau das verhindert. Wenn Sie jemals Google PageSpeed Insights verwendet haben, ist Ihnen vielleicht aufgefallen, dass Google die eigenen Tools im Diagnoseabschnitt als problematisch aufzeigt. Sogar im Google Merchandise Store, der hauptsächlich Tools aus dem Google-Sortiment (GTM, Analytics, Ads, DoubleClick usw.) einsetzt, blockieren Tools von Drittanbietern den Hauptthread für rund vier Sekunden. GTM selbst ist für eine Blockierzeit von mehr als einer Sekunde verantwortlich. Die neuesten Entwicklungen auf diesem Gebiet, etwa das Aufkommen von Kundendatenplattformen, haben die Problematik nur noch verschärft: Heute wird mehr Drittanbieter-Code als je zuvor im Browser geprüft und ausgeführt.

Eine durchschnittliche Website im Jahr 2021 verwendet auf Mobilgeräten 21 Lösungen von Drittanbietern. Auf dem Desktop sind es 23. In den oberen zehn Prozent erreichen diese Zahlen erschreckende Ausmaße – mit 89 Drittanbieterlösungen auf Mobil- und 91 Drittanbieterlösungen auf Desktopgeräten. Das Laden all dieser Tools verlangsamt eine Website zwangsläufig und wirkt sich negativ auf wichtige Messwerte wie die Total Blocking Time oder die Time to Interactive aus. Es ist ein aussichtsloser Kampf.

In einer Zeit, in der sich einfach alles online abspielt, wird Geschwindigkeit zu einem Wettbewerbsvorteil. Im heutigen digitalen Kontext ist klar, dass eine schnellere Website sich auch in den Geschäftszahlen widerspiegelt und notwendig ist, um sich gegen die Konkurrenz durchzusetzen. Die neuesten Daten von Google und Deloitte haben gezeigt, dass eine Änderung der Ladezeit von nur 0,1 Sekunden jeden einzelnen Schritt der User Journey beeinflussen kann, was letztendlich über verschiedene Branchen hinweg die Konversionsraten um bis zu 10 % erhöht. Darüber hinaus hat Google letztes Jahr die sogenannten Core Web Vitals angekündigt, eine Reihe von Metriken zur Geschwindigkeitsmessung, die sich auf die SEO-Rankings auswirken.

Die Vielzahl von unterschiedlichen Lösungen gefährdet zudem die Serversicherheit und den Datenschutz von Websites. Da die meisten Tools auf Remote-JavaScript-Ressourcen zurückgreifen, können Kunden nur begrenzt nachvollziehen, was genau auf ihrer Website geladen wird. Und als wäre das noch nicht genug, nutzen viele Drittanbieter-Tools wiederum andere Drittanbieter-Ressourcen oder sie leiten HTTP-Anfragen an Endpunkte um, von deren Existenz Sie gar nichts wussten. Diese schädliche Praxis setzt Nutzer Bedrohungen aus und verstößt nicht selten gegen datenethische Grundsätze. In Anbetracht von DSGVO, CCPA und anderen Vorschriften ist das ein recht gravierendes Problem.

Es zeichnen sich mittlerweile Trends ab, die darauf hindeuten, dass sich unsere Verwendung von Drittanbieterlösungen (insbesondere bei Werbe- und Marketingtools) grundlegend wandeln wird. Gängige Browser erzwingen striktere Beschränkungen für die Verwendung von Drittanbieter-Cookies. Die Öffentlichkeit äußert Bedenken hinsichtlich Datenschutz und Nutzereinwilligung. Es ist nur eine Frage der Zeit, bis Marketing- und Werbetools gezwungen sein werden, komplett auf Drittanbieter-Cookies zu verzichten. Der einzig vernünftige Ansatz ist dann, APIs zu öffnen und Kunden das Laden in der Cloud zu ermöglichen. Und um diesen Wandel zu vollziehen, werden Unternehmen nutzungsfreundlichere Infrastrukturen benötigen. Es ist sinnvoll, diese Art von Infrastruktur an der Edge aufzubauen, da sie für eine optimale Performance so nah wie möglich am Endnutzer eingesetzt muss.

