Was ist mein User Agent

Die obige Zeichenfolge ist der genaue User-Agent-Header, den Ihr Browser heute bei normalen HTTP-Anfragen sendet. Ich habe diese Seite erstellt, weil ein Produktions-Next.js-Deployment einmal das falsche Layout an iPhone-Nutzer ausgeliefert hat: Unsere Middleware analysierte noch einen eingefrorenen Desktop-Token, während die Client Hints bereits Sec-CH-UA-Mobile: ?1 meldeten. Der Fehler lag bei uns, nicht bei Apple, aber er hat mich gelehrt, bei jedem SSR-Ticket sowohl den Legacy-String als auch die Client-Hint-Header zu protokollieren. Im Folgenden erkläre ich, was die einzelnen Token bedeuten, wie User-Agent Client Hints das alte Sniffing-Spiel ersetzen und wann das Vortäuschen (Spoofing) zum Testen legitim oder schädlich für die Privatsphäre ist.

Was ein User-Agent-String eigentlich ist

Der User-Agent-Anfrageheader ist ein einzelnes Textfeld, das in RFC 9110 definiert ist. Server haben ihn in der Vergangenheit mit regulären Ausdrücken analysiert, um die Browser-Engine, das Betriebssystem und die Geräteklasse zu erraten. Das Format ist über Konventionen hinaus nicht standardisiert: Produkt-Token wie Chrome/136.0.0.0, Kompatibilitäts-Token wie KHTML, like Gecko und ein in Klammern gesetzter Kommentarblock, der oft Plattformdetails auflistet.

Fast jeder Browser beginnt immer noch mit Mozilla/5.0, weil Netscape einst den Markt dominierte und Websites Funktionen von diesem Token abhängig machten. Der Internet Explorer musste Kompatibilität deklarieren, und alle anderen übernahmen diese Gewohnheit. Der Kommentar bedeutet nicht, dass Sie Mozilla Firefox ausführen; es handelt sich um eine veraltete Syntax, die drei Jahrzehnte Web-Evolution überlebt hat.

User-Agent Client Hints und the eingefrorene String

Die User-Agent-Reduzierung von Chromium hält den Legacy-String absichtlich grob: weniger Versions-Bits, weniger Plattform-Entropie. Detaillierte Daten wurden in optionale Client Hints-Header verlagert, die in RFC 8942 standardisiert sind. Beispiele hierfür sind Sec-CH-UA (Markenliste), Sec-CH-UA-Mobile und Sec-CH-UA-Platform. JavaScript kann strukturierte Marken über navigator.userAgentData auslesen, wenn die Seite in einem sicheren Kontext ausgeführt wird und die Berechtigungen dies zulassen.

Server-Frameworks müssen diese Hinweise explizit anfordern (z. B. über den Antwort-Header Accept-CH), andernfalls werden sie nie gesendet. Deshalb protokollieren moderne Systeme beide Welten: den eingefrorenen UA für die Abwärtskompatibilität und Client Hints für eine genaue Erkennung von Mobilgeräten. Unsere Browser-Übersichtsseite ergänzt diese Seite mit einer verständlichen Aufschlüsselung, sofern Client Hints verfügbar sind.

Wie man einen UA-String liest (drei reale Beispiele)

Desktop-Chromium unter Windows bettet typischerweise Windows NT 10.0 im Kommentar ein und endet mit Chrome/… Safari/537.36, da Blink das WebKit-Token zur Website-Kompatibilität beibehält. Mobiles Safari auf dem iPhone verwendet iPhone; CPU iPhone OS … und Version/… Mobile/… Safari/…, ohne "Chrome" offenzulegen, obwohl WebKit auch diese Engine antreibt. Automatisierte Crawler verkürzen das Muster und fügen Produktnamen wie Googlebot oder GPTBot weiter vorne ein.

# Beispielhafte Muster (Versionen ändern sich ständig)
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 … Chrome/136.0.0.0 Safari/537.36
Mozilla/5.0 (iPhone; CPU iPhone OS 18_4 like Mac OS X) … Version/18.4 Mobile/15E148 Safari/604.1
Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)

Kopieren Sie den aktuellen String aus dem Hero-Bereich dieser Seite, wenn Sie Fehler melden. Verlassen Sie sich nicht auf Blog-Screenshots; Browser-Hersteller veröffentlichen alle vier Wochen neue Hauptversionen.

