SIT_Logo

Cookies 2.0

  • Autor: Christopher Schmitz
  • Von Web-Browsern gespeicherte HTTP-Cookies erhöhen den Komfort bei alltäglichen Vorgängen wie bei Bestellungen in Web-Shops oder bei der Identifizierung von Anwendern. Werbeanbieter können mit Cookies aber auch das Surfverhalten der Anwender analysieren und somit Anwenderprofile erstellen. Viele Anwender schränken daher die Speicherung von Cookies in ihren Browser-Einstellungen ein. Inzwischen gibt es jedoch mehrere alternative Cookies, die kaum bekannt sind.

    Herkömmliche HTTP-Cookies sind mittlerweile allseits bekannt. Inzwischen bereinigen schon annähernd 40% aller Anwender regelmäßig ihre Festplatte, um die unliebsamen Datensammler zu verbannen. Weitgehend unbekannt ist allerdings die Existenz alternativer Cookies. Hierzu zählen in erster Linie die browserunabhängigen Flash-Cookies – die sogenannten Local Shared Objects – die von den drei Cookie-Alternativen am weitesten verbreitet sind, z. B. bei YouTube und anderen Video-Portalen. Zu erwähnen sind aber auch die browserspezifischen Methoden DOM Storage des Firefox und userData des Internet Explorers. Diesen drei alternativen Cookies – Flash-Cookies, DOM Storage und userData – ist gemeinsam, dass sie auf der Festplatte des Anwenders unbemerkt Informationen hinterlegen. Der Anwender erfährt also weder, dass überhaupt Daten gespeichert werden, noch wo diese liegen und welche Informationen sie beinhalten. Bisher sorgt kein Browser für Transparenz.

    Adobe stellt für die sehr verbreiteten Flash-Cookies einen Einstellungsmanager auf ihrer Homepage zur Verfügung. Dieser listet die vom Flash-Player gesetzten Cookies auf und ermöglicht u. a. eine Speicherlimitierung sowie ein pauschales Unterbinden und Löschen der Flash-Cookies. Allerdings lassen sie sich auch im Ordner »#SharedObjects« des Verzeichnisses der Flash-Anwendungsdaten einsehen, respektive entfernen.

    Schwieriger auszulesen ist das DOM-Storage-Objekt, welches mit Firefox 2 und anderen aktuellen Mozilla-basierten Browsern angelegt werden kann. Denn hier werden die Daten in der Datei »webappstore.ite« des Firefox-Profilverzeichnisses gespeichert – einer SQLite-Datenbank. Daher bedarf es für das Auslesen der Daten spezieller Tools wie SQLiteSpy oder Visual SQLite. Sinnvoll gelöst ist jedoch, dass für DOM Storage und HTTP-Cookies die gleichen Datenschutzeinstellungen gelten. So gibt es in Firefox eine globale Löschfunktion für HTTP-Cookies und DOM-Strorage-Objekte sowie eine globale Speichererlaubnis. Löscht man also alle herkömmlichen HTTP-Cookies mit Hilfe der Cookie-Verwaltung in Firefox, so werden auch alle DOM-Storage-Objekte entfernt. Lässt man nur Session-Cookies zu, halten sich auch die DOM-Storage-Objekte daran und werden nach einer Sitzung gelöscht. So verhält es sich auch mit der Speichererlaubnis. Erlaubt man herkömmliche HTTP-Cookies, so gestattet man auch gleichzeitig das Setzen der DOM-Storage-Objekte, sofern diese nicht deaktiviert wurden. Unabhängig von HTTP-Cookies lässt sich die Cookie-Alternative des Firefox abschalten, indem man »about:config« in die Adressleiste des Browsers eingibt und den Wert von »dom.storage.enabled« auf »false« setzt. Alternativ könnte man JavaScript deaktivieren, wodurch jedoch viele Homepages nicht mehr richtig angezeigt werden können.

    Anders als bei Firefox orientiert sich das Verhalten von Microsofts userData, das Pendant zu DOM Storage, nicht vollständig an den Cookie-Einstellungen des Browsers. Immerhin wird auch die Cookie-Alternative des Internet Explorers gelöscht, wenn man unter »Extras > Internetoptionen > Allgemein« auf »Löschen« klickt und dort alle Cookies entfernt. Allerdings gibt es keine Möglichkeit userData-Objekte wie Session-Cookies automatisch beim Schließen des Browsers zu löschen. Vollständig abschalten lässt sich userData in den Sicherheitseinstellungen des Browsers, indem man dort unter »Verschiedenes« die »Dauerhaftigkeit der Benutzerdaten« deaktiviert. Wie bei Firefox funktionieren die alternativen Cookies nur dann, wenn JavaScript aktivert ist.

    Bisher ermöglicht noch kein Browser die Einsicht alternativer Cookies. Die Verwaltung der Flash-Cookies wird nicht ansatzweise von Browsern unterstützt. Die Unwissenheit der Anwender nutzen bereits erste Anbieter von Bannerservices aus, die mit Hilfe alternativer Cookies die Protokollierung des Surfverhaltens nichtsahnender Anwender optimieren.

    Sicheitsmaßnahmen
    Um sich vor den alternativen Cookies zu schützen, empfiehlt es sich userData wie auch die Flash-Cookies zu deaktivieren. Hierzu muss im Internet Explorer unter »Extras > Internetoptionen > Sicherheit > Stufen anpassen« die »Dauerhaftigkeit der Benutzerdaten« deaktiviert werden und im Einstellungsmanager von Flash der Schieberegler auf »Keinen« gestellt werden. Ferner sollten nur Session-Cookies zugelassen werden. In Firefox ist dies unter »Extras > Einstellungen > Datenschutz« möglich. Dort ist zu konfigurieren, dass Cookies nur solange behalten werden sollen, bis Firefox geschlossen wird. Im Internet Explorer lässt sich dies unter »Extras > Internetoptionen > Datenschutz > Erweitert« einstellen, indem man Cookies von Erst- und Drittanbietern blockt, jedoch Sitzungscookies immer zulässt.

  • Autor: Christopher Schmitz, studentische Hilfskraft am Fraunhofer Institut Sichere Informationstechnologie SIT in Darmstadt