Start » Blog » Analytics / Toolcheck
06.12.2020
Cloudflare Web Analytics
Cloudflare erweitert sein Angebot um eine Web Analyse Lösung. Es positioniert sich als kostenfreue und frei verfügbare einfache Auswertung von Besucherdaten im Stil von Simple Analytics, Plausible Analytics und anderen absichtlich auf wenige wesentliche Auswertungen reduzierten Tools. Nach Aussage auf der Startseite dient Cloudflare Analytics zur "datenschutzfreundlichen, ressourceneffizienten und genauen" Webanalyse.
TL;DR
Wie funktioniert das und welche Daten werden wie zur Auswertung angeboten? Hier mein erster Eindruck als Zusammenfassung:
- Zugang: erhält man derzeit noch über eine Warteliste unter https://www.cloudflare.com/de-de/web-analytics/ oder über einen bestehenden Cloudflare Account.
- Datensammlung: Während für zahlende Cloudflare Kunden die Erhebung von Daten auch über das verwendete CDN erfolgen kann, besteht für alle anderen Domains die Option der Einbindung eines JavaScript Tracking Scripts. Dabei wird eine ganze Menge an Daten gesammelt, die vor allem der Performance-Kontrolle dienen. Vor allem bei Auslieferung über Cloudflare dient das Tool also durchaus auch dem Anbieter - ohne allerdings in diesem Punkt kritische Daten zu sammeln, die den Besucher betreffen würden. Dummerweise sieht man aber von diesen Daten derzeit nichts im Auswertungsbereich.
- Identität: Scheint nicht auf Cookies oder Browserspeicher zu basieren
- Auswertung: Alle Daten laufen im einem einzelnen Dashboard auf. Darin sind eher spärliche Informationen zu sehen und es besteht wenig Möglichkeit zur aktiven Auswertung oder externen Nutzung.
Tracking: Fokus auf Vermessung der Website, nicht des Besuchers
In meinem Test habe ich sowohl eine Implementierung auf meiner eigenen Website vorgenommen, die ohnehin Cloudflare nutzt, als auch zur Erprobung auf einer "echten externen" Domain auf analytrix.de. Da nur eine Domain möglich ist (aber mehrere Hosts den gleichen Code nutzen können), habe ich dies nacheinander ausprobiert. Dabei habe ich in beiden Fällen auf den JavaScript Code zurückgreifen müssen. Es handelt sich im ein minimiertes Script mit erfreulich kleinen 4KB Größe.
Trackinghits werden nach dem Einbinden an einen Endpunkt auf cloudflareinsights.com gesendet. Per POST gehen dabei als Nutzlast des Hits ein ganzer Haufen an Informationen raus, die überraschend wenig mit der Seite oder dem Besucher, aber sehr viel mit Performance und Ressourcen zu tun hat. Hier ist also der Fokus nicht nur im Hinblick auf die Verteilung der Daten im Trackinghit deutlich mehr auf Qualitätskontrolle des CDN als auf die Auswertung der Besuche ausgerichtet. Dabei sind Daten zum Speicher und dessen Auslastung, Core Web Vitals, eine Auflistung der zusätzlichen geladenen Ressourcen und ein großer Haufen weiterer Timings, die vor allem das Rendering der Seite vermessen. Alles in allem also eine ganze Menge Zeugs, das "normale Webanalyse" nicht - oder nicht in diesem Umfang - im Tracking erhebt.
Außer "Location" und "Referrer" werden beim Tracking auch keine weiteren "siterelevanten" Infos gesammelt. Keine Titel, keine Daten zur Auflösung oder andere Dinge. Ein explizit übergebener User Agent existiert auch nicht, steckt also nur im Aufruf. Die übergebene Location beinhaltet keine Parameter - diese stecken aber freilich im Referrer des Tracking-Aufrufs. Der in der Nutzlast des Trackinghits explizit übergebene Referrer der aktuellen Seite enthält diese Parameter allerdings schon, denn im Header des Tracking Hits wird bei den meisten Browsern heute kein vollständiger Verweispfad oder gar die Parameter der verweisenden Seite mehr zu finden sein. Was damit passiert? Aktuell offenbar nicht sehr viel, wie man im nächsten Abschnitt sehen wird.
In der Antwort des Trackingservers wird ein Cookie gesetzt - oder es wird zumindest versucht. Nutzt man Cloudflare, kennt man das __cfduid - Cookie bereits. Bindet man den JS-Code ein, wird auch hierbei versucht, dieses Cookie zu setzen, was aber bei den meisten modernen Browsern nicht funktioniert. Dies ist vermutlich bei allen Cloudflare-Antworten Standard(?) Schafft es das Cookie. lebt es einen Monat. Es ist ein httpOnly/Secure/Lax Cookie, welches von einer Drittpartei gesetzt werden soll. Was in vielen Browsern bzw. Serverkonfigurationen heute ein Problem darstellt. Eines, das ggf. dafür sorgt, dass es "Einseitenbesuche" gibt (siehe unten). Lt. Cloudflare dient es aber gar nicht der Webanalyse, sondern nur der Identifizierung von Bots und auch dazu wird es bald nicht mehr erforderlich sein und aussterben. Warum es dennoch einen Unterschied ausmacht, ob es vorhanden ist oder nicht, mag ich nicht weiter untersuchen - komisch ist es aber schon, wenn alle Aussagen korrekt sind. Wie auch immer: Die Identifikation scheint wackelig. Der Test weist darauf hin, dass Cloudflare (noch) nicht mit Fingerprinting irgendeiner Art zu arbeiten scheint, denn dann wäre das Scheitern des Cookies kein zu beobachtendes Problem bei der Konsolidierung von Hits zu einzelnen Besuchen. Wie das in Zukunft dann ohne funktionieren soll, ist aus meiner Perspektive offen.
