Evercookie
Den unlöschbaren Cookie löschen
Nachdem ein Sicherheitsforscher einen angeblich unlöschbaren Cookie namens Evercookie vorgestellt hat, haben sich andere Forscher der Herausforderung gestellt. Ein paar Ansätze, um den Dauerkeks wieder los zu werden, gibt es bereits.
Im September hat Samy Kamkar seinen Evercookie veröffentlicht, eine Javascript-API (Programmierschnittstelle), mit der Webmaster auf verschiedenen Wegen Datenschnipsel zur Rückverfolgung von Besuchern auf deren Rechnern ablegen können. Die Datenkrümel sollen sich dabei gegenseitig wieder herstellen, falls sie vom Benutzer gelöscht werden. Doch Abhilfe gegen den Dauerkeks ist nicht weit.
Mehrere Sicherheitsforscher haben Kamkars Behauptung, der Evercookie sei unlöschbar, als Herausforderung aufgefasst und sich ans Werk gemacht - mit Erfolg. So hat etwa Jeremiah Grossman einen Weg gefunden, den Evercookie in Chrome zu beseitigen. Er folgt einem Ansatz, den Dominic White für Apple Safari vorgeschlagen hat. Im Gegensatz zu diesem erreicht Grossmans Methode das Ziel ohne Kommandozeilen-Script und ohne den Browser schließen zu müssen.
Probleme macht das iPhone, dessen Safari-Version sich nicht so zugänglich zeigt. Zudem bekommt jede App von MobileWebkit einen eigenen Speicherbereich für das Ablegen lokaler Daten zugeteilt. Die gilt es alle einzeln zu leeren. Dominic White hat ein Script geschrieben, das diese Aufgabe erledigen kann. Es funktioniert jedoch nur auf iPhones, die zuvor per Jailbreak entsperrt worden sind.
Auch für Firefox 3.6 gibt es bereits Abhilfe, sie ist jedoch ähnlich wie bei der Safari-Methode mit einer Menge Handarbeit verbunden, die auch noch in der richtigen Reihenfolge erledigt werden muss. Da ist es allemal besser, die Super-Cookies mit Noscript von vorne herein abzublocken. Die Erweiterungen BetterPrivacy und RequestPolicy können ein Übriges tun, um die Privatsphäre von Firefox-Benutzern zu schützen.
