590931

Das angeblich unlöschbare Cookie

24.09.2010 | 15:54 Uhr |

Ein Sicherheitsforscher hat eine Technik veröffentlicht, mit deren Hilfe Website-Betreiber wiederkehrende Besucher immer wieder erkennen können, ohne dass diese sich wirksam dagegen wehren könnten.

Neben den normalen Browser-Cookies gibt es noch einige weitere Methoden, wie Websites kleine Datenschnipsel auf der Festplatte eines Besuchers ablegen können. Dazu zählen etwa die so genannten Flash-Cookies sowie DOM Storage und andere HTML-5-Techniken. Eine kürzlich veröffentlichte Javascript-Bibliothek soll diese und weitere Möglichkeiten kombinieren, um quasi unlöschbare Cookies zu erzeugen.

Samy Kamkar nennt sein Machwerk "evercookie" und hat die Javascript-API dazu gerade in der überarbeiteten Beta-Version 0.3 veröffentlicht. Ziel ist es Besucher einer Website auch dann wieder zu erkennen, wenn sie HTTP- und Flash-Cookies gelöscht haben. Diese werden jedes Mal restauriert, da die darin abgelegten Informationen auch noch auf andere Weise persistent gespeichert werden.

Dazu hat Samy Kamkar spezielle Methoden ausgetüftelt, die über offiziell dokumentierte Funktionen wie HTTP-Cookies, Local Share Objects (LSO, Flash-Cookies) und HTML-5-Techniken wie Local Storage oder Global Storage hinaus gehen. So legt er etwa User-IDs in speziellen PNG-Bilddateien ab und erzwingt, dass sie im Browser-Cache gehalten werden.

Alle Methoden werden kombiniert, sodass die Wiedererkennung auch dann funktioniert, wenn der Besucher einige der Cookies gelöscht hat. Auch ein Browser-Wechsel hilft nicht, da Flash-Cookies Browser-übergreifend funktionieren. Auf seiner Website , die auch den Download der Javascript-API anbietet, stellt Samy Kamkar eine Demonstration bereit, mit der Interessierte ausprobieren können, ob sie dagegen gewappnet sind.

Für Firefox-Benutzer bietet sich etwa eine Kombination aus den Erweiterungen Noscript , Better Privacy und Request Policy an, um zu versuchen solche Angriffe auf die Privatsphäre abzuwehren.

0 Kommentare zu diesem Artikel
590931