Auswertung: Schnell durchgespielt
Die Daten brauchen nach einer Implementierung / Aktivierung nur wenige Minuten, bis sie im Dashboard erscheinen. Das Ergebnis sind sehr übersichtliche Angaben, die alle problemlos auf eine Seite passen. Dies sind:
- Ein Verlaufsdiagramm, welches auf Klick entweder Besuche, Referrer, Browser etc. im Zeitverlauf darstellt
- Dazu eine Karte mit der Herkunft der Besucher
- Als Details in Listenform, die bis zu 15 Einträge anzeigen können, sieht man darunter:
- Hosts (wenn mehrere Hosts Traffic senden) und
- Referrer (als einziger Hinweis zur Quelle)
- Seiten-Pfade als einzige Info zu Inhalten; keine Parameter, keine Einstiegsseiten
- Tech-Standards: Browser, Betriebssystem und Gerätetyp
Das sind also wirklich nur die echten Basics, welche hier - und ausschließlich hier - zu betrachten sind. Keine vollständigen Listen oder sekundäre Dimensionen. Oder überhaupt weitere Dimensionen. Voreingestellte Zeiträume im Dashboard sind eher auf kurzfristige Betrachtung ausgelegt, können aber auch frei definiert werden.
Probleme und aktuelle Einschränkungen
Neben der Tatsache, dass man derzeit ziemlich wenig Daten sehen und auswerten kann, gibt es weitere Punkte, die den Nutzen der aktuellen Fassung von Cloudflare Web Analytics z. T. deutlich einschränken:
- Auflösung / Identifizierung: Cookies scheitern wie beschrieben u. U. bei der Implementierung als Third Party Script. Daher sind im schlimmsten Fall alle Hits isolierte Aufrufe stets neuer Besucher. Das ist natürlich eine wesentliche Einschränkung. Aber auch da, wo mehrere Hits durch eine ID mit Bestand zu Besuchen zusammengefasst werden können, sind Klassifizierungen von neuen zu wiederkehrenden Besuchern oder ähnliche Dinge (noch) nicht zu sehen im Tool.
- Individualisierbarkeit: Es existiert kein Event-Tracking, mit dem man ausgewählte Aktionen messbar machen könnte. Auch automatisch erfasste Ereignisse wie Scrolltracking, Downloads, Link-Klicks o. Ä. sind nicht vorgesehen.
- Attribution: Es gibt neben dem Referrer nichts, das Aufschluss über Besucherquellen gibt. Es erfolgt auch keine Auswertung von UTM-Parametern o. Ä. Wie o. a. ist ggf. sogar jeder Hit ein isoliertes Ereignis
- Auswertung: Wie beschrieben nur sehr wenig an Daten im Dashboard. Kaum Filteroptionen jenseits der Zeit-Dimension und einfachen "Klick-Filtern": Einzelne Zeilen der Tabellen wie Pfade, Referrer, Browser etc. können ausgeblendet oder alle anderen Daten per Klick auf einen einzelnen Eintrag gefiltert werden. Das erinnert an die Filterung von Daten im Data Studio. Weitere Segmentierung o. Ä. ist nicht möglich.
Fazit
Das Versprechen des Fokus auf Datenschutz hält man - vermutlich - ansatzweise ein, wenn man von der Nutzung des Identifikations-Cookies absieht. Während das in Kombination mit Cloudflare als CDN als First Party Cookie vermutlich kein Problem darstellt, setzt die allein zur Webanalyse dienende Variante für den Trackingserver unter cloudflareinsights.com auf eine Identität, die einen Monat lang leben soll. So ist eine Wiedererkennung und Profilbildung nur bedingt ein möglicher Kritikpunkt. Dennoch ist eine Einbindung ohne Zustimmung des Besuchers wohl keine Option. Allein das Cookie ist schon Grund genug, außerdem ist auch der ganze Rest des Tracking-Setups (jedenfalls in dieser Variante) eine hundertprozentige Drittpartei-Veranstaltung.
Funktional ist es derzeit schlichtweg noch viel zu wenig da, um nützlich zu sein. Selbst die Druckfunktion ist eher suboptimal umgesetzt und erzeugt zweite Seiten ohne Bezug zur ersten. Auch wenn keiner mehr drucken sollte - ein PDF zur Weitergabe sollte doch drin sein als Minimum, da es auch keine Nutzerverwaltung gibt. Oder gar einen Export der Daten. Von den vielen Daten zur Site-Performance hat und sieht man als Nutzer leider nichts. Was da ist, ist wenig genug. Da ist also nicht nur bei der Auswertung, sondern auch rund herum im Bereich der Administration und Nützlichkeit der Daten noch viel Luft nach oben. Es bleibt also abzuwarten, wie sich Cloudflare Web Analytics weiter entwickeln wird. Wer weiß? Vielleicht wird ja die segmentierbare Datenbasis nie im Fokus stehen, aber automatisch generierte Insights, Alerts oder gar im Webanalysebereich unvergleichlich umfangreiche Auswertungen zur im Besucherbrowser erfassten Performance könnten sich zu Merkmalen entwickeln, die Cloudflare von den eingangs genannten Kandidaten abzugrenzen, die sich derzeit als leichtgewichtige Alternativen zu Google Analytics zu etablieren versuchen. Ich werde ein Auge auf Cloudflare behalten.