Cloudflare schafft das __cfduid-Cookie ab. Ab dem 10. mai 2021 werden wir bei den meisten HTTP-Antworten keinen „Set-Cookie“-Header mehr hinzufügen. Die letzten __cfduid-Cookies werden 30 Tage danach verfallen.

Wir haben das __cfduid-Cookie stets ausschließlich zur Bereitstellung kritischer Performance- und Sicherheitsdienste im Auftrag unserer Kunden verwendet. Obwohl wir zugeben müssen, dass die „uid“-enthaltende Bezeichnung wirklich so klang, als wäre es eine Art Benutzer-ID. Das war es jedoch nicht. Niemals trackt Cloudflare Endbenutzer über verschiedene Websites hinweg oder verkauft deren persönliche Daten. Wir wollten jedoch nicht, dass es Fragen zu unserem Umgang mit Cookies gibt. Wir möchten auch nicht, dass Kunden wegen unserer Entscheidung glauben, sie bräuchten einen Cookie-Banner.

Warum haben wir also bisher das __cfduid-Cookie verwendet, und warum können wir es jetzt entfernen?

Der Cookie wird hauptsächlich verwendet für die Erkennung von Bots im Internet. Böswillige Bots können einen Dienst stören, der explizit von einem Endbenutzer angefordert wurde (durch DDoS-Angriffe) oder die Sicherheit des Benutzerkontos gefährden (z.B. durch Brute-Force-Passwort-Cracking oder Credential Stuffing usw.). Wir nutzen viele Signale, um Machine Learning-Modelle zu erstellen, die automatisierten Bot-Traffic erkennen können. Das Vorhandensein und das Alter des cfduid-Cookies war nur ein Signal in unseren Modellen. Für unsere Kunden, die von unseren Bot-Management-Produkten profitieren, ist der cfduid-Cookie also ein Werkzeug, das es ihnen ermöglicht, eine vom Endbenutzer ausdrücklich gewünschte Dienstleistung anzubieten.

Der Wert des cfduid-Cookies wird von einem einseitigen MD5-Hash aus IP-Adresse, Datum/Uhrzeit, User-Agent, Hostname und verweisender Website des Cookies abgeleitet -- was bedeutet, dass wir ein Cookie nicht mit einer bestimmten Person in Verbindung bringen können. Dennoch dachten wir als Unternehmen, das den Schutz der Privatsphäre an erster Stelle stellt: Können wir eine bessere Möglichkeit zur Erkennung von Bots finden, die nicht auf dem Sammeln von Endbenutzer-IP-Adressen beruht?

In den letzten Wochen haben wir versucht, herauszufinden, ob es möglich ist, unsere Bot-Erkennungsalgorithmen ohne Verwendung dieses Cookies auszuführen. Wir haben dabei festgestellt, dass es möglich sein wird, die Erkennung von Bots ohne diesen Cookie zu bewerkstelligen. Wir informieren jetzt über die Abschaffung des Cookies, um unseren Kunden Zeit zur Umstellung zu geben, während unser Bot-Management-Team daran arbeitet, sicherzustellen, dass nach dem Entfernen dieses Cookies keine Qualitätseinbußen in Bezug auf unsere Bot-Erkennungsalgorithmen auftreten. (Beachten Sie, dass einige Bot-Management-Kunden nach dem 1. April weiterhin ein anderes Cookie verwenden müssen.)

Es handelt sich zwar nur um eine kleine Änderung, aber wir freuen uns über jede Gelegenheit, das Web einfacher, schneller und privater zu gestalten.