Eine schnellere und sichere Website mit Zaraz

Zaraz optimiert das Laden von Drittanbieter-Tools und kann so die Performance einer Website erheblich steigern. Jedes von uns unterstützte Tool ist ein bisschen anders, aber die Grundidee ist dieselbe: Generell wollen wir so viele Abläufe wie möglich in unserem Cloud-Backend statt im Browser ausführen. Über das Dashboard haben Kunden die Möglichkeit, jede Art von Drittanbieterlösung zu implementieren: interaktive Widgets, Tools für Analyse, Werbung, Marketingautomatisierung oder CRM und so weiter. Die Beta-Version enthält eine Bibliothek mit 18 Drittanbieter-Tools, die Sie in Ihre Webseite integrieren können. Mit wenigen Klicks lassen sich die Tools Ihrer Wahl vollständig in der Cloud laden, ohne dass JavaScript in den Browsern Ihrer Endnutzer ausgeführt wird. Mehr über unsere einzigartige Technologie erfahren Sie in einem Blogbeitrag unseres CTO Yo'av Moshe.

Wenn Skripte von Drittanbietern nicht länger im Browser ausgeführt werden, reduziert sich damit auch der Umfang des dort ausgeführten Quellcodes, was erheblichen Einfluss auf die Seitenladezeiten hat. Zudem wird dadurch eine zusätzliche Sicherheitsebene geschaffen und für mehr Kontrolle über personenbezogene Daten, geschützte Gesundheitsdaten oder andere vertrauliche Informationen gesorgt, die oft unbeabsichtigt an Dritte weitergegeben werden. Ihre Website enthält Ressourcen von Drittanbietern? Wir werden heute die neue Cloudflare-Lösung PageShield vorstellen, die Ihre Seite vor Risiken schützt. Diese beiden Produkte bieten einen ganzheitlichen Ansatz zur Neutralisierung der auf Drittanbieter zurückgehenden Sicherheits- und Datenschutzbedrohungen.

Für Kunden, die komplexere Integrationen testen möchten, bieten wir eine Ereignis-API und eine Reihe von voreingestellten Variablen, die Sie verwenden können. So können Sie Konversationsraten messen oder auf Ihrer Website durchgeführte Aktionen im Kontext analysieren. Für aktuelle Nutzer des Google Tag Manager (GTM) haben wir ebenfalls eine gute Nachricht: Zaraz ist standardmäßig abwärtskompatibel mit dataLayer. Sie können ganz einfach von GTM zu Zaraz wechseln, ohne Ihre Codebasis ändern zu müssen. In naher Zukunft werden wir es Ihnen außerdem ermöglichen, Ihre aktuelle GTM-Konfiguration ganz leicht bei Zaraz zu importieren.

Instacart reduziert Blockierzeit auf 0 ms und sorgt mit Zaraz für mehr Sicherheit

„Durch die Nutzung von Zaraz konnten wir bei Instacart die Performance unserer Shopper-spezifischen Domains mit minimalen Anpassungen der gesamten Website erheblich verbessern. Wir hatten bereits zahlreiche Optimierungen an https://shoppers.instacart.com/ vorgenommen, identifizierten schließlich bei der Betrachtung der Auswirkungen auf die Performance jedoch Tools von Drittanbietern als weiteres Problem. Mit Zaraz haben wir die Ladezeiten von Drittanbieterlösungen optimiert. Dank Cloudflare Workers konnten wir zudem die Integration in unserer eigenen Subdomain belassen, um die Kontrolle über Sichtbarkeit und Sicherheit zu behalten.“
Marc Barry, Staff Software Engineer, Cloud Foundations bei Instacart

Wer könnte besser über die Vorteile von Zaraz sprechen als unsere Kunden selbst? Instacart, Nordamerikas größte Online-Lieferplattform für Lebensmittel, hat beschlossen, Zaraz auf ihrer Domain shoppers.instacart.com auszuprobieren. Zwei Ziele waren dabei maßgebend: verbesserte Sicherheit und Datenschutz sowie eine schnellere Seitenladezeit (und insbesondere eine Verringerung der Total Blocking Time).

