Logo

Zombie Cookies – The Next Generation

Heutige "Zombie-Cookies" haben nur noch wenig mit dem harmlosen HTTP-Cookie gemein.

Seit jeher begleiten die Browser-Cookies uns Internetnutzer. Sie werkeln unbemerkt im Hintergrund, sorgen dafür, dass Onlineshops richtig funktionieren und dass wir entsprechend unserer Surfgewohnheiten die passenden Werbebanner angezeigt bekommen. Ohne die Cookies wäre vieles im Internet unbequemer. Doch schon längst stehen sie in einem unguten Licht, und das nicht ganz zu Unrecht.

Dieser Artikel möchte euch das Wesen des Cookies ein wenig näher bringen. Ihr sollt aber auch erfahren, was die Evolution aus den ursprünglich putzigen kleinen Helfern gemacht hat, und was ihr gegen allzu neugierige Cookies unternehmen könnt.

Was ist eigentlich ein Cookie?

Mit drei Mausklicks im Firefox die Cookies der aktuell besuchten Webseite anzeigen.

Ein Cookie (zu Deutsch: Keks, Plätzchen) ist eine Information, die in einer kleinen Datenbank auf einem Computer gespeichert ist. Das kann z.B. auch eine Datei in einem speziellen Verzeichnis sein. Die gespeicherten Informationen dienen zur kurzzeitigen Archivierung oder zum Austausch zwischen Computerprogrammen. Das Cookie setzt sich dabei aus mindestens zwei Bestandteilen zusammen: seinem Name und dem Inhalt. Berühmt geworden – oder besser gesagt in Verruf geraten – sind die Cookies vor allem durch die Verwendung in Webbrowsern (HTTP-Cookie). Jede Webseite bzw. jeder Webserver kann ein Cookie auf dem Computer des Besuchers ablegen und theoretisch beliebige Informationen darin speichern. Es lassen sich so z.B. Profile über das Surfverhalten der Benutzer erstellen. Meistens werden Benutzerdaten darin gespeichert, um wiederkehrende Besucher zu identifizieren. Viele Online-Shops und Communities bedienen sich der Cookies und würden ohne sie nicht richtig funktionieren. Ihr Nutzen ist also plausibel und nicht von der Hand zu weisen. Leider bergen Browser-Cookies auch die Gefahr von Missbrauch, zumal die Evolution auch vor den Cookies nicht halt gemacht hat.

Damals und heute

Das ursprüngliche Browser-Cookie (HTTP-Cookie), wie es heute nach wie vor eingesetzt wird, ist eine kleine Textdatei. Sie wird in einem speziellen Verzeichnis auf dem Computer gespeichert und beinhaltet meist verschlüsselte Daten. Beim nächsten Besuch der Webseite wertet der Webserver die Datei aus und identifiziert auf diese Weise den Besucher. Allerdings hat das HTTP-Cookie aus Entwickler-Sicht zwei Schwächen: Es kann nur 4KB an Daten aufnehmen und ist leicht durch den Benutzer zu entfernen. Mittlerweile besitzt jeder Webbrowser eine Cookie-Verwaltung oder die Möglichkeit, Cookies gar nicht erst zuzulassen. Damit ist es möglich, HTTP-Cookies komplett zu unterbinden (was nicht immer die beste Wahl ist), oder selektiv für bestimmte Webseiten/Domains zu erlauben oder zu verbieten.

Funktionsweise von Flash-Cookies (Dieses Bild steht unter einer CC-Lizenz: http://creativecommons.org/licenses/by-nc-nd/3.0/deed.de)

Was Datenschützer erfreut, missfällt Datensammlern. Es sind nicht wenige, die sich Cookies zum willkommenen Werkzeug gemacht haben um möglichst viele Informationen über Webseitenbesucher zu sammeln. Die so gewonnenen Daten lassen sich je nach Art und Qualität zu Geld machen. Um sich also anzupassen, und auch um mehr Informationen in einem Cookie ablegen zu können, gibt es mittlerweile neue, bessere Cookie-Arten. Zum Beispiel das Flash-Cookie (Local Shared Objects), welches die Inhalte browserunabhängig und ohne ein Verfallsdatum auf dem Computer des Webseitenbesuchers ablegt. Flash-Cookies entziehen sich der Cookieverwaltung des Webbrowsers und sind für den unerfahrenen Benutzer schwerer zu löschen. Das heißt, selbst wenn der Benutzer das HTTP-Cookie löscht und dieselbe Webseite mit einem anderen Browser besucht, sind die Informationen im Flash-Cookie noch vorhanden und der Webserver erkennt den Benutzer wieder. Man schimpft es deshalb auch gern „Zombie-Cookie“. Viele Webseiten-Betreiber nutzen bereits das Flash-Cookie als Ergänzung zum HTTP-Cookie.

