Kekse werden immer böser

Ever-Cookies

Keks für die Ewigkeit

image.jpg

© PC Magazin

Beim diebischen Auslesen der History fragt ein JavaScript viele hundert bekannte Webseiten ab, um festzustellen, welche Links der Browser als besucht markiert.

Das Ever-Cookie geht eben über die drei gängigen Cookie-Techniken, HTTP, Flash und Silverlight, hinaus. Der Erfinder Kamkar zeigt auf seinen Seiten sehr ausführlich, wie das geht. Er setzt beim Anwender ein Test-Cookie mit einer ID zwischen 1 und 1000. Nun kann der Anwender probieren, seinen Browser und PC zu reinigen, kehrt auf die Seite zurück, und diese versucht, ihn wieder zu erkennen.

Meist gelingt das. Nur wenn er seine gesamten persönlichen Daten löscht, hat er eine Chance, das Ever-Cookie los zu werden. Und Flash und Silverlight wie oben gezeigt darf er auch nicht vergessen. Dann verbannt er das Cookie in die ewigen Keksgründe.

Für das Reinigen des Verlaufs haben die Browser spezielle Funktionen. Bei Firefox liegt diese unter Extras/Neueste Chronik löschen. Dabei sollte der Anwender Alles wählen (Passwörter sind davon nicht betroffen). Wer die Chronik nach jedem Start löschen möchte, trifft die entsprechende Einstellung im oben genannten Datenschutz-Menü. Hier gibt es einen Punkt, Die Chronik löschen, wenn Firefox geschlossen wird.

Über Einstellungen lässt sich festlegen, was Firefox alles entfernt. Hier sollte der Anwender die komplette Chronik wählen (außer Passwörter). Im IE lautet die entsprechende Einstellung in den Internetoptionen Allgemein/Browserverlauf/Löschen. Auch das lässt sich beim Beenden automatisieren mit einem Häkchen bei Browserverlauf beim Beenden löschen.

Der private Modus bei Firefox und Internet Explorer (In Private) reicht übrigens nicht aus, um vor dem Ever-Cookie zu schützen. Er ist in beide Richtungen durchlässig. Kamkars Skripte erkennen den Anwender wieder, wenn er im geschützten Modus kommt und auch wenn er in diesem Modus den Keks erwischt hat.

Löschautomat

Historys und der Cache der Browser lassen sich automatisiert bei jedem Beenden des Programms löschen (siehe Artikel), nicht hingegen Flash- und Silverlight-Cookies. Dafür können Sie ein kleines Skript einsetzen:

cd C:\Users\<user>\App
Data\Roaming\Macromedia\Flash Player\#SharedObjects
del *.* /s /q
cd C:\Users\<user>\AppData\LocalLow\
Microsoft\Silverlight
del *.* /s /q

image.jpg

© PC Magazin

Das Löschskript lässt sich in den Gruppenrichtlinien verankern, so dass Windows es bei jedem Herunterfahren ausführt.

wobei <user> der Name des Windows-Anwenders ist. Eventuell müssen Sie das Skript also auf mehrere Anwender ausweiten. Speichern Sie es mit dem Texteditor in einer Batch-Datei, z.B. flashkiller.bat. Testen Sie es in der Eingabeaufforderung, es sollten keine Fehlermeldungen kommen.

Soll das Skript bei jedem Beenden von Windows laufen, fügen Sie es einer Gruppenrichtlinie hinzu. Suchen Sie im Startmenü von Windows nach Gruppenrichtlinie bearbeiten. Wählen Sie Computerkonfiguration/Windows-Einstellungen/Skripts/Herunterfahren.

Hier geben Sie den Pfad von flashkiller.bat ein. Dem Skript können Sie weitere reinigende Aufgaben zufügen, beispielsweise das Löschen temporärer Ordner oder der benutzten Dateien (C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Recent).

Fazit

Wer gegen das Ever-Cookie geschützt sein will, der muss die Browser-Chronik nach jeder Sitzung automatisch löschen lassen und die Daten von Silverlight und Flash. Das geht beispielsweise mit dem Batch-Skript im Kasten.

Ein guter Schutz ist das Firefox-Addon NoScript (https://addons.mozilla.org/de/firefox/addon/722), das verhindert, dass eine Webseite überhaupt ein Cookie setzen kann. Flash und Silverlight werden ebenfalls über Skripte gestartet.

Eigentlich wären die Browser-Hersteller in der Pflicht, um Schutzmechanismen zu stellen, beispielsweise eine Art Sperre für Add-ons und Plug-ins, auf die Festplatte zuzugreifen. Ausnahmen könnten per ausdrücklicher Genehmigung durch den Anwender erfolgen.

Stattdessen lehnen sich die Verantwortlichen bei Microsoft und Mozilla zurück, weisen auf ihre strengen Sicherheitsstandards hin, verheimlichen aber, dass ein riesen Datenloch ganz woanders sitzt.

Dem Anwender ist es letztendlich egal, wer welche Komponente programmiert hat und vertreibt. Er möchte einen einfach sicher zu haltenden Browser, und ihm das zu liefern, ist Aufgabe der Brwoser-Hersteller. Ein Reeder kann auch nicht die Schuld auf den Hersteller des Beiboots schieben, wenn das ganze Schiff gesunken ist.

Mehr zum Thema

Home Cloud mit Laptop, Smartphone, Tablet und WD Festplatte.
WD My Cloud, MyFritz & Co.

Wir zeigen, wie Sie Cloud-Server im Heimnetzwerk einrichten. Wir erklären Western Digital My Cloud, AVM MyFritz und Synology Quickconnect.
Spam-Mails
6 Tipps gegen E-Mail Betrug

Betrüger versenden E-Mails, die es auf Ihre Daten und Ihr Geld abgesehen haben. Wie Sie Phishing E-Mails erkennen und sich schützen.
Mann kommt aus dem Laptop und ballt die Faust
Trolle im Internet

Trolle vergiften die Diskussionskultur im Internet - Mit diesen Strategien entledigt man sich der Störenfriede endgültig.
Facebook-Betrug mit Fake-Profilen
Gefälschte Facebook-Konten

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…
Spam-Mails
Vorsicht vor Phishing

E-Mail von Amazon: "Verdächtige Aktivitäten" sollen die Eingabe von Anmelde- und Bankdaten nötig machen. Ignorieren Sie die Phishing-Mail!