Wie Websites den User-Agent immer noch verwenden (und missbrauchen)

Zu den legitimen Verwendungszwecken gehören Analyse-Auswertungen, die Auslieferung eines ressourcenschonenderen mobilen Stylesheets und das Blockieren veralteter Clients, die das erforderliche JavaScript nicht ausführen können. Problematische Verwendungszwecke sind hartcodierte Whitelists, die Erkennung von Paywall-Umgehungen allein basierend auf dem UA und Fingerprinting-Pipelines, die den gesamten String mit Canvas-Daten hashen.

Die bessere Methode ist die Feature-Erkennung: Testen Sie vor einer Verzweigung, ob Intl, fetch oder eine bestimmte CSS-Eigenschaft vorhanden ist. Bot-Management kombiniert den UA mit IP-Reputation, TLS-Fingerprinting und JavaScript-Challenges, da das Fälschen des UA-Strings trivial ist.

UA-Spoofing zum Testen (und warum Sie nicht dauerhaft so surfen sollten)

Unter Chrome DevTools → Network conditions → User agent können Sie ein anderes Gerät für das Layout-QA emulieren. Firefox bietet eine ähnliche Überschreibung im responsive Design-Modus an. Erweiterungen können einen gefälschten UA dauerhaft in allen Tabs aktivieren. Das ist praktisch, um ein Kundenticket zu reproduzieren, aber gefährlich, wenn Sie vergessen, dass die Erweiterung aktiv ist.

Spoofing ändert weder Ihre IP-Adresse noch Ihre Zeitzone oder Hardware-Fähigkeiten. Websites, die mehrere Signale verknüpfen, stufen Sie dennoch korrekt ein. Betrugserkennungssysteme kennzeichnen unplausible Kombinationen (mobiler UA + Desktop-Bildschirmgröße aus unserem Bildschirm-Tool).

Häufige Crawler- und Bot-User-Agents

Bot	Typisches UA-Fragment	Zweck	Beachtet robots.txt
Googlebot	`Googlebot/2.1`	Suchindexierung	Ja (Richtlinien + robots.txt)
Bingbot	`bingbot/2.0`	Bing-Suchindexierung	Ja
GPTBot	`GPTBot/1.0`	OpenAI-Trainings-Crawler (Opt-out über robots.txt)	Beachtet Disallow-Regeln, falls konfiguriert
ClaudeBot	`ClaudeBot/1.0`	Anthropic-Crawler	Beachtet Disallow-Regeln, falls konfiguriert
PerplexityBot	`PerplexityBot/1.0`	Perplexity-Antwortindexierung	Beachtet Disallow-Regeln, falls konfiguriert
AhrefsBot	`AhrefsBot/7.0`	SEO-Backlink-Analyse	Ja (kommerzieller Crawler)

Verifizieren Sie die Identität über Reverse-DNS-Abfragen für große Such-Bots und Ihre eigenen robots.txt-Regeln. Schadsoftware gibt sich oft als Googlebot aus; vertrauen Sie der Zeichenfolge alleine nicht blind.

Häufig gestellte Fragen (FAQ)

Warum beginnt der User-Agent jedes Browsers mit "Mozilla"?

Historische Kompatibilität. Frühe Webserver suchten nach dem Mozilla-Token, um JavaScript- und CSS-Funktionen freizuschalten. Neue Engines übernahmen das Präfix, um nicht ausgeschlossen zu werden. Der Name blieb erhalten, obwohl der Netscape-Browser schon vor Jahrzehnten seine Marktbedeutung verlor.

Was sind User-Agent Client Hints?

Dies sind HTTP-Anfrage-Header (und eine JavaScript-API), die optional strukturierte Metadaten über Browsermarke, Version, Mobilstatus und Plattform bereitstellen. Sie ersetzen die Analyse des Legacy-UA-Strings für Websites, die Accept-CH senden und die entsprechenden Berechtigungen erhalten.

Wie ändere ich meinen User-Agent?

Nutzen Sie die Geräteemulation der DevTools für temporäre Tests oder eine spezielle Erweiterung für dauerhafte Änderungen. Vergessen Sie nicht, die Einstellungen nach dem Debuggen wieder zu deaktivieren, da Sie sonst Phantom-Layout-Fehlern nachjagen. Spoofing verlegt weder Ihre IP noch ändert es TLS-Fingerprints.

Kann eine Website erkennen, ob ich meinen User-Agent fälsche?

Oft ja. Unstimmigkeiten zwischen UA, Client Hints, Bildschirmabmessungen, Touch-Unterstützung und WebGL-Renderer-Strings sind leicht auszuwerten. Professionelle Bot-Abwehrmethoden stützen sich nicht auf den UA allein, aber Unstimmigkeiten erhöhen das Risiko-Rating.