In Bezug auf Sicherheit und Datenschutz spielte die Tatsache, dass Zaraz standardmäßig keinerlei Informationen über den Endnutzer speichert, sondern lediglich als Pipeline fungiert, eine wichtige Rolle bei dieser Entscheidung. Und indem Skripte von Drittanbietern nicht länger direkt im Browser ausgeführt werden, wollte Instacart das mit der Verwendung von Drittanbietern-Tools verbundene Sicherheitsrisiko verringern. Für noch mehr Kontrolle entschied sich das Team für den Einsatz von Cloudflare Workers, um alle Anfragen an den und vom Zaraz-Dienst über die Subdomain shoppers.instacart.com weiterzuleiten. Das verschafft Instacart volle Transparenz und Autonomie im Hinblick darauf, wie Daten an Dritte (einschließlich Zaraz selbst) gesendet werden.

Instacart ist eines der technisch versiertesten Unternehmen der Welt – und im Vergleich zu anderen Websites war die Shoppers-Subdomain bereits ziemlich schnell. Es war bei weitem nicht das erste Mal, dass das Team an einer Verbesserung der Geschwindigkeitswerte arbeitete. Nun war es jedoch an einem Punkt angelangt, an dem Skripte von Drittanbietern die Hauptursache für die Verschlechterung der Performance waren.

Speed metrics improvements measured on https://shoppers.instacart.com/, before and after implementing Zaraz. Measured on Mobile, US East.

Wie die obige Grafik zeigt, wurde durch die Einführung von Zaraz die Seitenladezeit auf Mobilgeräten erheblich verkürzt. Die Total Blocking Time sank von 500 ms auf 0 ms. Bei der Time to Interactive wurde eine Verbesserung um 63 % verzeichnet, denn sie fiel von 11,8 auf 4,26 Sekunden. Mit einer Abnahme von 3,62 auf 1,45 Sekunden verbesserte sich die Prozessorzeit um 60 % und JavaScript konnte um 63 % komprimiert werden, von 448 KB auf 165 KB.

Speed metrics improvements measured on https://shoppers.instacart.com/, before and after implementing Zaraz. Measured on Desktop, US East.

Auch auf Desktopgeräten wurden deutliche Verbesserungen gemessen. Die Total Blocking Time sank von 65 ms auf 0 ms. Die Time to Interactive wurde von 1,64 auf 1,26 Sekunden und somit um 23 % reduziert. Mit einer Abnahme von 1,57 auf 0,7 Sekunden verbesserte sich die Prozessorzeit hier um 55 % und JavaScript konnte – wie schon auf Mobilgeräten – um 63 % komprimiert werden, von 448 KB auf 165 KB.

Immer mehr Branchenführer wie Instacart beginnen damit, Tools in die Cloud zu verlagern. Es wird wohl nicht mehr lange dauern, bis ein Großteil der SaaS-Anbieter und Start-ups mehr und mehr serverseitige Integrationen entwickelt, die als Komplettlösungen am Netzwerkrand ausgeführt werden. Drittanbieter hatten keineswegs böse Absichten – ihnen fehlten lediglich die Werkzeuge, um skalierbare Integrationen an der Edge zu erstellen. In Kooperation mit Instacart hatten wir die Möglichkeit, uns direkt mit ausgewählten Anbietern zu vernetzen und gemeinsam die besten Konzepte zu erarbeiten. Auch in Zukunft werden wir weiterhin mit SaaS-Unternehmen und ‑Anbietern kooperieren und sie dabei unterstützen, auf möglichst unkomplizierte Weise Lösungen am Netzwerkrand zu entwickeln. Wir halten Sie auf dem Laufenden!

Die Zukunft von Zaraz als Plattform

Der heutige Tag markiert einen wichtigen Meilenstein für unser Unternehmen. Unser Team freut sich darauf, zukünftig im Cloudflare-Büro in Portugal zu arbeiten. Dort werden wir weiterhin die Produktentwicklung von Zaraz leiten. Als Teil von Cloudflare werden wir Zaraz zu einer Plattform machen, auf der Drittanbieter ganz einfach Tools erstellen und das globale Netzwerk von Cloudflare nutzen können. Wir werden mit gutem Beispiel vorangehen und die Einführung von serverseitigem Laden von Drittanbieter-Tools branchenweit vorantreiben. Schließlich wollen wir es allen ermöglichen, bessere, schnellere und sicherere Produkte zu entwickeln.

