Internet

Kekse (untot)

Cookies sind ein bei Web-Angeboten beliebtes Mittel, um im zustandslosen Protokoll HTTP einen Kontext herzustellen – sei dieser eine Browser-Sitzung (Session) oder eine Personalisierung bei wiederholt besuchten Angeboten. Ebenso gut können die als Keks bezeichneten kleinen Textdateien als Bestandteil einer Logik eingesetzt werden, bei der etwa Daten über das Nutzungsverhalten eines Anwenders gesammelt werden. Dadurch, dass Web-Seiten Inhalte von Dritten wie Anzeigen oder Schaltflächen von sozialen Netzwerkdiensten einbetten, wird die Reichweite eines Cookies über den unmittelbaren Kontakt zwischen Ursprungs-Server und seinem Nutzer hinaus erweitert und eine Verfolgung des allgemeinen Surf-Verhaltens des letzteren ermöglicht (s. dazu auch meinen Artikel Gefällt mir). Die Möglichkeit, Cookies im Browser zu löschen, ist ein wesentliches Hilfsmittel für die informationelle Selbstbestimmung eines Web-Surfers. Eben dies wird jedoch durch neuere Technologien umgangen, die sich als Super- oder Zombie-Cookies bereits einen Namen gemacht haben.

Verschiedene Strategien wurden entwickelt, dass auf dem Computer des Nutzers hinterlegte Referenzen das Löschen von Standard-HTTP-Cookies überleben. Ein Trick besteht darin, ein Local Shared Object im gleichnamigen Format von Flash zu schreiben – wobei das Flash-Plugin unsichtbar im Hintergrund eingesetzt wird. In jüngerer Zeit wird das mit HTML5 eingeführte DOM Storage verwendet (auch Web Storage genannt), das die temporäre und persistente Speicherung von Daten in einer vom Browser zur Verfügung gestellten Datenablage ermöglicht. Und es gibt noch Wege, die Persistenz von Cookie-Daten darüberhinaus sicherzustellen. Der kalifornische Programmierer und Sicherheitsforscher Samy Kamkar hat unter dem Namen Evercookie eine Kombination von Speichermechanismen programmiert, die einen Cookie fast unlöschbar macht.[1] Dabei setzt Evercookie nicht einmal alles ein, was möglich ist. Lücken in der Verfolgung (Tracking) durch Cookies können etwa auch über die IP geschlossen werden, die der Zugangsanbieter temporär an den Surfer vergibt. (Die Einführung von IPv6 wird das Tracking über IP erheblich erleichtern, insbesondere wenn IPs nicht nur selten neu, sondern statisch vergeben werden.)

Auch Flash-Cookies und Super-Cookies, die sich den Beschränkungen von Standard-HTTP-Cookies entziehen, werden durchaus für Sinnvolles eingesetzt, z.B. um Benutzereinstellungen zu speichern. Dennoch, wegen der Möglichkeiten, die sie für missbräuchliche oder zumindest fragwürdige Nutzungen bieten, müssen sie als potentielles Teufelszeug betrachtet werden, als Gebäck mit „bittersüßem” Geschmack, wie der Titel einer Publikation des ENISA[2] suggeriert. Der Nutzer sollte die gleiche Kontrolle über die gespeicherten Daten erhalten wie bei Standard-HTTP-Cookies. Software wie das Firefox-Addon BetterPrivacy[3] tragen dazu bei, dass er etwas von der Hoheit über seine Privatsphäre zurückgewinnen kann, die er in den letzten Jahren verloren hat.

1. Unter der URL http://samy.pl/evercookie/ (2010) werden die im Evercookie verwendeten Techniken erläutert und demonstriert.
2. Bittersweet cookies. Some security and privacy considerations. ENISA (European Network and Information Security Agency), 2011.
3. Die aktuelle Version 1.68 von BetterPrivacy (https://addons.mozilla.org/de/firefox/addon/betterprivacy/) funktioniert mit Firefox 3.5 und späteren Versionen (aktuell 12.0).

18. Mai 2012 von Kai Yves Linden
Kategorien: Internet | Schlagwörter: , | Schreibe einen Kommentar

Schreibe einen Kommentar