Super-Cookies: Löschen zwecklos
US-Sicherheitsforscher haben neue Informationen über sogenannte “Super-Cookies” veröffentlicht – die das Verhalten des Surfers auch dann noch aufzeichnen, wenn herkömmliche Cookies bereits gelöscht wurden. Eingesetzt wurden die Super-Cookies unter anderem von Microsoft.
Nach Angaben des Stanford-Forschers Jonathan Mayer nutzte Microsoft die Super-Cookies auf den Seiten Live.com, MSN sowie im eigenen Werbenetzwerk Atlas. Bei dem Super-Cookie handelt es sich demnach um ein “ETag-Cookie”. Ein ETag ist im Feld im Kopfteil einer http-Seite, das in diesem Fall dazu genutzt wird, eine eindeutige User-ID zu speichern. Diese ID wird nicht gelöscht, wenn die Cookies über den Browser oder über Plug-ins gelöscht werden. Ruft ein Besucher die Seite erneut auf, kann er wiedererkannt werden.
Microsoft räumte ein, Super-Cookie-Code eingesetzt zu haben. Dieser Code werde jetzt gelöscht, teilte Mike Hintze, Microsoft Associate General Counsel for Regulatory Affairs, in einem Blog-Eintrag mit. Das beanstandete Cookie sei ein Ergebnis älteren Codes. Microsoft habe es nur auf eigenen Seiten eingesetzt und die Daten nicht an Firmenfremde weitergegeben.
Erst kürzlich hatte der Berkeley-Forscher Askhan Soltani auf das Problem der Super-Cookies aufmerksam gemacht. Laut Soltani setzt das Streaming-Portal Hulu selbst entwickelten Flash- und JavaScript-Code ein, um gelöschte Cookies zu restaurieren. Zudem verwendeten Seiten wie Hulu, der Musik-Service Spotify und der Finanzdienstleister Mint.com Super-Cookie-Code, der vom Web-Analytics-Anbieter Kissmetrics geliefert werde.
Eine Sprecherin von Mint.com sagte dem Wall Street Journal, das Marketing-Team habe den Kissmetrics-Code getestet, weshalb er auf einigen Seiten auftauche. Zuletzt sei man jedoch zum Schluss gekommen, den Kissmetrics-Service nicht zu nutzen. Von Kissmetrics hieß es, man wolle diesen Typ von Cookies nicht mehr verwenden und stattdessen herkömmliche Cookies verwenden. Zudem biete man Surfern einen Opt-Out per Mausklick an. Mittlerweile hat eine Gruppe von Anwälten Kissmetrics verklagt.
Die Super-Cookies sind eine neue Spielart des alten Themas “dauerhafte Cookies”. Bereits im Jahr 2009 hatten Berkeley-Forscher entdeckt, dass mehr als die Hälfte der populärsten Websites Adobes Flash nutzten, um verdeckt Informationen über ihre Nutzer zu sammeln. “Was noch heimtückischer ist, verschiedene Dienste verwendeten die Daten sogar, um traditionelle Cookies, die ein Nutzer gelöscht hat, wiederherzustellen”, schrieb Wired-Autor Ryan Singel.
Quantcast, ein Anbieter der Flash-Cookies, wurde 2010 in den USA verklagt. Das Angebot verstieß nach Ansicht der Kläger gegen mehrere kalifornische Gesetze zum Datenschutz und drei US-Bundesgesetze. Dazu zählen der ‘Computer Fraud and Abuse Act’ (18 U.S.C. §1030), der ‘Electronic Communications Privacy Protection Act’ (18 U.S.C. § 2050) sowie der ‘Video Privacy Protection Act’ (18 U.S.C. § 2710).
Webseitenbetreiber konnten mit dem Code von Quantcast bis zu 100 KByte speichern – 25-mal mehr, als es herkömmliche Browser-Cookies erlauben. Quantcast nutzte sowohl in seinen HTML- als auch seinen Flash-Cookies eine gemeinsame User-ID. Wurde erstere gelöscht, griff Quantcast auf letztere zurück, um sie wieder herzustellen. Diese Praxis gab das Unternehmen nach dem Wired-Bericht auf – den Rechtsstreit legte es mit der Zahlung von 2,4 Millionen Dollar bei.
Mittlerwurde wurde der Schutz vor Flash-Cookies verbessert. Anwender können die Speicherung der Flash-Cookies mit dem Adobe Flash Player Einstellungsmanager verwalten. Firefox-Nutzer haben die Möglichkeit, Flash-Cookies über das Plug-in Better Privacy zu unterdrücken. Auch Nutzer des Internet Explorer und von Google Chrome können die Flash-Cookies löschen.