Schon bevor wir Teil von Cloudflare wurden, lief Zaraz bereits vollständig auf Workers. Das erlaubte eine schnelle und unkomplizierte Integration und gibt uns nun die Möglichkeit, zügig zur Entwicklung neuer Funktionen überzugehen. So können wir auf ein vollständiges Produktangebot und eine allgemeine Verfügbarkeit hinarbeiten. Dank der einzigartigen internen Ressourcen von Cloudflare können wir Zaraz noch robuster machen und das Onboarding für neue Kunden vereinfachen. Bereits jetzt haben wir erreicht, dass Cloudflare-Kunden für die Verwendung von Zaraz keine Codeänderungen vornehmen müssen. Sobald die Lösung aktiviert ist, wird unser Skript direkt in das <head>-Element des HTML-Codes eingefügt. Spannend ist auch, dass der komplette Dienst nun auf Ihrer eigenen Domain läuft.

Darüber hinaus möchten wir uns die Expertise von Cloudflare zunutze machen, um unser Funktionsspektrum zu erweitern und unseren Kunden zu helfen, durch Drittanbieter-Code verursachte Sicherheitsbedrohungen und Datenschutzrisiken zu minimieren. Wir denken dabei beispielsweise an Geolokation-Trigger, die es Ihnen ermöglichen würden, je nach Standort der Besucher Ihrer Website unterschiedliche Tools zu laden. Nur so können Sie den diversen rechtlichen Vorgaben verschiedener Länder gerecht werden. Ein weiteres Beispiel ist unser Feature zum Schutz vor Datenverlust, das bereits von einer Reihe unserer Enterprise-Kunden verwendet wird. Es scannt alle an Drittanbieter-Endpunkte gerichteten Anfragen, um sicherzustellen, dass sie keine vertraulichen Informationen wie Namen, E-Mail-Adressen oder Sozialversicherungsnummern enthalten. Viele weitere Funktionen sind bereits in Planung.

Als enorm einflussreiches Unternehmen wird Cloudflare uns dabei helfen, auf dem gesamten Markt positive Veränderungen anzustoßen. Wir möchten Anbieter dazu bringen, vermehrt auf die Edge zu setzen, und Unternehmen überzeugen, Cloud-Loading zu implementieren. Wir planen eine Erweiterung unseres SDK, damit alle Drittanbieter ihre Integrationen auf unserer Plattform entwickeln und ihre Lösungen mithilfe von Workers ganz einfach am Netzwerkrand ausführen können. Zusammen mit Cloudflare werden wir eine führende Rolle spielen, wenn es um die Verlagerung von Drittanbieter-Code in die Cloud geht. Es ist an der Zeit, sich von Tag-Managern und Kundendatenplattformen zu verabschieden. Diese Ankündigung markiert das Ende einer Ära. Schon bald werden wir alle 40 % schneller im Internet surfen können – einfach nur durch eine Optimierung des Ladens von Drittanbieter-Tools auf Websites.

Indem wir Zaraz Millionen von Cloudflare-Nutzern auf der ganzen Welt zur Verfügung stellen, sind wir unserem Ziel, das Internet für alle schneller und sicherer zu machen, einen Schritt näher gekommen. Wir sind der Meinung, dass der Einsatz von Analysetools, Chatbots und anderen Drittanbieter-Lösungen die Nutzererfahrung nicht beeinträchtigen sollte – egal, von welcher Websitegröße wir sprechen. Im Gegenteil: Diese Tools sollten die Nutzererfahrung verbessern. Wir werden weiter hart an unserem Ziel arbeiten, bis das gesamte Web Tools von Drittanbietern in der Cloud lädt und Browser das tun lässt, was sie ursprünglich tun sollten: Websites laden. Wir können es kaum erwarten und werden nicht ruhen, bis es soweit ist.

Wenn Sie sich die kostenlose Beta-Version genauer anschauen möchten, klicken Sie bitte hier. Unternehmen mit spezifischen oder zusätzlichen Anforderungen können sich gerne in die Warteliste eintragen. Auf der Suche nach unserem Discord-Channel? Den finden Sie hier.