Aber es geht noch schlimmer. Die größte Überlebenschance für Cookies verspricht man sich durch Kombinationen aus verschiedenen Techniken. Und hier hat vor Kurzem ein neues Monster die Bühne betreten: Das Evercookie. Es handelt sich dabei um eine frei verfügbare Javascript-API von Samy Kamkar, welche momentan acht Techniken beherrscht um die Daten möglichst dauerhaft und widerstandsfähig auf den Computern der Webseitenbesucher speichern zu können. Neben HTTP- und Flash-Cookie nutzt das Evercookie diverse HTML5-Techniken. Mit an Board ist das Local Storage, Global Storage, Session Storage und Database Storage per SQLite. Richtig raffiniert wird es aber mit folgenden zwei Methoden: Cookiedaten werden zusätzlich in den Farbwerten einer Bilddatei gespeichert, die automatisch für jeden Nutzer erstellt und gecacht wird. Mittels dem HTML5-Canvas-Tag werden die Daten beim nächsten Besuch wieder rekonstruiert. Und als letzte Methode werden Cookiedaten mit einer von Jeremiah Grossman entwickelten Technik (CSS History Knocker) in der Browser-History des Benutzers untergebracht.
Die Entwicklung des Evercookies ist aber längst noch nicht abgeschlossen. Noch weitere Techniken sollen folgen, darunter Window.name-Caching und Java. Das Fiese an diesem Zombie-Cookie sind die vielfältigen Techniken und Speicherungsorte. Löscht der Nutzer die durch eine Speichermethode abgelegten Daten, erstellt das Evercookie die Daten aus den anderen noch verfügbaren Daten neu. Es belebt sich sozusagen selbst wieder, und hat daher durchaus den Beinamen „Zombie“ verdient. Das macht es für die Nutzer um einiges schwieriger, sich solcher Cookies zu entledigen.

Kampf den Zombies

Die meisten Internet-Browser bieten mittlerweile eine Cookie-Verwaltung an. Im Firefox zum Beispiel könnt ihr über das Symbol in der Adresszeile (Favicon) alle aktuell bestehenden HTTP-Cookies anzeigen lassen und manuell löschen. Für einen Grundschutz könnt ihr bereits mit Boardmitteln in den gängigen Browsern wie Firefox und Internet Explorer die Handhabung von normalen Cookies festlegen. Geht dazu im Firefox auf Extras -> Einstellungen -> Reiter „Datenschutz“ bzw. im Internet Explorer auf Einstellungen -> Reiter „Datenschutz“. Setzt die Einstellungen dann wie im folgenden Screenshot zu sehen:

Für einen besseren Datenschutz im Firefox

Cookieverwaltung im Internet Explorer anpassen

BetterPrivacy Konfiguration

Moderne Browser haben außerdem in der Regel eine Schnittstelle für Addons/Plugins. Zwei gute Erweiterungen für den Firefox seien an dieser Stelle kurz vorgestellt:

  • BetterPrivacy befreit euch von Zombie-Cookies wie LSO Flash Objekte, DOM Storage Objekte und eBay Langzeitverfolgung. Kontrolliert die Einstellungen dieser Erweiterung wie rechts im Screenshot zu sehen.
  • Cookie Monster ist eine proaktive Cookie-Verwaltung. Sie ermöglicht über die Statusbar einen einfachen Zugriff auf die erweiterten Cookie-Funktionen. Damit habt ihr jederzeit die volle Kontrolle darüber, welche Webseiten/Domains Cookies ablegen dürfen.

Fazit

Browser-Cookies gehören zum Internetalltag und machen viele Bequemlichkeiten erst möglich. Der starke Hang zum Ausspionieren der Webseitenbesucher brachte aber immer neue, verbesserte Versionen der Cookies hervor, und die Evolution der Zombie-Cookies ist noch längst nicht abgeschlossen. Während man mit den Boardmitteln der Browser den HTTP-Cookies zu Leibe rücken kann, müssen für Zombie-Cookies schon schwerere Geschütze – wie z.B. Browser-Erweiterungen – aufgefahren werden. So ganz ohne Cookies geht es aber eben auch nicht.

 



Sag deine Meinung