Welchen User-Agent verwendet Googlebot?

Google betreibt verschiedene Crawler (Smartphone, Desktop, Bilder). Ein häufiges Muster ist Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html). Abgleichen können Sie dies mit der Crawler-Dokumentation von Google und die Quell-IP via Reverse DNS überprüfen.

Verständliche Browser- und Engine-Zusammenfassung: Was ist mein Browser?. Bildschirmgeometrie und DPR: Was ist meine Bildschirmauflösung?. GPU-Renderer-Strings: Was ist mein WebGL / GPU?.

Zitierte Quellen

RFC 9110: HTTP Semantics (User-Agent Header)
RFC 8942: Client Hints Structure
Chromium User-Agent Reduction
Google Search Crawler Overview

Common questions

Why does every browser's user agent start with "Mozilla"?

Historical compatibility. Early servers sniffed for the Mozilla token to unlock JavaScript and CSS features. New engines adopted the prefix so they would not be locked out. The name stuck even though the Netscape browser market share vanished decades ago.

What are User-Agent Client Hints?

They are HTTP request headers (and a JavaScript API) that expose structured metadata about browser brand, version, mobile bit, and platform on an opt-in basis. They replace parsing the legacy UA string for sites that send Accept-CH and receive permission grants.

How do I change my user agent?

Use DevTools device emulation for temporary testing, or a dedicated extension for persistent overrides. Remember to disable overrides after debugging or you will chase phantom layout bugs. Spoofing does not relocate your IP or change TLS fingerprints.

Can a website tell if I'm spoofing my user agent?

Often yes. Mismatches between UA, Client Hints, screen dimensions, touch support, and WebGL renderer strings are easy to score. Serious bot defenses do not rely on UA alone, but inconsistency raises risk scores.

What user agent does Googlebot use?

Google publishes multiple agents (smartphone, desktop, image). A common pattern is Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html). Confirm with Google's crawler documentation and verify the source IP via reverse DNS.

Siehe auch diese Tools

🌐Was ist meine IPSehen Sie sofort Ihre öffentliche IPv4- und/oder IPv6-Adresse mit Anbieter-, Stadt- und Länderdetails.→📡Was ist mein InternetanbieterFinden Sie heraus, welcher Internetdienstanbieter (ISP) oder welche Organisation mit Ihrer IP verknüpft ist.→🔷Was ist mein DNSFragen Sie öffentliche DNS-A- und AAAA-Einträge über Cloudflare DNS-over-HTTPS mit klaren Resolver-Labels ab.→📶Was ist meine LatenzMessen Sie die HTTPS-Roundtrip-Zeit von Ihrem Browser zu dieser Website – ein praktischer Browser-Ping.→🛜Was ist mein NetzwerktypErkennen Sie, ob Sie WLAN, Mobilfunk oder Ethernet nutzen, mit der geschätzten Bandbreite der Network Info API.→🔐VPN-Leck prüfen / Leake ich?Vergleichen Sie Ihre HTTP-sichtbare IP mit WebRTC ICE-Adressen, um mögliche IP-Lecks zu erkennen.→⚡Internet-GeschwindigkeitstestTesten Sie Ihre Download- und Upload-Geschwindigkeit mit einem schnellen, präzisen In-Browser-Test.→🖥️Was ist mein BrowserErkennen Sie Ihren Browsernamen, Version, Engine und Betriebssystem mit einem Klick.→🍪Cookie- und Tracking-StatusPrüfen Sie, ob First-Party-Cookies und Web-Speicher funktionieren sowie DNT- und GPC-Signale.→📐Was ist meine BildschirmauflösungPrüfen Sie Ihre Bildschirmauflösung, Farbtiefe, Pixelverhältnis und Viewport-Größe.→🎮Was ist mein WebGL / GPUErkennen Sie Ihren GPU-Renderer, Hersteller, WebGL-Version und Grafikfunktionen direkt im Browser.→📍Was ist mein StandortFinden Sie Ihren ungefähren Standort anhand Ihrer IP-Adresse heraus, einschließlich Stadt und Land.→🕐Was ist meine ZeitzoneFinden Sie Ihre aktuelle Zeitzone, den UTC-Offset und die Ortszeit inklusive Sommerzeit-Status.→🔌Was ist meine Offenen PortsPrüfen Sie, welche TCP-Ports auf Ihrer öffentlichen IP-Adresse offen, geschlossen oder gefiltert sind.→